Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht in Nederland. De AVG is een Europese verordening die de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele Europese Unie standaardiseert. Deze nieuwe privacywetgeving geldt voor de gehele Europese Unie.
Onder de AVG moeten bedrijven en organisaties ervoor zorgen dat klantgegevens goed worden bewaard en beschermd. Het doel is niet alleen om de bescherming van persoonsgegevens binnen de Europese Unie te waarborgen, maar ook om het vrije verkeer van gegevens binnen de Europese interne markt te bevorderen.
AVG: van toepassing op alle ondernemers
De AVG geldt voor alle ondernemers, inclusief zelfstandigen, zzp’ers en mkb’ers die persoonsgegevens verwerken. Het ‘verwerken van persoonsgegevens’ omvat onder andere het verzamelen, vastleggen, opslaan, gebruiken, doorsturen, verspreiden, beschikbaar stellen en samenbrengen van gegevens.
Het maakt niet uit hoe u de gegevens verwerkt (handmatig of automatisch) of of u de gegevens voor uzelf of voor iemand anders verwerkt.
Wanneer mag u persoonsgegevens verwerken?
Niet iedereen mag zomaar persoonsgegevens verwerken. U moet voldoen aan minimaal een van de volgende voorwaarden:
- U heeft toestemming van de persoon om wie het gaat.
- U moet de persoonsgegevens verwerken om een overeenkomst uit te voeren (bijvoorbeeld een adres verwerken om een gekocht product te laten bezorgen of om iemand te informeren over diensten die hij of zij afneemt).
- U moet de persoonsgegevens verwerken om een wettelijke verplichting na te komen.
- U moet de persoonsgegevens verwerken om iemands leven of gezondheid te beschermen.
- U moet de persoonsgegevens verwerken om een taak van algemeen belang uit te voeren.
- U moet de persoonsgegevens verwerken in uw personeelsadministratie om salaris uit te kunnen betalen.
Informeer uw klanten
Zorg ervoor dat uw klanten goed geïnformeerd zijn over hun rechten. Laat hen weten (bijvoorbeeld via uw website, algemene voorwaarden, contracten en overeenkomsten) hoe en waarom u hun gegevens verwerkt. Informeer hen dat zij altijd hun gegevens mogen inzien, aanpassen en verwijderen, en dat zij eerder gegeven toestemming altijd kunnen intrekken. Ook mogen klanten altijd een klacht indienen bij de Autoriteit Persoonsgegevens. De AP is verplicht deze klachten in behandeling te nemen.
Meldplicht bij datalekken
Een datalek vormt een serieus risico voor bedrijven. De Wet Meldplicht Datalekken, opgesteld door de AVG, bepaalt dat bedrijven of organisaties een datalek binnen 72 uur na ontdekking moeten melden bij de toezichthouder. Deze meldplicht houdt in dat bedrijven, overheden of andere organisaties die met persoonsgegevens te maken hebben, deze datalekken moeten melden aan de Autoriteit Persoonsgegevens (AP).
In sommige gevallen moeten ook de personen die het slachtoffer zijn geworden van een datalek op de hoogte worden gebracht. Dit is het geval als er risico’s bestaan voor de privacy van de betrokken personen. De meldplicht is er om te zorgen dat de gevolgen van een datalek zoveel mogelijk worden beperkt en om het beschadigd vertrouwen in de omgang met persoonsgegevens te herstellen. Voor meer informatie over de AVG en voor het melden van een datalek, kunt u terecht op de website van de Autoriteit Persoonsgegevens.
Meer weten?
Onder de AVG worden ondernemers gedwongen zorgvuldig om te gaan met de persoonsgegevens van hun medewerkers en klanten. Dit kan behoorlijk ingewikkeld zijn. Op de site van de Autoriteit Persoonsgegevens (AP) vindt u meer informatie en kunt u terecht voor het melden van een datalek: Autoriteit Persoonsgegevens.
