Privacywetgeving AVG: zo houdt u zich aan de regels

Wet- en regelgeving

Gebruikt u persoonsgegevens van klanten, personeel of andere personen? Bijvoorbeeld voor het versturen van een rekening of nieuwsbrief ? U moet zich houden aan privacywetgeving. Lees wat er onder de Algemene Verordening Gegevensbescherming (AVG) valt. En hoe u aan de regels voldoet.

Wat is de betekenis van de AVG?

De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet om de privacy van mensen te beschermen. In de AVG staat wat bedrijven en organisaties wel en niet mogen doen met persoonsgegevens van hun klanten, personeel en andere personen. U moet bijvoorbeeld een goede reden hebben om persoonsgegevens te verwerken.

AVG in de praktijk

Klik op de regel voor een voorbeeld uit de praktijk.

U heeft een goede reden nodig om persoonsgegevens te vragen

Voorbeeld:

Om een overeenkomst uit te kunnen voeren.

Vraag nooit meer persoonsgegevens dan nodig is

Voorbeeld:

Voor het versturen van een nieuwsbrief heeft u wel een e-mailadres nodig, maar geen geboortedatum.

Gebruik de gegevens alleen voor het doel waar u ze voor gevraagd heeft

Voorbeeld:

U heeft een e-mailadres gevraagd om de factuur heen te sturen. Dan mag u het e-mailadres niet voor marketing gebruiken.

Bewaar de persoonsgegevens niet langer dan nodig is

Voorbeeld:

Voor uw administratie moet u uw gegevens 7 of 10 jaar bewaren. Daarna heeft u ze niet meer nodig.

Laat uw klanten in een privacyverklaring weten wat u met hun persoonsgegevens doet

Voorbeeld:

Welke gegevens u opslaat, waarom en hoelang.

Zorg voor een goede beveiliging van de gegevens

Voorbeeld:

Door uw website te beveiligen met https en door uw software te updaten.

Voor wie gelden de regels van de AVG?

De AVG geldt voor alle bedrijven en organisaties die persoonsgegevens verwerken, ook voor zzp’ers of mkb-ondernemers. Al bij het versturen van een offerte, factuur of een nieuwsbrief moet u rekening houden met de AVG. Maar bijvoorbeeld ook als u personeel aanneemt.

Wanneer verwerkt u persoonsgegevens?

Persoonsgegevens zijn gegevens die direct over iemand gaan. Of waardoor u te weten kunt komen over wie het gaat. Zoals naam, adres en telefoonnummer. Alles wat een organisatie met gegevens kan doen, valt onder verwerken. Denk aan verzamelen, opslaan en doorsturen. Dit kan handmatig of automatisch, voor uzelf of voor iemand anders.

Lees meer over het verwerken en doorgeven van persoonsgegevens.

Meer weten? In 9 stappen door de AVG

Twijfelt u of u zich goed aan de AVG houdt? Of wilt u weten wat er allemaal komt kijken bij de AVG? Volg de stappen die u helpen om te voldoen aan de AVG.

1. Verdiep u in de AVG en zet privacy op uw agenda

Lees meer over de AVG of laat u voorlichten. Heeft u personeel? Betrek dan werknemers die persoonsgegevens verwerken.

Regelhulp AVG

Check met de Regelhulp AVG welke regels voor u gelden. Dit helpt u bepalen wat de impact van de AVG is op uw bedrijf.

2. Check of u persoonsgegevens mag verwerken

U mag niet zomaar persoonsgegevens verwerken. U moet daarvoor minstens 1 van deze 6 redenen hebben:

Het is nodig om een overeenkomst uit te voeren. U moet bijvoorbeeld adresgegevens verwerken om uw product bij iemand te kunnen bezorgen.
Het is nodig om een wettelijke verplichting na te komen.
Het is om het gerechtvaardigd belang te behartigen. U moet bijvoorbeeld persoonsgegevens verwerken in uw personeelsadministratie om salaris uit te kunnen betalen.
U heeft toestemming van de persoon om wie het gaat.
Het is nodig om iemands leven of gezondheid te beschermen en u kunt die persoon niet om toestemming vragen.
Het is nodig om een taak van algemeen belang uit te voeren.

Lees meer over de verschillende redenen.

3. Vertel uw klanten wat hun rechten zijn

Uw klanten hebben veel rechten op het gebied van privacy. U moet ervoor zorgen dat ze gemakkelijk van die rechten gebruik kunnen maken. Uw klanten mogen bijvoorbeeld:

hun gegevens inzien, aanpassen en verwijderen
toestemming die ze eerder gaven beperken, en weer intrekken
hun gegevens opvragen zodat ze makkelijk naar een ander bedrijf kunnen overstappen, dat heet het recht op dataportabiliteit

Uw klanten mogen een klacht indienen bij de Autoriteit Persoonsgegevens. De AP is verplicht deze klachten in behandeling te nemen.

