Categorieën

Zonder toestemming klantgegevens opslaan, gebruiken of delen? Die tijden zijn voorbij sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AGV) in 2018. Deze Nederlandse versie van de Europese privacywet stelt een aantal scherpe eisen aan hoe je zorgvuldig met (digitale) persoonsgegevens en privacy omgaat. Maar wat de AVG precies is? En waar moet je rekening mee houden? In dit artikel lees je hoe je in 8 stappen je bedrijf AVG-proof maakt. 

In het kort

  • De AVG (Algemene Verordening Gegevensbescherming) stelt strikte eisen aan hoe bedrijven met persoonsgegevens en privacy omgaan.
  • Het doel van de AVG is het beschermen van privacyrechten in een gedigitaliseerde samenleving.
  • Volg 7 stappen om je bedrijf AVG-proof te maken, waaronder bewustwording creëren, persoonsgegevens inventariseren en zorgen voor aantoonbare toestemming.
  • Klanten hebben het recht om hun opgeslagen persoonsgegevens in te zien, te corrigeren of te verwijderen.
  • Sluit verwerkersovereenkomsten met partijen die persoonsgegevens verwerken en neem beveiligingsmaatregelen om gegevens te beschermen. Ontwikkel procedures voor het omgaan met datalekken.

Inhoudsopgave

Snel inzicht in de belangrijkste ondernemerszaken: met de Top 3 Scans van De Zaak: de AOV Scan, de Aftrekposten Scan en de Pensioen Scan

Wat is de AVG?

Sinds 25 mei 2018 is in alle landen in de Europese Unie nog maar één privacywetgeving van toepassing: de GDPR (General Data Protection Regulation).

In Nederland zijn deze nieuwe privacyregels verwerkt in de AVG, de opvolger van de Wet bescherming persoonsgegevens. De AVG volgt de Europese richtlijnen die zijn vastgesteld in de GDPR, maar biedt ook enige ruimte voor nationale keuzes. In Nederland zijn deze keuzes uitgewerkt in de UAVG (Uitvoeringswet Algemene verordening gegevensbescherming).

Wat is het doel van de AVG?

Het doel van de AVG is het beter beschermen van privacyrechten in onze sterk gedigitaliseerde samenleving. Om dat te bereiken krijgt je organisatie meer verantwoordelijkheden en plichten. De AVG geldt daarom voor alle zelfstandige ondernemers, bedrijven of organisaties die privacygevoelige data verwerken.

Nu ligt 2018 alweer een tijdje achter ons. En hoewel bijna iedereen wel bekend is met de term AVG, zijn er genoeg ondernemers die niet precies weten wat de nieuwe privacywet inhoudt en hoe je de regels correct toepast in de praktijk. En dat kan vervelende situaties opleveren. Van boze klanten tot torenhoge boetes. Situaties die je dus liever vermijdt.

Volg daarom deze 8 stappen en maak je onderneming AVG-proof.

In 7 stappen AVG-proof

Stap 1: Werk aan bewustwording 

Persoonsgegevens en privacy is iets waar je zorgvuldig mee omgaat. Creëer daarom een stukje bewustwording bij jezelf en je werknemers. Besteed bijvoorbeeld aandacht aan het thema met interne mailings of trainingen over hoe je persoonsgegevens goed bewaart en verwerkt op de juiste manier.

Stap 2: Inventariseer welke persoonsgegevens je verwerkt

Daarnaast is inventarisatie belangrijk. Welke persoonsgegevens van klanten en medewerkers verzamelen en verwerken jullie? Hoe bewaar je de gegevens én met welk doel? Het doel moet vanaf het begin duidelijk zijn. Je mag dus niet zomaar persoonsgegevens opslaan, omdat ‘die misschien ooit nog van pas komen’. 

Anders gezegd: je mag alleen persoonsgegevens verwerken als het echt niet anders kan; dus noodzakelijk om je doel te bereiken. 

Dataminimalisatie

Verzamel alleen persoonsgegevens die strikt noodzakelijk zijn voor je doel. Vraag bijvoorbeeld niet meer gegevens dan nodig voor het abonneren op een nieuwsbrief.

