Alles over de AVG in Nederland

De Algemene Verordening Gegevens, ook wel AVG, is in 2018 het gesprek van de dag geweest. “Ben jij al klaar voor de AVG?” of “Hoge boetes als jij je niet aan de AVG houdt” heb je ongetwijfeld voorbij zien komen. Nu ruim drie jaar later zijn deze berichten uit de media verdwenen en wachten we alleen nog op de berichten over de hoge boetes voor grote bedrijven. Wie heeft de Autoriteit Persoonsgegevens deze keer te pakken? 

De gevolgen van de AVG zijn voor ieder bedrijf anders. Voor het gemiddelde MKB-bedrijf dat niet op grote schaal persoonsgegevens verwerkt zal de Autoriteit Persoonsgegevens waarschijnlijk niet eens uit bed komen. Toch moet je als ondernemer wel zorgen dat je zorgvuldig omgaat met persoonsgegevens. Waarschijnlijk doe je al veel goed! Dus nog een reden om niet in de stress te schieten. 

Ondanks dat je niet wakker hoeft te liggen van de AVG, moet je als ondernemer wel zorgen dat je zorgvuldig met persoonsgegevens van anderen omgaat. Als het misgaat, dan kan het ook goed misgaan! Niet alleen kan de Autoriteit een gigantische boete opleggen, je zult ook reputatieschade oplopen, hoge juridische kosten hebben en het kan zelfs leiden tot bestuurdersaansprakelijkheid bij een faillissement. Voorkom dit!

Persoonsgegevens

Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent alle informatie die direct of indirect naar een natuurlijk persoon te herleiden is, valt onder deze definitie. Met andere woorden: de gegevens moeten over een persoon gaan. Wanneer de gegevens niet iets zeggen over een persoon, dan zijn het geen persoonsgegevens. Een naam en adres zijn zeer bekende (en vanzelfsprekende) persoonsgegevens. De prijs van een product is bijvoorbeeld geen persoonsgegeven, want dit gegeven heeft geen betrekking op een persoon. Gegevens van overleden personen of van organisaties zijn ook geen persoonsgegevens. 

Verwerken persoonsgegevens

De privacy wet- en regelgeving geldt voor alle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers. Zodra je bedrijfsmatig persoonsgegevens gaat verwerken, zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie, val je onder de bepalingen van de AVG. Het voorgaande betekent ook dat als je persoonsgegevens puur op persoonlijke grond verwerkt, dat je niet onder de bepalingen van de AVG valt. Dit is het geval bij bijv. een verjaardagskalender of een adressenbestand van vrienden en familie. 

Verwerken van persoonsgegevens is een dermate breed begrip dat alles wat je met persoonsgegevens doet valt onder ‘verwerken’. Onthoud dat alles wat je met de gegevens doet als je ze ‘in handen krijgt’ tot het moment dat je ze hebt verwijderd (en eigenlijk ook daarna nog) valt onder verwerken. Zodra jij persoonsgegevens verwerkt, ben jij verantwoordelijk voor die gegevens, al dan niet als verwerker of verwerkingsverantwoordelijke. Ga jij niet zorgvuldig met deze gegevens om, dan kan dit je geld gaan kosten. 

Als het misgaat, dan kan het ook goed misgaan! Niet alleen kan de Autoriteit Persoonsgegevens een gigantische boete opleggen, je zult ook reputatieschade oplopen, hoge juridische kosten hebben en het kan zelfs leiden tot bestuurdersaansprakelijkheid bij een faillissement. Voorkom dit!

Zodra jij persoonsgegevens verwerkt moet jij je houden aan de regels van de AVG. ‘Verwerken’ is echt letterlijk alles wat je met persoonsgegevens kunt doen, zoals opslaan, verkopen, doorsturen, bewaren en zelfs verwijderen van persoonsgegevens. Dus heb jij persoonsgegevens in je bezit en doe jij daar dingen mee, houd je aan de AVG!

Wat moet je als ondernemer regelen?

Er zijn een aantal zaken die je als ondernemer gewoon moet regelen. Dit is niet een vrijblijvend rijtje die je ooit een keer kunt oppakken: je moet dit regelen. Waar moet je als ondernemer rekening mee houden:

  • Plaats een privacyverklaring op je website.
  • Informeer bezoekers over cookies (cookieverklaring).
  • Ga zorgvuldig met persoonsgegevens om en beveilig ze goed zodat – naast jou –  niemand erbij kan.
  • Bewaar alleen persoonsgegevens die je nodig hebt.
  • Verwerk niet meer gegevens dan nodig is: is alleen een naam en e-mailadres voldoende, vraag dan niet ook om een woonadres.
  • Deel persoonsgegevens alleen met bedrijven en personen die deze gegevens echt nodig hebben om een dienst te kunnen uitvoeren.
  • Verkoop nooit de persoonsgegevens van anderen. 
  • Sluit verwerkersovereenkomsten met bedrijven die toegang krijgen tot persoonsgegevens van jouw klanten (die heb ik uiteraard voor je).
  • Houd een verwerkingsregister bij van alle verwerkingen (dit heb ik ook voor je).

Dus onthoud: verzamel alleen die gegevens die je echt nodig hebt! Verwijder de rest. 

Behandel de persoonsgegevens van anderen precies zoals jij wilt dat anderen met jouw persoonsgegevens omgaan! 

Blijf opletten 

Elk bedrijf dient verantwoord met persoonsgegevens om te gaan en ervoor te zorgen dat niet in strijd wordt gehandeld met de geldende wetgeving. Naleving van wetgeving vergt enige inspanning van jou en je bedrijf en om deze inspanningsverplichting overzichtelijk te houden is het van belang dat je jaarlijks blijft evalueren of alles in je bedrijf nog conform het stappenplan wordt uitgevoerd. 

Houdt in je achterhoofd dat de Autoriteit Persoonsgegevens in geval van overtreding van de AVG de bevoegdheid heeft om boetes en maatregelen op te leggen. De boetes zijn echt niet mals. Dit is nog afgezien van reputatieschade, commerciële conflicten of een eventueel faillissement.

Download gratis stappenplan “verwerking persoonsgegevens”

Wil je meer informatie over de verwerking van persoonsgegevens? Download het stappenplan!

Plaats een reactie