Wat betekent de AVG voor mijn bedrijf, wat moet ik doen?

Leestijd: 3 minuten

Nog 10 dagen tot de AVG. Je hebt er vast iets over meegekregen: vanaf 25 mei geldt de Algemene Verordening Gegevensbescherming; de AVG. In Europa staat deze wet bekend onder de naam General Data Protection Regulation (GDPR). Deze wet heeft als doel jou meer controle te geven over persoonsgegevens, maar betekent ook dat als jij met jouw onderneming persoonsgegevens verzamelt, deze wet invloed heeft op jouw werkwijze.
Ik eindig deze blog met wat informatie over de wet, maar pragmatisch als ik ben, eerst dit:

To do-lijst voor 25 mei

  • Een privacyverklaring opstellen waarin je in duidelijke en eenvoudige taal informeert over onder meer de doeleinden en rechtsgronden van de verwerking van persoonsgegevens, hoe lang je die gegevens bewaart, het recht op inzage en rectificatie en het wissen van persoonsgegevens. Deze is ook zinvol voor lead-advertenties en formulieren op facebook, je moet naar deze verklaring kunnen verwijzen. Er is een online privacy statement generator beschikbaar waarmee je je verklaring kunt maken.
  • Een cookiebeleid waarmee je informeert over welke cookies je verzamelt. Voor sommige cookies heb je toestemming nodig. Zet je bijvoorbeeld re marketing in? Dan hoor je voor het plaatsen van deze cookies toestemming te vragen.
  • Zorg dat je website beveiligd is met een SSL-certificaat. Met de komst van de AVG ben je verplicht te zorgen voor een optimale beveiliging van persoonsgegevens. Het zgn. https protocol (i.p.v. http) is verplicht als je persoonsgegevens opslaat via je website, bijvoorbeeld voor het opslaan van bestellingen of invullen van formulieren.

Let op: deze to do-lijst is niet uitputtend en gemaakt op een wet in ontwikkeling. Omdat er nog geen precedent is, staan veel onderwerpen ter discussie. De vertaling van de wet naar de realiteit is daarom lastig. Ik adviseer je om bij juridische beslissingen altijd een expert te raadplegen.
Verder met wat theoretische achtergrondinformatie 😊.

De AVG en persoonsgegevens

De AVG gaat de bestaande Wet Bescherming Persoonsgegevens vervangen. Een aantal belangrijke wijzigingen zijn het vragen van toestemming, een informatieverplichting en een documentatieverplichting. Met persoonsgegevens wordt bedoeld; alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Informatie is identificeerbaar als deze direct of indirect te herleiden is naar een persoon. Identificatoren zijn een naam, identificatienummer, maar ook betaalgegevens, IP-adressen en locatiegegevens.

Wat betekent dit voor jou?

Heb jij een webshop of bijvoorbeeld een contactformulier waarop sitebezoekers hun gegevens achterlaten? Dan verwerk je persoonsgegevens en is de AVG ook op jou van toepassing. Dit betekent dat je voor 25 mei aan een aantal voorwaarden moet voldoen. Zo moet je nagedacht hebben over de persoonsgegevens die je opslaat en de bewaartermijn daarvan, maar moet je ook kunnen voldoen aan klantverzoeken zoals het inzien van gegevens.

Data minimalisatie

Zorg dat je in kaart hebt gebracht welke gegevens je verwerkt, hoe je deze gegevens verwerkt en welke beveiligingsmaatregelen je neemt. Ook de bewaartermijn is belangrijk; zijn de gegevens niet meer nodig voor het doel dat je hebt omschreven? Dan is het belangrijk dat je deze persoonsgegevens verwijdert.
Toestemming en grondslagen
Zomaar gegevens verzamelen mag niet meer. Je hebt een grondslag nodig om gegevens op te slaan. Voorbeelden van grondslagen zijn een overeenkomst, een wettelijke verplichting of een gerechtvaardigd belang. Heb jij bijvoorbeeld een webshop, dan heb je een naam en adres nodig om een pakketje te kunnen versturen en valt het verzamelen van deze gegevens onder gerechtvaardigd belang.

Openheid

Er wordt verwacht dat je transparant bent over hoe je persoonsgegevens verwerkt. Omschrijf in begrijpelijke en duidelijke taal welke gegevens je opslaat en voor welke doeleinden je die gegevens gebruikt. Je kunt deze transparantie geven in een privacyverklaring. Hier hoort onder andere in te staan wat het doel en de rechtsgrond is, de bewaartermijn en de rechten van de betrokkene. Dit zijn rechten als inzage, het wissen van gegevens en het aanpassen van de gegevens.

Privacy by Default en Privacy by Design

Met Privacy by Default wordt bedoeld dat de privacy van jouw klanten altijd prioriteit moet zijn. De instellingen van een app, programma, website of dienst horen zo ingericht te worden dat ze maximale privacy geven. Zomaar gegevens opslaan, zoals een geboortedatum of telefoonnummer, mag niet meer als daar geen doel voor is gedefinieerd. Met Privacy by Design wordt bedoeld dat zodra je een nieuw product of dienst gaat ontwerpen, privacy een belangrijk onderwerp moet zijn. Een voorbeeld hiervan is het anonimiseren van persoonsgegevens.

Klantverzoeken

Met de nieuwe wet krijgen klanten meer rechten. Zo hebben zij het recht de persoonsgegevens in te zien, te corrigeren, of te laten verwijderen. Ook hebben zij het recht op bezwaar van het gebruik van persoonsgegevens. Mocht een klant deze verzoeken hebben, dan is het belangrijk dat je hier een procedure voor hebt zoals een inzageprotocol en een procedure om gegevens te corrigeren of te verwijderen.

Genoeg voor nu lijkt me… succes met alle actiepunten de komende tien dagen.