Stap 3: Zorg voor aantoonbare toestemming

Je mag iemands persoonsgegevens meestal pas verwerken als je daarvoor toestemming hebt. Iemand ongevraagd bombarderen met allerlei marketing e-mails is dus niet toegestaan.

Vrijelijk, ondubbelzinnig, geïnformeerd en specifiek

In veel gevallen moet je expliciete toestemming hebben. Je kunt hierom bijvoorbeeld vragen tijdens het aankoopproces. De AVG stelt dat deze toestemming vrijwillig, geïnformeerd, specifiek en ondubbelzinnig moet zijn.

Een ‘opt-out’ vinkje tijdens het aankoopproces waarmee een klant een vakje uitvinkt om geen marketing gerelateerde e-mails te ontvangen, is dus niet genoeg. 

Je kunt mensen in een online omgeving wel om toestemming vragen door ze:

  • Actief een vakje aan te laten vinken
  • Een elektronisch formulier in te laten vullen
  • Een e-mail aan jou te sturen
  • Een elektronische handtekening te laten zetten
  • Een gescand document met handtekening te laten uploaden


Een mondelinge verklaring is meestal ook voldoende om geldige toestemming te krijgen. Maar ja, hoe bewijs je dit als iemand zich bedenkt? Wees hier dus terughoudend mee. 

Overeenkomst

Je hoeft niet altijd expliciet toestemming te vragen als je gegevens bewaart. Dat heeft te maken met de grondslag voor het verwerken van persoonsgegevens. Soms is persoonsgegevens verwerken en gegevens opslaan gewoonweg noodzakelijk om een (koop)overeenkomst uit te voeren. 

Ben je eigenaar van een webwinkel en bestelt iemand een product? Dan heb je adresgegevens nodig om het product te kunnen verzenden. Je hebt deze gegevens nodig om de koopovereenkomst uit te voeren. Toestemming vragen voor het verwerken van persoonsgegevens voor dat specifieke doel is dan niet nodig. 

Duidelijk doel

Verzamel je de gegevens voor een bepaald doel? Dan mag je diezelfde gegevens niet zomaar voor een ander doel gebruiken.

Cookie statement

Cookies zijn kleine tekstbestanden die websites na een bezoek plaatsen op een computer, mobiele telefoon of tablet. Bedrijven moeten altijd uw toestemming vragen om cookies te plaatsen die inbreuk maken op de privacy. Vaak gaat het dan om ‘tracking’ cookies. Deze cookies houden individueel websitegedrag bij en stellen profielen op voor bijvoorbeeld gerichte advertenties. In een cookie statement vertel je de bezoeker van je website welke cookies je gebruikt op je website. Hier is een voorbeeld van een cookie statement.

Nieuwsbrief De Zaak

De Zaak Op Orde Nieuwsbrief

Een must voor slimme ondernemers die een succesvol bedrijf willen runnen.


Transparantie en documentatie

Wees open en duidelijk naar je klanten over hoe je persoonsgegevens verzamelt en gebruikt. Werk met een up-to-date privacybeleid. Verwerk je beleid in duidelijke, begrijpelijke taal in een document dat makkelijk vindbaar is op je website, bijvoorbeeld via een link in je footer. Hier vind je een privacystatement dat je kunt gebruiken.

Stap 4: Zorg dat klanten altijd hun rechten kunnen uitoefenen

Klanten mogen op elk moment vragen naar welke persoonsgegevens je van ze hebt opgeslagen. Bovendien kunnen ze een correctie of zelfs verwijdering eisen.

Recht op bezwaar

Je klanten hebben het recht om bezwaar te maken tegen elke vorm van direct marketing. Als iemand niet meer benaderd wil worden voor marketingdoeleinden, respecteer je dat verzoek.

Stap 5: Sluit verwerkersovereenkomsten af 

De kans is groot dat je gebruikmaakt van bepaalde leveranciers of serviceproviders die persoonsgegevens van jouw klanten en/of medewerkers verwerken. Denk bijvoorbeeld aan een SAAS-dienstverlener voor je salarisadministratie of een boekhouder. 

