15 juni 2018
Nieuwe privacywet (AVG): wat moet ik als bedrijf weten?
De huidige privacywet van Nederland, de Wet bescherming persoonsgegevens (Wbp), vervalt vanaf 25 mei 2018. Hiervoor in de plaats komt de nieuwe privacywet AVG. Wat betekent dit voor jou als zzp'er of mkb'er?
Wat is de nieuwe privacywet?
De nieuwe privacywet noemen we in het kort 'AVG'. Dat staat voor Algemene Verordening gegevensbescherming. De Engelstalige aanduiding GDPR wordt ook nog wel eens gebruikt.
De AVG is een Europese verordening die als wet geldt binnen alle lidstaten van de EU. Deze wet bepaalt hoe bedrijven om moeten gaan met persoonsgegevens en welke rechten burgers hebben als het gaat om gebruik of registratie van hun gegevens. Op de website van Autoriteit Persoonsgegevens lees je meer over wat de AVG precies is.
Geldt de AVG ook voor mij als zzp'er of mkb'er?
Ja, de AVG geldt voor álle ondernemers die persoonsgegevens verwerken. Met 'verwerken' wordt bedoeld: het opslaan en gebruiken van persoonsgegevens. Elke ondernemer doet dat. Bijvoorbeeld door een klantenbestand bij te houden, of door gegevens van klanten op te slaan op een computer. Maar ook door opdrachtgevers of werknemers te hebben.
De komst van de AVG is sinds mei 2016 bekend. Ondernemers hebben vanaf toen de tijd gekregen om zich voor te bereiden.
Wat zijn persoonsgegevens?
Een persoonsgegeven is elk gegeven dat iets over een bepaald persoon zegt en dat naar een persoon is te herleiden. De persoon moet met die gegevens geïdentificeerd kunnen worden of identificeerbaar zijn.
Voorbeeld van persoonsgegevens zijn:
- foto
- naam
- adres (deels of volledig)
- bankgegevens
- burgerservicenummer (BSN)
- KVK-nummer
- simkaartgegevens
- gegevens over iemands ras, godsdienst of gezondheid ('bijzondere persoonsgegevens met extra bescherming')
En soms ook: iemands telefoonnummer, e-mailadres en autokenteken.
Let wel: het gaat hierbij alleen over gegevens van personen. Dus niet over gegevens van organisaties of bedrijven.
Wat verandert er met de AVG vergeleken met de oude wet?
De meeste regelingen in de Wbp blijven van belang. Op een aantal punten verandert er wel wat. De belangrijkste veranderingen in de AVG zijn:
1. Je bedrijf mag alleen nog vastleggen wat echt nodig is
Dus zo weinig mogelijk persoonsgegevens vastleggen. En ook niet langer dan nodig.
2. Je moet laten zien welke gegevens je op welke manier vastlegt en gebruikt
Dat doe je door in kaart te brengen welke gegevens je verwerkt, waarom of met welk doel en voor hoe lang je die bewaart (een 'verwerkingsregister'). Kleinere bedrijven hoeven dat niet altijd te doen, maar zeker wél als:
- je gegevens verwerkt met een hoog privacy risico voor de persoon;
- de verwerking niet-incidenteel is óf;
- als 'bijzondere persoonsgegevens' worden verwerkt (bijv. gegevens over iemands gezondheid of financiën).
De Autoriteit Persoonsgegevens (AP) kan vragen om inzage in het register om zo te controleren of je als ondernemer aan de AVG voldoet.
3. Je moet kunnen aantonen dat je de privacyrisico’s binnen jouw organisatie of project kent
En dat je weet welke gevolgen de wijze van verwerken op personen heeft.
4. Je moet je klanten of contacten actief wijzen op hun rechten
Zoals het recht om te weten wat precies wordt vastgelegd. Maar ook om de gegevens te laten verwijderen en of te wijzigen.
5. Je bent verantwoordelijk voor derden waarmee je werkt
Je houdt ook verantwoordelijkheid voor de manier waarop een eventuele onderaannemer of een bedrijf waarmee je samenwerkt omgaat met de persoonsgegevens van diens klanten of contacten.
Hoe zorg ik dat mijn bedrijf voldoet aan de AVG?
