AVG, Privacy & Data

Daarnaast krijgen de controlerende instanties (in Nederland de Autoriteit Persoonsgegevens) meer bevoegdheden en mogelijkheden om toezicht te houden op de persoonsgegevens.

De Autoriteit Persoonsgegevens (AP) geeft aan dat onder persoonsgegevens wordt verstaan alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon valt. Er wordt gesproken over “alle informatie” dus hier valt niet alleen naam, adres, woonplaats, telefoonnummer, emailadres onder maar bijvoorbeeld ook ras, levensovertuiging of godsdienst, politieke voorkeur, seksuele voorkeur en gezondheid. Deze laatste groep wordt ook wel de bijzondere persoonsgegevens genoemd en deze worden extra beschermd.

Let erop dat er dus een brede interpretatie is wat er onder persoonsgegevens valt. Hier kan dus bijvoorbeeld ook een (pas)foto vallen, een kenteken, het IP-adres, lidmaatschappen etc.Daarnaast beperkt de AVG zich niet enkel op je klanten maar bijvoorbeeld ook op je personeel en leveranciers. Dan maakt het dus niet meer uit of je een kleine ondernemer bent (zelfstandige zonder personeel) of een grote multinational - de AVG overziet heel ondernemend Nederland maar ook stichtingen, verenigingen, ziekenhuizen, scholen, overheidsinstanties etc.

Als onderneming zul je de volgende zaken goed moeten regelen:

• Toestemming: Volgens de AVG heb je toestemming nodig om persoonsgegevens te bewerken (waaronder dus ook verzamelen) en die toestemming moet expliciet zijn. Let erop dat dit niet alleen voor klanten geldt maar voor persoonsgegevens in het algemeen (dus ook personeel, leveranciers etc.).
• Je mag als onderneming alleen persoonsgegevens verwerken die nodig zijn om een bepaald doel te bereiken. Dat doel kan een nieuwsbrief uitsturen zijn maar ook een contract opstellen of factuur sturen.
• Het verlenen van toestemming moet expliciet zijn ofwel iemand moet een handeling doen (op papier of digitaal) om je toestemming te geven persoonsgegevens te verwerken. Automatisch een hokje aangevinkt houden op de website voor het akkoord geven om nieuwsbrieven te ontvangen is dus niet conform de AVG. Daarmee ben je er nog niet als ondernemer want je zult ook moeten kunnen aantonen dat je de toestemming hebt verkregen.
• Iedereen heeft het recht om zijn eigen persoonsgegevens in te zien, aan te passen of te laten vernietigen. Dat houdt wel in dat je als organisatie in staat moet zijn om de persoonsgegevens van een individu binnen acceptabele termijn in een leesbaar formaat op te kunnen leveren.

Specifiek voor ondernemingen die (delen van) administratie uitbesteden zoals personeelsadministratie, dan ontkom je er niet aan om een verwerkersovereenkomst (ofwel bewerkersovereenkomst) te gebruiken. Hiermee regel je de afspraken over het verwerken van persoonsgegevens die jouw onderneming heeft vastgelegd en die een andere onderneming gebruikt.

Websites, waaronder zeker de webshops, zullen altijd worden geconfronteerd met het communiceren welke cookies er worden gebruikt. Functionele cookies worden gebruikt voor een goede gebruikerservaring op een website en die zijn altijd toegestaan. Cookies die gebruikt worden voor zoekmachines, social media, het serveren van advertenties op andere websites etc zullen moeten worden beschreven. Dit doe je in een cookieverklaring en komt ook terug in je privacy policy (hoe ga je als organisatie om met de persoonsgegevens).

Denk er ook aan dat persoonsgegevens zijn vastgelegd in de personeelsadministratie en het personeelsdossier. Er zijn zaken die je nodig hebt zoals het arbeidscontract, het BSN nummer van je werknemer maar het is absoluut verboden om zaken als lidmaatschap vakbond, medische gegevens of seksuele geaardheid op te nemen. Daarnaast zul je afdoende beveiligingsmaatregelen hebben genomen om deze persoonsgegevens veilig te bewaren.

Tot slot is het belangrijk om te weten dat je als organisatie moet beschikken over een verwerkingsregister. Dit valt onder de zogenaamde verantwoordingsplicht die je als onderneming hebt met betrekking tot persoonsgegevens. In dit register van verwerkingsactiviteiten leg je vast welke persoonsgegevens je verwerkt (verzamelt, opslaat, verwerkt), met welk doel je ze verwerkt, waar de persoonsgegevens vandaan komen, waar je ze hebt opgeslagen en met wie je ze eventueel deelt.