Het is je, als ondernemer zijnde, vast niet ontgaan dat de Algemene Verordening Gegevensbescherming van kracht is geworden. Deze Europese privacywetgeving is wellicht beter bekend onder de naam ‘AVG’. Deze AVG heeft gevolgen voor jou als ondernemer. Je moet namelijk voldoen aan strenge eisen op het gebied van het beschermen van persoonsgegevens. Het gaat hierbij in het bijzonder om het gebruik en de vastlegging van persoonsgegevens. Denk hierbij bijvoorbeeld aan medewerkers en klanten van jouw onderneming. Heb jij de juiste voorzorgsmaatregelen getroffen om de privacy van jouw klanten, personeel en anderen te
waarborgen?
Om welke persoonsgegevens gaat het eigenlijk?
Uiteraard moet het duidelijk zijn wat precies wordt verstaan onder het begrip persoonsgegevens. Persoonsgegevens zijn die gegevens waaruit rechtstreeks opgemaakt kan worden om wie het gaat. Naam, telefoonnummer en adres zijn bijvoorbeeld direct te herleiden naar een bepaald persoon en daarmee vallen deze onder de dekking van de AVG. Ook het BSN (Burgerservicenummer) valt hieronder.
Het gebruik van deze gegevens is aan strikte wet –en regelgeving gebonden. Wil je deze gegevens toch gaan gebruiken, dan moet je hier een goede reden voor hebben. Deze ‘goede reden’ wordt in de AVG ook wel ‘grondslag’ genoemd. Zo mag je persoonsgegevens gebruiken als iemand je daar uitdrukkelijk toestemming toe heeft gegeven. Bovendien kun je in een aantal gevallen niet anders dan persoonsgegevens gebruiken. Hoe kun je anders een bestelling bij iemand thuis laten bezorgen?
Wat zijn bijzondere persoonsgegevens?
Er zijn ook gegevens die ‘iets zeggen’ over iemand. Je moet hierbij heel breed denken, variërend van bijvoorbeeld de seksuele geaardheid van iemand tot de politieke voorkeur tot iemands gezondheidstoestand. Deze gegevens worden ook wel de bijzondere persoonsgegevens genoemd. Is iemand in aanraking geweest met justitie? Dan vallen ook deze gegevens onder de bijzondere persoonsgegevens. De AVG verbiedt je om bijzondere persoonsgegevens vast te leggen en te gebruiken. Indien je hier een wettelijke uitzondering voor is verleend, dan is dit wel toegestaan.
Extra aandacht voor de beveiliging van persoonsgegevens!
De AVG verplicht je, indien je persoonsgegevens vastlegt of verwerkt, deze goed te beveiligen en te beschermen. De manier waarop je hier invulling aan geeft maak je duidelijk in het privacy statement van jouw bedrijf. Belangrijke aandachtspunten zijn:
- Zorg ervoor dat alleen die mensen die voor de uitoefening van hun taak/functie toegang tot persoonsgegevens nodig hebben, deze toegang hebben.
- Leg alleen die persoonsgegevens vast die echt nodig zijn.
- Je kunt vanuit de AVG de verplichting opgelegd krijgen om een zogenaamd Data Protection Impact Assessment, afgekort een DPIA, uit te voeren. Een DPIA is een uitgebreide analyse waarin de risico’s binnen jouw onderneming in kaart worden gebracht met betrekking tot de verwerking van persoonsgegevens. De risico’s die uit deze analyse naar voren komen kun je op deze manier tijdig elimineren.
- Let erop dat je je houdt aan de wettelijke bewaartermijn van persoonsgegevens. Zo mag je deze bijvoorbeeld niet eindeloos bewaren als je ze niet meer nodig hebt.
Laat weten hoe je omgaat met persoonsgegevens
Zoals je inmiddels wel hebt begrepen stelt de AVG nogal wat eisen aan jou als ondernemer. Er is nog een eis die de AVG stelt en deze heeft alles te maken met verantwoording. Zo dien je jouw medewerkers en klanten en andere relaties te laten weten welke (persoons)gegevens je van hen gebruikt. Bovendien moet je hen laten weten waarom je dit doet. Verder is het belangrijk dat je laat weten of je gegevens doorspeelt aan andere bedrijven of organisaties. Een laatste punt die we graag onder je aandacht willen brengen is dat je verplicht bent om op de website van jouw bedrijf een privacyverklaring te plaatsen.
Een datalek? Verplicht melden!
Het kan natuurlijk gebeuren dat je persoonsgegevens verliest. Ook kunnen deze misbruikt of gestolen worden. Wanneer dit gebeurt, dan noemen we dit een datalek. Een datalek moet je altijd melden bij de Autoriteit Persoonsgegevens. Bovendien moet je dit de betrokken personen laten weten. Als je dit niet op tijd doet, dan riskeer je een flinke boete. Datalekken leg je intern gedocumenteerd vast, want ook dit is een verplichting die uit de AVG voortvloeit.
Maak gebruik van de digitale berichtenbox
Wanneer je gegevensverwerking moet melden bij de Autoriteit Persoonsgegevens, dan kan dit in een aantal gevallen langs de digitale weg. Deze digitale weg heet de berichtenbox en is feitelijk niets anders dan een beveiligde manier van e-mailen. Dit is een snelle manier om als onderneming op digitale wijze berichten uit te wisselen met een groot aantal verschillende Nederlandse overheidsinstanties.
Voor vragen of meer informatie : neem gerust contact met ons op.