Een paar acties die je kunt uitvoeren lees je bij het bovenstaande kopje 'Wat verandert er met de AVG'. Denk aan het informeren van je klanten, met afnemers afstemmen hoe zij met je klantgegevens omgaan, en je personeel bewust maken. Je kunt ook hulpmiddelen inschakelen om het makkelijker te maken om aan de AVG te voldoen. Want voor kleinere bedrijven kan het best lastig zijn om te voldoen aan de AVG. Het kost immers tijd en moeite en soms ook geld.
Onder andere de Autoriteit Persoonsgegevens biedt verschillende hulpmiddelen:
- uitgebreide informatie
- AVG-guidelines
- online regelhulp voor bedrijven
Mogelijk heeft jouw eigen brancheorganisatie ook hulpmiddelen ontwikkeld. En natuurlijk zijn er commerciële partijen die hulp bieden.
Hoe moet ik mijn klanten informeren over de AVG?
De nieuwe wet geeft niet aan hoe je je klanten kunt informeren. Maar de beste manier is om een privacyverklaring of statement te plaatsen op je website. Op de website van Autoriteit Persoonsgegevens vind je hier meer praktische informatie over.
Moet ik klantgegevens altijd verwijderen op verzoek van klanten?
Nee, dat hoeft niet altijd. Burgers hebben het recht om vergeten te worden ('recht op vergetelheid’', maar dat recht geldt niet altijd. Alleen in de volgende situaties heeft jouw klant het recht om 'vergeten' te worden:
- Als het verwerken van de persoonsgegevens niet meer nodig is: jouw bedrijf heeft de persoonsgegevens niet meer nodig voor het doel waarvoor je ze hebt gekregen, opgevraagd of verzameld.
- De klant trekt een gegeven toestemming in: jouw klant heeft eerder (uitdrukkelijke) toestemming gegeven om diens gegevens te gebruiken. Maar die toestemming trekt de klant nu in. Als er geen andere grondslag is om de gegevens te bewaren, mag de klant verlangen dat ze verwijderd worden.
- De klant maakt bezwaar: jouw klant maakt bezwaar tegen de verwerking. Dat kan altijd als het gaat om gebruik van gegevens voor direct marketing. Maar ook als de rechten van de klant zwaarder wegen dan jouw belang om de gegevens te blijven gebruiken of bewaren.
- Als de verwerking onrechtmatig is: dat is bijvoorbeeld het geval wanneer jouw bedrijf geen wettelijke grondslag heeft voor de verwerking.
- Als de wettelijk bepaalde bewaartermijn voorbij is: jouw bedrijf is wettelijk verplicht om de gegevens na een bepaalde tijd te wissen.
- Als het gaat om gegevens van kinderen: de klant of betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website ('dienst van de informatiemaatschappij').
Je bedrijf kan naast de bovenstaande regels nóg een reden geven om de gegevens van een klant niet te verwijderen. Dat is als jouw belang om de gegevens te behouden (of de rechten en vrijheden van anderen) zwaarder weegt dan het privacybelang van je klant. Bijvoorbeeld als de klant nog recht heeft op garantie door jouw bedrijf. Of als de klant je wettelijk nog aansprakelijk kan stellen voor je dienst(verlening) of product.
Wat gebeurt er als ik niet volgens de AVG handel?
De Autoriteit Persoonsgegevens (AP) kan waarschuwingen of boetes aan je bedrijf opleggen. Die kunnen fors zijn: ze kunnen variëren van enkele honderden euro's tot wel 20 miljoen euro. Kleinere ondernemers vallen in een lagere categorie tot maximaal 1 miljoen euro.
Er wordt wel eens geroepen dat de AP soepel met de AVG zou omgaan. Daar kun je beter niet op gokken. De AP vindt dat iedereen zorgvuldig met persoonsgegevens moet omgaan. En dat je al vanaf mei 2016 ruim de gelegenheid hebt gehad om dat te regelen. De kans dat er boeten worden opgelegd is groot.
Ben ik aansprakelijk voor fouten van anderen die ik inschakel?
Dat is heel goed mogelijk. Je doet er verstandig aan om het risico daarop beperken door jouw aansprakelijkheid uit te sluiten in je algemene voorwaarden.
Deel dit bericht