Het kan je niet ontgaan zijn: binnenkort gaat de Algemene Verordening Gegevensbescherming (AVG) van kracht. Het is de nieuwe Europese privacyverordening die de bescherming van persoonsgegevens in alle EU-lidstaten op dezelfde manier regelt. Het doel van de AVG is onze privacy beter te beschermen en onze rechten wat betreft onze persoonsgegevens te versterken.
DE AVG en jij als ‘natuurlijk persoon’: controle en transparantie
De nieuwe privacyverordening is een uitgebreider dan de Wet bescherming persoonsgegevens (Wbp) die nu geldt. De AVG draait om controle en transparantie. De bescherming van alle informatie die herleidbaar is tot een specifieke Europese burger staat voorop. Je krijgt meer controle over het gebruik van jouw gegevens als ‘natuurlijk persoon’. Onder andere het recht op inzage en het recht op correctie en verwijdering wordt nu anders geregeld. En voordat je iemand toestemming geeft om je gegevens te gebruiken, moeten zij heel duidelijk vertellen waarom zij die gegevens nodig hebben.
Voor wie heeft de AVG gevolgen?
De AVG heeft vooral gevolgen voor iedereen die persoonlijke gegevens verzamelt, verwerkt en bezit. En dat is een grotere groep dan je zo op het eerste gezicht zou denken. De wet geldt namelijk niet alleen voor overheidsinstanties, de zorg en scholen. Het geldt ook voor alle ondernemingen binnen de EU, of het nu om grote multinationals gaat of om eenmanszaken. Zelfs verenigingen en sportclubs krijgen met de AVG-verplichtingen te maken. Bedrijven van buiten de EU die gegevens van Europese burgers verwerken, moeten zich ook aan de AVG houden.
Informatie-, documentatie- en verantwoordingsplicht
Alle organisaties binnen deze groepen hebben nu een informatie-, documentatie- en verantwoordingsplicht. Dat betekent dat je betrokkenen duidelijk moet informeren wat je met hun persoonsgegevens doet. Je moet op verzoek van de Autoriteit Persoonsgegevens verder met documenten kunnen aantonen dat je technische en organisatorische maatregelen hebt genomen om die gegevens te beveiligen. En het betekent dat je als eindverantwoordelijke moet kunnen aantonen dat je aan de AVG-privacyregels voldoet.
De AVG en jij als ondernemer
De AVG heeft daarom ook gevolgen voor jou als ondernemer. Want ongemerkt verzamel en verwerk je meer persoonsgegevens dan je denkt. Verwerken, een woord dat veel terugkomt binnen het AVG-thema, is namelijk een vrij breed begrip. Het staat voor opslaan, inzien, doorgeven, versleutelen, kopiëren, verplaatsen, ordenen, wijzigen, gebruiken en verspreiden of delen met anderen. Maar ook de term ‘persoonsgegevens’ omvat meer dan je verwacht: het betreft alles wat terug te leiden is naar een ‘natuurlijk persoon’.
De persoonsgegevens die je verzamelt en verwerkt
Dat een naam, het adres en een telefoonnummer van iemand persoonsgegevens zijn, zal je niet verbazen. Maar een zakelijk doorkiesnummer of mailadres zijn ook persoonsgegevens. Net als de KvK-gegevens van eenmanszaken en VOF’s. Zelfs het algemene ‘info’- of ‘contact’-mailadres van een eenmanszaak kan een persoonsgegeven zijn, omdat er maar één persoon dat adres gebruikt.
En wat dacht je van een reactie onder een blog? Via het IP-adres is het terug te leiden naar een persoon en valt het onder persoonsgegevens. De gegevens die je verzamelt via Google Analytics zijn persoonsgegevens, net als het delen van artikelen via social media. Je krijgt persoonsgegevens toegestuurd op het moment dat mensen via een formulier op je site contact met je opnemen of zich inschrijven voor je nieuwsbrief. Of wanneer iemand aan de receptiebalie van je bedrijf een bezoekersformulier invult. Als webshop verzamel je gegevens om je orders te kunnen versturen. Met het verzenden van een factuur verwerk je persoonsgegevens. En zo zijn er nog een heleboel voorbeelden te verzinnen.
In sommige gevallen verzamel je misschien bijzondere en gevoelige persoonsgegevens, zoals informatie over ras, geloofsovertuiging, inkomen, medische of biometrische gevens. Fotografen moeten bijvoorbeeld rekening houden met het feit dat foto’s ook bijzondere persoonsgegevens zijn. De AVG schrijft voor wat je moet doen om de privacy van de personen van wie de gegevens zijn, te beschermen.
