De Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening die de bescherming van persoonsgegevens in alle EU-lidstaten op dezelfde manier regelt. Het doel van de AVG is de privacy van Europese burgers te beschermen en hun rechten wat betreft het gebruik van hun persoonsgegevens te versterken.
Deze verordening regelt kort gezegd het verzamelen, opslaan en verwerken van persoonsgegevens. Dit brengt verplichtingen mee voor jou als ondernemer. Want zonder dat je het weet, verzamel je meer persoonsgegevens dan je denkt en is de AVG dus ook op jou van toepassing.
Onder de AVG mag je als ondernemer alleen nog persoonsgegevens verzamelen als je daarvoor minstens één grondslag uit de AVG kan gebruiken. Dat is iets om goed over na te denken: je kunt namelijk niet van grondslag wisselen of achteraf een grondslag zoeken om je werkwijze te rechtvaardigen.
AVG grondslagen, doelen en je privacyverklaring
Naast het bepalen van de grondslag, moet je ook nadenken over het waarom van het verzamelen van de gegevens. Je mag gegevens alleen met een bepaald doel verzamelen en die gegevens ook voor niks anders dan dat specifieke doel gebruiken. Die doelen zijn niet vastgelegd in de AVG en mag je zelf bepalen.
Met het ingaan van de AVG heb je als ondernemer niet alleen een documentatie- en verantwoordingsplicht, maar ook een informatieplicht. Vanwege de informatieplicht moet je in je privacyverklaring vertellen op basis van welke grondslag je persoonsgegevens verzamelt. Je moet daarnaast ook de doelen opnemen in je privacyverklaring, zodat het voor de personen van wie je de gegevens verzamelt, duidelijk is waarom je om de gegevens vraagt en waarvoor je ze specifiek gebruikt.
Grondslagen: de basis om gegevens te verzamelen
Maar welke zijn nu precies die grondslagen? De AVG noemt er 6 in totaal, waarvan er 4 voor ondernemers van toepassing zijn:
- Wettelijke verplichting
Soms ben je wettelijk verplicht om persoonsgevens te verwerken. Denk bijvoorbeeld aan een factuur die je verstuurd voor een gekocht product. Die factuur moet je, inclusief persoonsgegevens, 7 jaar bewaren voor de Belastingdienst. Ook andere administratieve documenten, zoals je eventuele loonadministratie, kopietjes van identiteitsbewijzen, arbeidsovereenkomsten en ziektestaten vallen hier onder. - Uitvoering van de overeenkomst
Er zijn situaties waarin je persoonsgegevens van de andere partij nodig hebt om een overeenkomst uit te voeren. Belangrijke richtlijn bij deze grondslag is dat zonder die persoonsgegevens de overeenkomst niet door kan gaan. Zo kun je geen producten uit je webshop leveren, als je niet minstens de naam en het adres van de koper kunt verwerken. En als online coach kun je je cliënten niet verder helpen als je niet minstens een naam, een mailadres en een skypenaam hebt om contact te houden.
Meer dan de persoonsgegevens die je nodig hebt voor het uitvoeren van een overeenkomst mag je echter niet vragen. Je kunt dus niet om extra gegevens vragen, die niet noodzakelijk, maar wel ‘handig’ zouden zijn voor jou. - Gerechtvaardigd belang
Deze grondslag is vooral een belangenafweging tussen jouw belang als ondernemer en de privacyrechten en grondrechten van de betrokken persoon. Het verwerken van gegevens mag niet een te sterke inbreuk maken op de privacy van de betrokkene. Je kunt als ondernemer gebruik maken van deze grondslag voor bijvoorbeeld je personeelsadministratie, maar ook voor je Direct Marketing activiteiten, zoals het versturen van informatiemails of nieuwsbrieven, en het beveiligen van je computersystemen door gegevens als inlognamen/wachtwoorden te verwerken. Iedereen mag bezwaar maken tegen het gebruik van hun gegevens. - Toestemming
Onder de AVG zijn de voorwaarden om toestemming te krijgen vrij streng. Stilzwijgende toestemming is niet voldoende. De toestemming moet expliciet gegeven zijn door de betrokkene nadat hij of zij duidelijke informatie heeft gekregen over het doel van het vragen naar gegevens. De toestemming moet daarnaast net zo makkelijk weer ingetrokken kunnen worden als het gegeven is.
Een goed voorbeeld van expliciete toestemming geven is een inschrijving voor bijvoorbeeld een webinar onder de AVG. De toestemming is ‘expliciet’ als inschrijvers een ‘actieve handeling’ verrichten om toestemming te geven. Dit kan door met een muisklik de checkbox voor de zin ‘Ik wil meer informatie over het webinar’ aan te vinken. De geïnteresseerden in je webinar mag je daarna niet automatisch op je maillijst voor je nieuwsbrief zetten. Daar moeten zij, opnieuw, expliciet toestemming voor geven door in het aanmeldformulier de checkbox om de nieuwsbrief te ontvangen aan te klikken. - Algemeen Belang en Vitale belangen
Deze grondslagen zul je als ondernemer niet gauw kunnen gebruiken. De grondslag voor Algemeen Belang kan alleen gebruikt worden door de (semi-)overheid. De grondslag Vitale belangen geldt voor de situaties waarin iemands leven of gezondheid op het spel staat en betreft ambulancepersoneel of artsen. Je kunt daarbij denken aan het verwerken van gegevens van een persoon die na een ongeluk in een ziekenhuis belandt en vanwege bewusteloosheid of de mentale staat waarin hij/zij verkeert, die toestemming niet kan geven.