appwatching-avg-blog.png

Wat betekent de AVG voor ondernemers?

AVG, GDPR. Vast wel termen die je regelmatig langs hoort komen. De laatste tijd misschien wel steeds vaker. Als het goed is weet je waar de letters voor staan en wat het betekent voor jou als ondernemer. Zo niet, geen zorgen. In dit artikel leggen we je alles uit over wat de AVG precies is, wat de invoering betekent voor jou als ondernemer. En voor degenen die al wel weten wat de AVG is, hebben we handige tips over hoe je compliant wordt. Want hoewel er veel gaat veranderen is de AVG in veel opzichten een papieren tijger. Obstakels zijn er immers om uit de weg te ruimen.

Wat is de AVG nou precies?

Maar, first things first. Wat is nou die AVG? AVG staat voor de Algemene Verordening Gegevensbescherming. Het is een Europese privacywetgeving die de huidige, Nederlandse Wet bescherming persoonsgegevens (Wbp) vervangt die sinds 2001 van kracht is. De Engelse benaming voor de AVG is General Data Protection Regulation, GDPR.

25 mei 2018

De AVG is in april 2016 aangenomen door het Europese Parlement, maar pas uitvoerbaar per 25 mei 2018. In deze tussentijd kunnen ondernemers zich voorbereiden om aan de nieuwe wet te voldoen. Overigens geldt al wel de Wet meldplicht datalekken. Deze wet houdt in dat bedrijven en overheden direct (binnen 72 uur) moeten melden wanneer ze een ernstig datalek hebben ontdekt binnen de organisatie. In sommige gevallen (wanneer de inbreuk van de privacy een hoog risico met zich meebrengt voor de betrokkene) moeten ze het datalek ook melden aan de betrokkenen van wie persoonsgegevens zijn gelekt.

Verbeteren en versterken

Met de AVG wil het Europees Parlement de databescherming van alle mensen in Europa verbeteren en versterken. Door de wet geünificeerd in Europa vast te leggen, hoopt de EU dit te bereiken.

Wie gaat er controleren?

De controle op naleving van de AVG ligt bij de Autoriteit Persoonsgegevens (AP). Dit is een zelfstandig bestuursorgaan, die door de Nederlandse overheid is aangewezen om toezicht te houden op de verwerking van persoonsgegevens. De AP is in 1995 als ‘Registerkamer’ in het leven geroepen nadat destijds de Europese databeschermingsrichtlijn ging gelden. In 2001 veranderde de organisatie van naam, naar het College bescherming persoonsgegevens (CBP), nadat de Wet bescherming persoonsgegevens in werking trad. Op 1 januari 2016 kreeg de organisatie de huidige naam én kreeg het de bevoegdheid om boetes uit de delen. 

Toestemming en verantwoording

Het belangrijkste aspect van de nieuwe wetgeving is dat individuen (consumenten) meer macht krijgen. In de AVG is een artikel opgenomen waarin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken. Eén van deze voorwaarden is dat bedrijven, jij als ondernemer, moeten kunnen bewijzen dat ze geldige toestemming hebben gekregen. Ook moet het voor mensen een stuk gemakkelijker worden om de toestemming in te trekken. Een persoon van wie gegevens zijn opgeslagen staat met de AVG dus sterker in zijn schoenen. Daar komt bij dat een organisatie zich moet kunnen verantwoorden hoe het bepaalde gegevens van een persoon bewaart. 

Wat gaat er veranderen?

Dit is de zogenoemde verantwoordingsplicht: één van de grootste veranderingen met de komst van de AVG. Je moet als organisatie kunnen aantonen dat je voldoet aan de privacyregels, dit heet accountability. Het dwingt je dus als bedrijf goed na te denken over welke gegevens je waar en hoe hebt opgeslagen. 

