Wat je misschien niet wilt, maar wel moet weten over verwerking van persoonsgegevens

Hoe bereid je je voor op de AVG?

Wist je dat een naam al een persoonsgegeven is? Als je dus de naam van je klant opslaat, dan verwerk je al persoonsgegevens.

De Algemene Verordening Gegevensbescherming (AVG) is een Europese regelgeving en vervangt per 25 mei 2018 de Wet bescherming persoonsgegevens. In de AVG zijn de vereisten vastgelegd voor het verzamelen, opslaan, gebruiken en delen van ‘persoonsgegevens’. De nadruk ligt – meer dan nu – op jouw verantwoordelijkheid om te kunnen aantonen dat jij je aan de wet houdt.

In de AVG wordt het begrip persoonsgegevens ruim gedefinieerd als alle gegevens over een natuurlijke persoon. Indien jouw bedrijf over dergelijke gegevens beschikt (via klantendatabanken, ingevulde feedbackformulieren, e-mailberichten, foto’s etc.) of indien je die gegevens wilt gaan verzamelen, moet je voldoen aan de AVG.

Dit geldt voor ZZP’ers, maar ook voor MKB, Multinationals etc. Heb jij jouw zaken niet op orde? Een boete van maximaal 20 miljoen euro kan het gevolg zijn. Om die reden ben ik voor jou en voor mij in de wet AVG gedoken!

Note: Ik wil je er wel op wijzen dat deze blog alleen voor informatieve doeleinden bestemd is en niet kan en mag worden opgevat als juridisch advies.

Soorten persoonsgegevens

Er zijn directe en indirecte persoonsgegevens. Informatie wordt beschouwd als een persoonsgegeven als direct duidelijk is over welke persoon het gaat óf als deze informatie (in combinatie met andere gegevens) naar deze persoon te herleiden is (indirect). Gegevens van overledenen zijn volgens de wet géén persoonsgegevens, tenzij de gegevens wat zeggen over de nabestaanden. Ook gegevens over organisaties zijn geen persoonsgegevens, tenzij je de organisatie min of meer gelijk kunt stellen aan een persoon. Dit is bijvoorbeeld vaak het geval bij een eenmanszaak.

Voorbeelden van direct identificerende persoonsgegevens zijn een geboortedatum, naam en adres. Onder indirect identificerende persoonsgegevens vallen gegevens die niet rechtstreeks een persoon identificeren, maar daar wel betrekking op hebben zoals een telefoonnummer, e-mailadres, bankrekeningnummer, WOZ-waarde, kentekennummer en IP-adres. Zo sla je met het opslaan van iemands pasfoto ook zijn of haar ras op.

Welke persoonsgegevens mag je verwerken?

Je mag persoonsgegevens verwerken wanneer:

  • Je toestemming hebt van de betrokken persoon.
  • De gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst.
  • De gegevensverwerking noodzakelijk is voor het nakomen van een wettelijke verplichting.
  • De gegevensverwerking noodzakelijk is ter bescherming van de vitale belangen. Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid en jij die persoon niet om toestemming kunt vragen.
  • De gegevensverwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  • De gegevensverwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen.

Gegevens mogen nooit gebruikt worden voor het opstellen van profielen. Vraag jezelf daarom altijd af voor welk doel je informatie nodig hebt en of je daar ook echt alle informatie voor nodig hebt die je van mensen vraagt. Zorg dat het voor de mensen duidelijk is waarvoor je de informatie gebruikt en voor hoelang je de gegevens bewaart.

Dit zijn de nieuwe verplichtingen

Als bedrijf dien je jezelf te houden aan een aantal verplichtingen, namelijk:

  • Je moet duidelijk zichtbaar een privacyverklaring op je website hebben. Wil je hulp bij het opstellen van een tekst, gebruik dan deze generator. Hiermee kun je binnen een uur een goede tekst opstellen. Wil je hier graag mijn hulp bij? Neem dan contact met mij op.
  • Je hebt toestemming nodig van de personen van wie je gegevens verwerkt.
  • Personen van wie je gegevens verwerkt, hebben het recht om hun persoonsgegevens in te zien, aan te passen en zelfs te laten verwijderen.
  • Je bent verplicht om bewerkersovereenkomsten te hebben met alle bedrijven die voor jou persoonsgegevens verwerken.
  • Personen van wie je gegevens verwerkt, hebben het recht op het indienen van een klacht bij de Autoriteit Persoonsgegevens (AP).
  • Je hebt meldplicht bij datalekken en dit meld je bij het Meldloket Datalekken AP.

Verstuur jij een nieuwsbrief? Let dan hier op

Ook wanneer jij nieuwsbrieven verstuurt, dien je extra maatregelen te nemen. Zorg ervoor dat je dit alles al voor 25 mei hebt geïmplementeerd:

  • Zorg dat alle opt-ins die je op je website of op je social media kanalen hebt staan, voldoen aan de eisen. Dus zorg ervoor dat mensen weten waar ze zich voor inschrijven en hoe vaak zij een e-mail kunnen verwachten.
  • Wellicht ten overvloede: je mag mensen niet meer mailen wanneer iemand zich uitschrijft voor je nieuwsbrief.
  • Mensen moeten in de gelegenheid zijn terug te kunnen mailen. Gebruik dus geen noreply@ e-mailadres als afzender.
  • Je mag bij een inschrijfformulier alleen iemands naam en e-mailadres opvragen. Wanneer je om andere gegevens vraagt, dien je aan te geven waarom je die nodig hebt.
  • Controleer of de softwareleverancier van jouw nieuwsbrief ‘AVG proof’ is. Werk je net als ik met MailChimp, lees dan hier hun uitleg.

Meer weten? Lees meer op de website van de Kamer van Koophandel. Zij hebben het hele traject stap voor stap beschreven.

Overweldigd door alle informatie of visueel ingesteld? Check hier de afbeelding met schema AVG in een notendop of bekijk deze video. Heb je behoefte aan juridisch advies? Dan verwijs ik je graag door naar Arie Johan van de Graaf van Advocatenkantoor Dex Legal. Ik weet zeker dat hij je hier prima doorheen kan loodsen!

Een reactie plaatsen