Eén antwoord van de overheid

Bereid u voor op de Algemene Verordening Gegevensbescherming (AVG)

De Algemene Verordening Gegevensbescherming (AVG) vervangt per 25 mei 2018 de huidige privacywetgeving. De AVG bevat regels voor het (automatisch) verwerken van persoonsgegevens. Deze nieuwe Europese wet dwingt u als ondernemer tot meer actie en maatregelen wanneer u gegevens over klanten, personeel of andere personen vastlegt. Dit geldt voor alle zelfstandige ondernemers. Ook als u geen personeel in dienst heeft of slechts een paar klanten heeft. Al bij het versturen van een offerte, factuur of een nieuwsbrief dient u rekening te houden met de wet. Bereid u daarom goed voor. Zo voorkomt u straks dat de Autoriteit Persoonsgegevens (AP) u een flinke boete oplegt.

Maak uzelf en uw organisatie bewust

Zorg ervoor dat u zich bewust bent van de regels van AVG. Lees erover of laat u voorlichten. Heeft u een organisatie met personeel in dienst? Begin dan met het inlichten van relevante medewerkers over de nieuwe privacyregels. Zij kunnen inschatten wat de impact van de AVG is op uw huidige processen, diensten en producten. Daarnaast kunnen zij bepalen wat u moet doen om aan de AVG te voldoen. De AP heeft instrumenten om u te helpen de AVG na te leven. Bijvoorbeeld richtlijnen die zijn opgesteld samen met de andere privacytoezichthouders in Europa.

Informeer uw klanten en wijs op hun rechten

Leg in een privacyverklaring in eenvoudige taal volledig uit wat u doet met persoonlijke gegevens. Bijvoorbeeld:

  • Waarvoor u de gegevens gebruikt.
  • Waarom dat belangrijk is voor uw klant.
  • Hoe lang u de gegevens bewaart.

Wijs uw klanten ook op de rechten die zij hebben. Bijvoorbeeld:

  • Het recht op inzage, aanpassen en verwijderen van gegevens.
  • Het recht om toestemming te kunnen beperken, én weer te kunnen intrekken.
  • Het recht op dataportabiliteit. Hiermee moeten betrokkenen hun gegevens makkelijk kunnen krijgen en kunnen doorgeven aan een andere organisatie.
  • Het recht op het indien van klachten bij de AP. De AP is verplicht deze klachten in behandeling te nemen.

Zorg ervoor dat uw klanten de privacyverklaring makkelijk kunnen vinden. Plaats bijvoorbeeld in uw webshop een hyperlink naar de privacyverklaring, onderaan elke pagina. En verwijs naar de privacyverklaring in het bestelproces.

Maak een overzicht van hoe u gegevens verwerkt

U moet van de AVG verantwoording kunnen afleggen over hoe u gegevens gebruikt. Breng uw gegevensverwerkingen daarom duidelijk in kaart. Maak aan uw leveranciers en klanten duidelijk welke persoonsgegevens u gebruikt, met welk doel, waar u ze opslaat en met wie u die gegevens deelt. Een overzicht van gegevensverwerkingen heeft u ook nodig wanneer betrokkenen gebruik maken van hun privacyrechten.

Wanneer u diensten uitbesteedt waarbij persoonsgegevens van een klant zijn betrokken, heeft u hiervoor nadrukkelijk toestemming nodig van die klant. Bijvoorbeeld als u een extern callcenter of administratiekantoor gebruikt.

