15 juni 2018
AVG: de nieuwe privacywet vanaf 25 mei 2018; wat moet ik als bedrijf weten?
De nieuwe privacywet noemen we in het kort ‘AVG’. Dat staat voor Algemene Verordening gegevensbescherming. (De Engelstalige aanduiding GDPR wordt ook nog wel eens gebruikt.) Het is een Europese verordening die als wet geldt binnen alle lidstaten van de EU. De huidige privacywet van Nederland, de Wet bescherming persoonsgegevens (Wbp) vervalt vanaf 25 mei 2018.
De AVG bepaalt hoe bedrijven om moeten gaan met persoonsgegevens en welke rechten burgers hebben als het gaat om gebruik of registratie van hun gegevens.
Lees meer over de wat de AVG precies is op de site van Autoriteit Persoonsgegevens.
Wat is de nieuwe privacywet?
De nieuwe privacywet noemen we in het kort ‘AVG’. Dat staat voor Algemene Verordening gegevensbescherming. (De Engelstalige aanduiding GDPR wordt ook nog wel eens gebruikt.) Het is een Europese verordening die als wet geldt binnen alle lidstaten van de EU. De huidige privacywet van Nederland, de Wet bescherming persoonsgegevens (Wbp) vervalt vanaf 25 mei 2018.
De AVG bepaalt hoe bedrijven om moeten gaan met persoonsgegevens en welke rechten burgers hebben als het gaat om gebruik of registratie van hun gegevens.
Lees meer over de wat de AVG precies is op de site van Autoriteit Persoonsgegevens.
Geldt de AVG ook voor mij als zzp-er of MKB-er?
Ja, de AVG geldt voor álle ondernemers die persoonsgegevens verwerken. Met verwerken wordt bedoeld het opslaan en gebruiken.
En iedere ondernemer verwerkt persoonsgegevens. Dat doet u al als u een klantenbestand heeft. Of gegevens van klanten opslaat op bijv. computer. Maar ook als u opdrachtgevers heeft of werknemers.
De komst van de AVG is al sinds mei 2016 bekend. Ondernemers hebben al vanaf toen de tijd gekregen om zich voor te bereiden.
Wat zijn persoonsgegevens?
Een persoonsgegeven is elk gegeven dat iets over een bepaald persoon zegt en dat naar een persoon is te herleiden. De persoon moet met die gegevens geïdentificeerd kunnen worden of identificeerbaar zijn.
Het gaat alleen over personen, niet over gegevens van organisaties of bedrijven.
Voorbeelden zijn: iemands foto; iemands naam, adres en woonplaats; bankgegevens; BSN; postcodes met huisnummers; KvK-nummer; simkaart gegevens; gegevens over iemands ras, godsdienst of gezondheid (zgn. bijzondere persoonsgegevens met extra bescherming) en soms telefoonnummers, emailadres en kentekens van auto’s.
Wat verandert er met de AVG vergeleken met de oude wet?
De meeste regelingen in de Wbp blijven van belang. Op een aantal punten verandert er wel wat. De belangrijkste veranderingen in de AVG zijn:
- Uw bedrijf mag alleen nog vastleggen wat echt nodig is. Dus zo weinig mogelijk persoonsgegevens vastleggen. En ook niet langer dan nodig.
- U moet laten zien welke gegevens u op welke manier vastlegt en gebruikt. Dat doet u door in kaart te brengen welke gegevens u verwerkt, waarom of met welk doel en voor hoe lang u die bewaart (een ‘verwerkingsregister’).
Kleinere bedrijven hoeven dat niet altijd te doen, maar zeker wél als:
1. U gegevens verwerkt met een hoog privacy risico voor de persoon,
2. Als de verwerking niet-incidenteel is of,
3. Als ‘bijzondere persoonsgegevens’ worden verwerkt (bijv. gegevens over gezondheid of financiën).
De Autoriteit Persoonsgegevens (AP) kan vragen om inzage in het register om zo te controleren of u als ondernemer aan de AVG voldoet. - Als ondernemer moet u kunnen aantonen dat u goed in beeld heeft welke privacy risico’s er in uw organisatie of project zijn. En welke gevolgen de wijze van verwerken op personen heeft.
- U moet uw klanten of contacten actief wijzen op de rechten die ze hebben. Bijv. het recht om te weten wat precies wordt vastgelegd. Maar ook om de gegevens te laten verwijderen en of te wijzigen.