Maak een heldere privacyverklaring

Maak een privacyverklaring in eenvoudige taal. Zet daarin wat u doet met persoonlijke gegevens. Waarvoor u de gegevens gebruikt. Waarom dat belangrijk is voor uw klanten. En hoelang u de gegevens bewaart. Zorg dat deze verklaring makkelijk te vinden is.

4. Maak een overzicht van hoe u gegevens verwerkt

Leg in een register vast welke persoonsgegevens u verwerkt en waarom u dit doet. Maak duidelijk waar deze gegevens vandaan komen en met wie u ze deelt. In het register zet u ook de datum waar op u de gegevens moet wissen.

U gebruikt het register als klanten u vragen hun gegevens aan te passen of te verwijderen. U moet dit ook doorgeven aan de organisaties met wie u de gegevens heeft gedeeld.

Dit register valt onder de zogenoemde verantwoordingsplicht. U moet altijd kunnen uitleggen hoe u met gegevens omgaat.

Vraag toestemming van de klant als u diensten uitbesteedt

Deelt u persoonsgegevens van uw klanten met een ander bedrijf? Dan heeft u hiervoor toestemming nodig van uw klanten. Bijvoorbeeld als u een extern callcenter of administratiekantoor inhuurt. Leg in een overeenkomst met uw klanten vast dat u hun gegevens deelt, omdat dat belangrijk is voor de manier waarop u voor hen werkt.

5. Houd in uw producten en diensten standaard rekening met privacy

Verwerk in uw producten of diensten niet meer persoonsgegevens dan nodig is. Dit noemt men ook ‘privacy by default’. Voorbeelden hiervan zijn:

Laat een app niet zonder goede reden de locatie van gebruikers registreren.
Vink op uw website het vakje ‘ja, ik wil aanbiedingen ontvangen’ niet vooraf aan.
Vraag bij het abonneren op een nieuwsbrief niet meer gegevens dan nodig is.

Ontwerpt u nieuwe producten of diensten, zorg dan in de ontwerpfase al dat persoonsgegevens goed worden beschermd. Dit wordt ook wel ‘privacy by design’ genoemd.

6. Documenteer en meld datalekken

In de AVG staat dat u persoonsgegevens goed moet beveiligen. Toch kunnen er persoonsgegevens vrijkomen zonder dat dit de bedoeling is. Dit heet een datalek.

Voorbeelden van datalekken zijn:

U verliest een laptop, tablet, usb-stick of papieren met daarop niet-versleutelde persoonsgegevens.
U mailt persoonsgegevens naar een verkeerd persoon.
De persoonsgegevens die u verwerkt worden gestolen bij een cyberaanval.
Uw systeem is besmet met ransomware waardoor de persoonsgegevens niet meer toegankelijk zijn.

U moet alle ernstige datalekken direct melden aan de AP. Daarnaast moet u alle datalekken documenteren. Ook interne lekken die u niet hoeft te melden. Bekijk op de website van Autoriteit Persoonsgegevens welke datalekken u moet melden. U moet de personen van wie de persoonsgegevens zijn alleen informeren als het datalek grote gevolgen heeft voor hun rechten en vrijheden.

Verwerkt u privacygevoelige data voor uw opdrachtgevers? Dan moet u alle datalekken aan hen melden, zodat zij dit aan de AP kunnen doorgeven.

7. Zorg voor een goede verwerkersovereenkomst

Werkt u samen met bedrijven, die in opdracht van u en volgens uw instructies persoonsgegevens verwerken? Zorg dan dat u met hen een verwerkersovereenkomst sluit. Ook als de verwerker een dochteronderneming is of in het buitenland gevestigd is. Het inzien van de gegevens door een externe helpdesk is al een vorm van verwerking.

8. Bekijk of u een Data Protection Impact Assessment (DPIA) moet maken

Verwerkt u gegevens met een hoog privacyrisico? Dan moet u een Data Protection Impact Assessment (DPIA) uitvoeren. Dit is een uitgebreid onderzoek om risico’s van gegevensverwerking in kaart te brengen. Op basis van deze DPIA kunt u maatregelen nemen om de privacyrisico’s te verkleinen.

9. Onderzoek of u een functionaris gegevensbescherming nodig heeft

Verwerkt u in uw onderneming heel veel persoonsgegevens? Controleer dan of u verplicht bent een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen uw organisatie in de gaten houdt of u alles volgens de AVG doet. Uw organisatie mag ook vrijwillig een FG aanstellen.

Video AVG: regels voor ondernemers

Bekijk de video ‘AVG: regels voor ondernemers’. In deze video krijgt u uitleg over wat de AVG is en wat dit voor uw bedrijf betekent.

Ondernemersplein

Eén antwoord van de overheid

Deze informatie is afkomstig van het Ondernemersplein.

Privacywetgeving AVG: zo houdt u zich aan de regels

Wat is de betekenis van de AVG?

AVG in de praktijk

Voor wie gelden de regels van de AVG?

Wanneer verwerkt u persoonsgegevens?

Meer weten? In 9 stappen door de AVG

Ondernemersplein

Direct naar