Maak een Data Privacy Impact Assessment (DPIA)

U kunt van de AVG verplicht zijn een ‘Data Protection Impact Assessment (DPIA)’ uit te voeren. Dit is een uitgebreid onderzoek om risico’s van gegevensverwerking in kaart te brengen. U kunt dan op tijd maatregelen treffen om de risico’s zo veel mogelijk weg te nemen. U bent een DPIA alleen verplicht als de manier waarop u gegevens verwerkt een mogelijk hoog privacyrisico bevat. Bijvoorbeeld als u:

  • systematisch en uitvoerig persoonlijke aspecten evalueert
  • op grote schaal bijzondere persoonsgegevens verwerkt
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied

Lukt het u niet om maatregelen te treffen om dit risico te verkleinen? Overleg dan met de AP voordat u met de verwerking start. De AP beoordeelt dan of de gegevensverwerking in strijd is met de AVG. U ontvangt dan schriftelijk advies van de AP.

Zorg ervoor dat uw producten en diensten rekening houden met privacy

Ontwerpt u nieuwe producten of diensten, houd er dan rekening mee dat bij de ontwerpfase persoonsgegevens al goed worden beschermd. Dit wordt ook wel ‘privacy by design’ genoemd. Verwerk daarom alleen die persoonsgegevens die noodzakelijk zijn voor het specifieke doel. Dit noemt men ook ‘privacy by default’. Voorbeelden hiervan zijn:

  • laat een app niet zonder gegronde reden de locatie van gebruikers registreren
  • vink op uw website het vakje ‘ja, ik wil aanbiedingen ontvangen’ niet vooraf aan
  • vraag bij het abonneren op een nieuwsbrief niet meer gegevens dan nodig is

Onderzoek of u een functionaris gegevensbescherming nodig heeft

De AVG kan u verplichten een functionaris voor de gegevensbescherming (FG) in te zetten. Verwerkt u in uw onderneming gegevens op grote schaal? Onderzoek dan of u een FG nodig heeft. Een FG is verantwoordelijk voor:

  • toezicht
  • inventarisaties van gegevensverwerkingen
  • bijhouden van meldingen van gegevensverwerkingen
  • afhandelen van vragen en klachten van mensen binnen en buiten de organisatie
  • ontwikkelen van interne regelingen
  • adviseren over technologie en beveiliging (privacy by design)
  • leveren van input bij het opstellen of aanpassen van een gedragscode.

Als blijkt dat u een FG nodig heeft, begin dan op tijd met werven. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.

Documenteer datalekken

De AVG verplicht u alle datalekken intern vast te leggen en te documenteren. Ook datalekken die u niet hoeft te melden. Verwerkt u privacygevoelige data voor uw opdrachtgevers? Dan bent u straks wettelijk verplicht alle datalekken daarbij aan hen te melden, zodat zij dit weer aan de AP kunnen melden.

Zorg voor een bewerkersovereenkomst

Zorg ervoor dat u een bewerkersovereenkomst heeft met iedere organisatie die persoonsgegevens voor u verwerkt. Het inzien van de gegevens door een externe helpdesk is al een vorm van verwerking. Ook als de bewerker een dochteronderneming is of in het buitenland gevestigd is. In een bewerkersovereenkomst staan bijvoorbeeld:

  • bewerking in overeenstemming met instructies verantwoordelijke
  • geheimhouding
  • beveiligingsmaatregelen
  • inschakelen van derden en onderaannemers
  • locatie van de gegevens
  • audits of onderzoeken
  • aansprakelijkheid.

Heeft u al een bewerkersovereenkomst? Controleer dan of die voldoet aan de AVG.

Bepaal de leidend toezichthouder

Is uw organisatie in meerdere EU-landen actief? Of zijn uw gegevensverwerkingen van invloed op meerdere lidstaten? Dan hoeft u van de AVG maar met één privacy toezichthouder zaken te doen. Bijvoorbeeld de Nederlandse Autoriteit Persoonsgegevens.

Toestemming voor het verwerken van gegevens

De AVG stelt strengere eisen aan de toestemming die u moet vragen voor het verwerken van gegevens. Evalueer daarom de manieren waarop u toestemming vraagt, krijgt en registreert van personen voor het verwerken van gegevens. U moet kunnen aantonen dat u geldige toestemming heeft gekregen.