- U houdt ook verantwoordelijkheid voor de manier waarop een eventuele onderaannemer of een bedrijf waarmee u samenwerkt omgaat met de persoonsgegevens van zijn klanten of contacten.
Meer informatie over de AVG en wat er anders is, kunt u hier vinden.
Hoe zorg ik dat mijn bedrijf voldoet aan de AVG?
Een aantal acties die u kunt uitvoeren leest u bij het kopje ‘Wat verandert er met de AVG’. Denk aan het informeren van uw klanten; met afnemers afstemmen hoe zij met uw klantgegevens omgaan; uw personeel bewust maken; e.d.
U kunt ook hulpmiddelen inschakelen om het makkelijker te maken om aan de AVG te voldoen. Want voor kleinere bedrijven kan het best lastig zijn om te voldoen aan de AVG. Het kost immers tijd en moeite en soms ook geld. Onder andere de Autoriteit Persoonsgegevens biedt verschillende hulpmiddelen:
– uitgebreide informatie
– een AVG-Guidelines
– een online regelhulp voor bedrijven.
Misschien heeft uw eigen brancheorganisatie hulpmiddelen ontwikkeld? En uiteraard zijn er natuurlijk ook commerciële partijen die hulp bieden.
Hoe moet ik mijn klanten informeren over de AVG? De nieuwe wet geeft niet aan hoe u uw klanten kunt informeren. Maar de beste manier is het opnemen van een privacyverklaring of statement op uw website. Zie daarvoor hier.
Moet ik klantgegevens op verzoek van klanten altijd verwijderen?
Nee, dat hoeft niet altijd. Burgers hebben het recht om vergeten te worden (‘recht op vergetelheid’), maar dat recht geldt niet altijd.
Alleen in de volgende situaties heeft uw klant het recht om ‘vergeten’ te worden:
- Als het verwerken van de persoonsgegevens niet meer nodig is
Uw bedrijf heeft de persoonsgegevens niet meer nodig voor het doel waarvoor u ze heeft gekregen, opgevraagd of verzameld. - Uw klant trekt een gegeven toestemming in
Uw klant heeft eerder (uitdrukkelijke) toestemming gegeven om zijn gegevens te gebruiken. Maar die toestemming trekt hij nu in. Als er geen andere grondslag is om de gegevens te bewaren, mag de klant verlangen dat ze verwijderd worden. - Uw klant maakt bezwaar
Uw klant maakt bezwaar tegen de verwerking. Dat kan altijd als het gaat om gebruik van gegevens voor direct marketing. Maar ook als de rechten van uw klant zwaarder wegen dan uw belang om de gegevens te blijven gebruiken of bewaren (zie ook opmerking onderaan). - Als de verwerking onrechtmatig is
Dat is bijvoorbeeld het geval wanneer uw bedrijf geen wettelijke grondslag heeft voor de verwerking. - Als de wettelijk bepaalde bewaartermijn voorbij is
Uw bedrijf is wettelijk verplicht om de gegevens na een bepaalde tijd te wissen. - Als het gaat om gegevens van kinderen
Uw klant of betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website (‘dienst van de informatiemaatschappij’).
Uw bedrijf kan naast de bovenstaande regels nóg een reden geven om de gegevens van een klant niet te verwijderen. Dat is als uw belang om de gegevens te behouden (of de rechten en vrijheden van anderen) zwaarder weegt dan het privacybelang van uw klant.
Bijvoorbeeld als uw klant nog recht heeft op garantie door uw bedrijf of als uw klant u wettelijk nog aansprakelijk kan stellen voor uw dienst(verlening) of product.
Wat gebeurt er als ik niet volgens de AVG handel?
De Autoriteit Persoonsgegevens (AP) kan waarschuwingen of boetes aan uw bedrijf opleggen. Die kunnen fors zijn: ze kunnen variëren van enkele € 100 tot € 20 miljoen. Kleinere ondernemers vallen in een lagere categorie tot max € 1 miljoen.
Er wordt wel eens geroepen dat de AP soepel met de AVG zou omgaan. Daar kunt u beter niet op gokken. De AP vindt dat iedereen zorgvuldig met persoonsgegevens moet omgaan. En dat u al vanaf mei 2016 ruim de gelegenheid heeft gehad om dat te regelen. De kans dat er boeten worden opgelegd is groot.
Ben ik aansprakelijk voor fouten van anderen die ik inschakel?
Dat is heel goed mogelijk. U doet er verstandig aan om het risico daarop beperken door uw aansprakelijkheid uit te sluiten in uw algemene voorwaarden.
Deel dit bericht