Beginselen

Je moet als ondernemer te allen tijde kunnen aantonen dat een verwerking van gegevens aan de belangrijkste beginselen voldoet. Denk hierbij aan: 

  • Rechtmatigheid. Ben je wel op een correcte manier aan de gegevens gekomen?
  • Transparantie. Is het voor de betrokkene duidelijk dat zijn persoonsgegevens worden verzameld, gebruikt of geraadpleegd? En waarom en door wie?
  • Doelbinding. Komt het doel van de verzamelde informatie overeen met de reden waarom de informatie is verzameld. Bijvoorbeeld: heb je een e-mailadres verzameld van iemand die bij jou een e-book heeft gedownload, dan mag je deze niet zonder toestemming benaderen met een ander aanbod
  • Juistheid. Kloppen alle verzamelde gegevens nog wel? Zo niet, dan moet je ze kloppend maken of verwijderen.

Wanneer de AP de gegevens opvraagt, moet je deze kunnen overleggen. Het zwaartepunt van de verantwoordelijkheid komt dus bij de organisatie te liggen. 

Voor wie geldt de AVG?

De nieuwe wet is van toepassing op alle organisaties die gedeeltelijk of geheel automatisch gegevens verwerken van klanten, personeel of andere personen uit de EU die in een bestand zijn opgenomen of bestemd zijn om opgenomen te worden in een bestand. In andere woorden: bijna elk bedrijf in Nederland, ook het kleine MKB en ZZP’ers. 

Wat betekent de AVG voor mij als ondernemer?

Zoals je nu wel begrijpt heeft de AVG ingrijpende gevolgen voor de ondernemer. En dit geldt zo’n beetje voor elke ondernemer, want alleen al wanneer je een factuur stuurt naar een klant heb je met de AVG te maken. 

Registerplicht

Om verantwoording af te leggen aan de AP, ben je verplicht een register van verwerkingen te gaan bijhouden. Wanneer je een bedrijf hebt met minder dan 250 mensen in dienst, zoals de meeste ondernemers in Nederland, hoef je ‘alleen’ een register bij te houden bij risicovolle verwerkingen, zoals het opstellen van klantprofielen, niet-incidentele verwerkingen, of bij het verwerken van gevoelige gegevens. Ook als kleine ondernemer val je dus al snel onder de registerplicht. Voor bedrijven met meer dan 250 medewerkers in dienst moeten verplicht álle gegevens worden opgeslagen in het register. 

Wat staat er in het register?

In het register staan zowel de gegevens van de verantwoordelijke als gegevens van de betrokkenen. Denk hierbij aan de volgende informatie: 

  • de naam en contactgegevens van verantwoordelijke en van de functionaris voor gegevensbescherming (indien aanwezig);
  • de doeleinden waarvoor gegevens worden verwerkt
  • een beschrijving van de categorieën van betrokkenen en welke persoonsgegevens er van deze mensen worden verwerkt 
  • vastlegging van doorgegeven persoonsgegevens naar derde partijen, wie deze partijen zijn en of er ook doorgifte naar derde landen gebeurt
  • de bewaartermijnen van de gegevens
  • de manieren waarop gegevens zijn beveiligd (denk aan: encryptie en logische toegangscontrole)

Functionaris voor de gegevensbescherming

Voor een aantal ondernemingen wordt het verplicht een functionaris voor gegevensbescherming (FG) aan te stellen. Dit is een onafhankelijke deskundige die er op toeziet of de AVG wel wordt nageleefd. Om alvast een onderscheid te maken tussen de bedrijven die wel en niet verplicht zijn een FG aan te stellen, volgt hier een lijst met voorwaarden voor organisaties die een FG moeten aanstellen:

  • overheidsinstanties of overheidsorganen
  • organisaties die hoofdzakelijk verwerkingen doen met regelmatige en stelselmatige observatie op grote schaal van betrokkenen
  • organisaties die hoofdzakelijk grootschalige verwerking van bijzondere categorieën persoonsgegevens of strafrechtelijke gegevens doen (denk aan ziekenhuizen en gevangenissen)

Een FG hoeft niet per se iemand van buitenaf te zijn. Het kan ook een personeelslid zijn, die de werkzaamheden op basis van een dienstverleningsovereenkomst verricht. Ook mag je als concern één FG aanstellen, mits de FG op een praktische manier kan samenwerken met de verschillende vestigingen. 