Grondslagen, doelen en privacyverklaring
De eerste stap in het beveiligen van de persoonsgegevens is bepalen of je ze überhaupt mag verzamelen en verwerken. Je kan dat namelijk alleen doen als je dat op basis van een grondslag uit de AVG mag.
Vanwege de informatieverplichting die je hebt, moet je duidelijk aangeven in je privacyverklaring welke grondslag je gebruikt voor het verzamelen van welke data. Denk daar goed over na. Je kunt namelijk niet van grondslag wisselen of achteraf je werkwijze rechtvaardigen door er een grondslag bij te zoeken.
Vervolgens mogen die gegevens alleen voor een specifiek doel verzameld en alleen voor dat doel gebruikt worden. De AVG heeft die doelen niet vastgelegd. Die mag jezelf bepalen. Vanwege je informatieplicht moet je deze doelen wel opnemen in je privacyverklaring, zodat de personen van wie je de gegevens verzamelt het hoe, wat en waarom weten van jouw vraag.
Zes grondslagen: de basis
Er zijn in totaal 6 grondslagen voor het verzamelen van persoonsgegevens:
– Wettelijke verplichting, je verwerkt gegevens omdat je bijvoorbeeld een factuur verstuurt en die gegevens een bepaalde tijd moet bewaren voor de Belastingdienst
– Overeenkomst, je vraagt om persoonsgegevens omdat je ze bijvoorbeeld bij een verkoopovereenkomst nodig hebt om je product of dienst te leveren
– Gerechtvaardigd belang, je verwerkt persoonsgegevens waarbij je een afweging maakt tussen de belangen van jouw onderneming en die van jouw bezoeker of klant
– Toestemming, om bijvoorbeeld een nieuwsbrief te kunnen versturen
– Algemeen Belang, niet van toepassing voor ondernemers, deze grondslag kan alleen gebruikt worden door de (semi-)overheid
– Vitale belangen, niet gauw van toepassing voor ondernemers. Deze grondslag betreft het verwerken van gegevens door ambulancepersooneel of een arts wanneer iemand behandeld moet worden en door bijvoorbeeld bewusteloosheid geen expliciete toestemming kan geven
Wat moet je doen om aan de AVG te voldoen?
Je moet op verzoek van de Autoriteit Persoonsgegevens kunnen bewijzen dat je je aan de wet houdt. Daarom verzamel je zo min mogelijk data en vraag je voor het verzamelen van persoonsgegevens uitdrukkelijk om toestemming. Je moet achteraf kunnen bewijzen dat je die toestemming ook expliciet gekregen hebt. De data die je verzamelt, beveilig je zo goed mogelijk.
Om aan te tonen dat je dit allemaal doet en je dus aan de AVG-regels houdt, leg je de bewijzen hiervoor in een aantal documenten vast:
– een verwerkingregister, een register waarin je bijhoudt welke categorieën persoonsgegevens je met welk doel verzamelt, waar je ze bewaart en wat je er in de praktijk mee hebt gedaan. Het opstellen ervan dwingt je om goed na te denken over wat je doet, op welke manier en waarom. Je mag zelf weten hoe je het register opstelt. De AVG schrijft wel voor welke informatie het moet bevatten.
– een privacy-verklaring, de personen van wie je gegevens verzamelt, moet je in ‘beknopte, transparante, duidelijke en eenvoudige taal’ informeren over onder andere het waarom van het verzamelen van hun gegevens, hun rechten en de manieren waarop jij de gegevens verwerkt en beschermt binnen jouw onderneming. Neem je privacyverklaring op in de footer van je website, maar verwijs er ook naar in bijvoorbeeld het formulier dat mensen kunnen gebruiken om zich in te schrijven voor je nieuwsbrief
– verwerkersovereenkomsten, de verklaringen van derde partijen die jouw gegevens verwerken, zoals bijvoorbeeld je mailprovider, maar ook Google Analytics, Dropbox, je boekhouder en andere services die je gebruikt. In deze verwerkersovereenkomsten verklaren zij hoe zij jouw gegevens verwerken en beschermen.
– beveiligingsmaatregelen en een datalekprotocol, een document waarin je beschrijft welke organisatorische en beveiligingsmaatregelen jijzelf hebt getroffen om de persoonsgegevens en de verwerking ervan te beschermen. In dit document registreer je ook eventuele datalekken en leg je vast hoe je handelt in geval van datalekken.
Stappenplan en de AVG in de ondernemerspraktijk
Wat moet jij nu concreet gaan doen om AVG-proof te zijn en 25 mei met een gerust hart tegemoet te zien? En wat zijn de gevolgen van de AVG voor de dagelijkse praktijk van je onderneming? In dit artikel vind je een stappenplan om je onderneming AVG-proof te maken. Zodat je er straks zo goed als klaar voor bent!