Dit soort leveranciers worden in de AVG ‘verwerkers’ genoemd. De AVG geeft aan dat deze zaken onder verwerken van persoonsgegevens vallen: opslaan, wijzigingen, raadplegen, verzamelen, opvragen en vernietigen. Een breed begrip dus waar al snel sprake van is in de samenwerking met andere partijen. 

Je bent verplicht om met deze partijen verwerkersovereenkomsten af te sluiten. In veel gevallen zijn er standaard-verwerkersovereenkomsten beschikbaar die je zelf kunt aanpassen. Geïnteresseerd? Hier vind je een rechtsgeldige verwerkersovereenkomst.

Stap 6: Neem beveiligingsmaatregelen

Een heel belangrijk onderdeel van de AVG is gegevensbeveiliging. Zorg ervoor dat persoonsgegevens veilig worden verwerkt en opgeslagen. Dit houdt ook in dat je maatregelen treft om gegevens te beschermen tegen ongeautoriseerde toegang, verlies en/of beschadiging. Bij maatregelen kun je denken aan versleuteling van gegevens, twee-factor authenticatie, etc.

Andere voorbeelden van beveiligingsmaatregelen: 

  • Gedegen wachtwoordbeleid
  • Gebruik van antivirusprogramma’s en instellen firewall 
  • Rechten- en autorisatiestructuur inrichten
  • Fysieke beschermingsmaatregelen (bijvoorbeeld server in afgesloten ruimte)
  • Procedures opstellen voor opslag, onderhoud en vernietiging van data
  • Back-up beleid opstellen en regelmatig back-ups maken
  • Procedure opstellen voor omgaan met datalekken


Stap 7: Ontwikkel procedures voor datalekken

Bouw procedures in om datalekken te detecteren, te melden en te onderzoeken. Liggen persoonsgegevens van klanten op straat, bijvoorbeeld na het kwijtraken van post of het versturen van een e-mail naar een verkeerd adres? Of ben je het slachtoffer van ransomware en worden persoonsgegevens ‘gegijzeld’? 

Dan moet je dit direct melden bij de toezichthoudende autoriteit. In Nederland is dat de Autoriteit Persoonsgegevens. In sommige gevallen moet je dit ook melden aan de betrokkenen zelf. De incidenten houd je bij in een apart register.

Alles weten over het recht op privacy in de digitale wereld? Bezoek dan eens de website van Autoriteit persoonsgegevens.

Is jouw pensioenpot al gevuld een zorgeloze oude dag? Check binnen 2 minuten welke pensioenopties voor jou (fiscaal) het beste zijn. Start de gratis Pensioen Scan van De Zaak.

Picture of Martin De Coninck

Martin De Coninck

Vanuit mijn werk als freelance copywriter ervaar ik hoeveel er komt kijken bij ondernemen. Tijd is schaars en kennis bijspijkeren op het gebied van ondernemen schiet er al snel bij in. Juist als copywriter vind ik het belangrijk om de tijd te nemen onderwerpen goed te begrijpen en te onderzoeken. Door het vervolgens begrijpelijk op te schrijven wil ik ondernemers kennis bieden en tijd besparen, zodat zij het beste uit hun bedrijf kunnen halen.
Lees ook…
Ben je wel eens onverwacht getrakteerd op een parkeerboete tijdens het laden en lossen? Die frustratie kennen veel ondernemers. Maar wanneer is…
Je moet een onderscheid maken tussen officiële feestdagen en verplichte vrije dagen. Een officiële feestdag is namelijk niet per definitie een…
Consumenten in Nederland kunnen zich beroepen op verschillende wetten en regels als er iets mis is met een afgenomen dienst of product. Maar kun je als…
Compliance is geen modewoord, maar een noodzaak om je bedrijf aan te passen aan het groeiende web aan nationale en internationale wet- en regelgeving….
Om schijnconstructies aan te pakken, is De Wet aanpak schijnconstructies (WAS) in het leven geroepen. Deze wet beschermt werknemers tegen onderbetaling…
Bedrijfshulpverlening (bhv) is een onderwerp dat voor de meeste mkb-ondernemers niet bovenaan hun to-dolijst staat. Maar eigenlijk zou dat wel moeten,…