DPIA

Ben je van plan om een nieuw ICT-systeem op te zetten of ga je een nieuwe manier gebruiken om gegevens van mensen te verzamelen? Dan moet je verplicht een DPIA (Data Privacy Impact Assessment) uitvoeren. Dit is een onderzoek dat je doet naar de privacy-effecten van een project. Dit moet je doen voordat je het nieuwe systeem gaat implementeren. Het doel van de assessment is dat je de risico’s voor de privacy in een vroeg stadium in kaart brengt en maatregelen bedenkt waarmee je deze kunt minimaliseren.

Een DPIA is verplicht wanneer het project een verhoogd risico voor de privacy van betrokken personen oplevert. In de AVG staat alleen niet precies beschreven wat een verhoogd risico is. Als ondernemer moet je dit zelf inschatten. Gelukkig heeft de AP wel een aantal criteria op een rij gezet om je bij deze inschatting te helpen.

Tweestapsverificatie

Het versleutelen van persoonsgegevens is in de ogen van de AP niet meer genoeg om volledige bescherming te bieden. Als ondernemer moet je vanaf 25 mei meer doen. Denk aan tweestapsverificatie en het permanent verwijderen van data die niet meer worden gebruikt.

Toestemming

En wanneer je gegevens van een persoon opslaat, moet deze hiervoor expliciet toestemming geven. Ook de manier waarop je toestemming vraagt wordt strenger onder de AVG. Dit moet aan de volgende eisen voldoen:

  • de toestemming moet in vrijheid gegeven zijn. De betrokkene moet ook de gelegenheid krijgen om toestemming te kunnen weigeren
  • de toestemming moet specifiek en op de juiste informatie berust zijn. De verantwoordelijke (jij, als ondernemer) moet duidelijk uitleggen met welk doel je de gegevens verzamelt
  • de toestemming moet een actieve handeling zijn. Dus geen automatische vinkjes meer voor de aanmelding van de nieuwsbrief

Wil je meer weten over hoe je een correcte toestemming krijgt? Bekijk dan eens een aantal aanbevelingen van de International Association of Privacy Professionals.

Lees ook:

Steven Houkes - Webredacteur
Geschreven door:
Steven Houkes
Webredacteur

Steven is als hoofdredacteur van Appwatching degene die de content van de websites creëert en kwaliteit ervan waarborgt. Hij maakt je in zijn nieuwsartikelen, blogs en onderzoeken wegwijs in de materie van cloudsoftware. Hij heeft veel ervaring opgedaan als webredacteur bij RTV Noord en past deze journalistieke kennis toe bij het schrijven van zijn blogs. In zijn vrije tijd doet hij aan voetbal, wielrennen (alleen bij mooi weer) en koken. Heb je vragen? Mail gerust naar steven@appwiki.nl.

Verder lezen


appwatching-chat

Mijnwebwinkel koppelt met LiveChat Service

Klanten van Mijnwebwinkel kunnen vanaf vrijdag een livechat aanbieden in hun webwinkel.

Steven Houkes - Webredacteur
Steven Houkes
Webredacteur
Appwatching 13.jpg

Digitalisering MKB groeit licht

Bij bedrijven in Nederland steeg de digitalisering licht van 54 naar 56 procent. De digitalisering bij...

Steven Houkes - Webredacteur
Steven Houkes
Webredacteur
appwatching-ideal.png

Informer geeft de mogelijkheid BTW-aangifte met iDeal te betalen

Boekhoudsoftware-aanbieder Informer maakt het voor klanten mogelijk om de tweede BTW-aangifte van 2018...

Steven Houkes - Webredacteur
Steven Houkes
Webredacteur
Products