De Algemene Verordening Gegevensbescherming is de privacywet die in 2018 is ingegaan. Iedereen snapt wel dat de privacy van mensen voor grote bedrijven beschermd moet worden, maar wat moet jij als kleine mkb’er of zzp’er hier nu wel en niet mee?
Waarom de AVG?
De AVG is er om de persoonsgegevens van mensen te beschermen. In het verleden werd daar maar al te vaak misbruik van gemaakt. Dan werden persoonsgegevens doorgespeeld of doorverkocht aan derden. Soms voor criminele activiteiten, maar vaak voor commerciële doeleinden. De AVG is Europese wetgeving en wordt ook wel de GDPR, de General Data Protection Regulation genoemd.
Elke ondernemer verwerkt persoonsgegevens
De AVG komt om de hoek kijken als je persoonsgegevens verwerkt. Denk aan naam, contactgegevens, bankgegevens, geboortejaar, foto’s, BSN, enz. Aangezien élke ondernemer klanten heeft, verwerk ook jij persoonsgegevens en heb je met de AVG te maken. Met verwerken bedoelen we o.a. het verzamelen, opslaan en gebruiken van gegevens.
In de wet is er ook sprake van bijzondere persoonsgegevens. Dat zijn gevoelige gegevens zoals ras, seksuele voorkeur, godsdienst en gezondheid. Een foto is dus ook een bijzonder persoonsgegeven, want daar is het ras vanaf te leiden.
Het is verboden om bijzondere persoonsgegevens te verwerken, behalve als er een wettelijke grondslag voor is én een van de tien uitzonderingen van toepassing is.
Wat je zeker moet weten: de wettelijke grondslag
Je mag alleen persoonsgegevens verwerken als je er een wettelijke grondslag voor hebt. Er zijn zes van deze grondslagen:
- Je hebt toestemming van de persoon over wie het gaat.
- Het verwerken is noodzakelijk voor het uitvoeren van een overeenkomst. Dat geldt voor heel veel ondernemers, maar bijvoorbeeld niet voor een winkelier.
- Het is wettelijk verplicht. Bijvoorbeeld als je personeel hebt.
- Het is van vitaal belang. Bijvoorbeeld als het leven of de gezondheid van die persoon bedreigd wordt.
- Er is sprake van een taak van algemeen belang of openbaar gezag. Dit geldt met name voor overheidsinstanties.
- In geval van een gerechtvaardigd belang. Uw belang om gegevens te verwerken weegt dan zwaarder dan de privacy de betreffende persoon.
Ondernemers hebben vaak als geldige reden (grondslag) om persoonsgegevens te verwerken: toestemming (klant), een overeenkomst (klant) of een wettelijke verplichting (personeel).
Download het stappenplan ‘Hoe bepaal ik of ik persoonsgegevens mag verwerken?’ van de Autoriteit Persoonsgegevens.
Wat je zeker moet weten: privacy risico’s en verwerkingsregister
Heb je nog niets geregeld voor de AVG? Breng dan toch de privacy risico’s eens in kaart. Het zal wel niet zo’n vaart lopen en de Autoriteit Persoonsgegevens zal wel niet volgende week bij jou op de stoep staan, maar toch… Als er ooit gegevens van jou op straat komen te liggen, dan weet je in ieder geval wat en hoe. Leg daarom eens vast welke gegevens je waarom, wanneer en hoe vastlegt. Als je hiervoor een zogenaamd verwerkingsregister hanteert dan vergeet je niks.
Breng met een verwerkingsregister de privacy risico’s voor je onderneming in kaart. Dat is voor ondernemingen met minder dan 250 werknemers sowieso verplicht als de verwerking niet incidenteel is.
En het is nooit incidenteel als je klanten of werknemers hebt. Dan verwerk je op structurele basis persoonsgegevens…
Wat je zeker moet weten: alleen verwerken wat noodzakelijk is
De meeste ondernemers houden dus persoonsgegevens bij. Maar… je mag alleen die gegevens verwerken die noodzakelijk zijn voor het doel waarvoor je ze verzamelt. Je moet dan bovendien op een zo veilig mogelijke manier doen. Denk daarbij voornamelijk aan het digitaal vastleggen, maar het geldt ook voor papieren klant- en personeelsdossiers.
Wat je zeker moet weten: als het misgaat
Je vergeet in de trein je laptop, je verliest je telefoon, je laat een klantdossier op de bouwplaats liggen, er wordt op je kantoor ingebroken, je computernetwerk wordt gehackt of je stuurt een e-mail naar de verkeerde persoon. In alle gevallen is er sprake van een datalek. Je moet dan een aantal dingen doen:
- Check of er inbreuk is gemaakt op de persoonsgegevens. Download het overzicht met voorbeelden.
- De persoon waarover gelekt is, moet geïnformeerd worden.
- Je moet actie ondernemen om de schade te beperken.
- Je moet actie ondernemen om dit in de toekomst te voorkomen.
- Bepaal of je het lek moet melden bij de Autoriteit Persoonsgegevens (AP).
- Meld het lek binnen 72 uur dat het geconstateerd is.
Leg een datalek altijd vast in een datalekregister. Zeker als je het niet aan de AP meldt omdat je denkt dat je het niet hoeft te melden. Daarmee verklein je de kans op boetes.
NOVI verwerkt ook (bijzondere) persoonsgegevens
Ik hou tenslotte jouw administratie bij en doe jouw belastingaangifte. Dat doe ik voornamelijk met software van andere partijen. Daarom maak ik met zowel jou als klant, als met de leveranciers van de software zogenaamde verwerkersovereenkomsten. Daarin staat o.a. vermeld hoe de beveiliging en de geheimhouding is geregeld. Als je wilt weten of jij met klanten verwerkersovereenkomsten moet sluiten, bekijk dan onderstaande video.
NOVI TIP
De kans op boetes is wellicht niet zo groot, maar het is toch verstandig om de privacy risico’s van klanten en werknemers in kaart te brengen in een verwerkingsregister. Dat is verplicht. Leg datalekken altijd vast in een dataregister, hiermee verklein je de kans op boetes.