Eén antwoord van de overheid

Houd u aan de Algemene Verordening Gegevensbescherming (AVG)

Deze informatie is geplaatst door Antwoord voor bedrijven | Kamer van Koophandel

De Algemene Verordening Gegevensbescherming (AVG) - in het Engels bekend als de General Data Protection Regulation (GDPR) - vervangt per 25 mei 2018 de huidige privacywetgeving. De AVG bevat regels voor het (automatisch) verwerken van persoonsgegevens. Deze nieuwe Europese privacywet dwingt u als ondernemer tot meer actie en maatregelen wanneer u gegevens over klanten, personeel of andere personen vastlegt. Dit geldt voor alle zelfstandige ondernemers. Ook als u geen personeel in dienst heeft of slechts een paar klanten heeft. Al bij het versturen van een offerte, factuur of een nieuwsbrief dient u rekening te houden met de wet. Houd u daarom aan de AVG. Zo voorkomt u dat de Autoriteit Persoonsgegevens (AP) u een flinke boete oplegt.

Maak uzelf en uw organisatie bewust

Zorg ervoor dat u zich bewust bent van de regels van AVG. Lees erover of laat u voorlichten. Heeft u een organisatie met personeel in dienst? Begin dan met het inlichten van relevante medewerkers over de nieuwe privacyregels. Zij kunnen inschatten wat de impact van de AVG is op uw huidige processen, diensten en producten. Daarnaast kunnen zij bepalen wat u moet doen om aan de AVG te voldoen. De APExternal link heeft instrumenten om u te helpen de AVG na te leven. Bijvoorbeeld richtlijnen die zijn opgesteld samen met de andere privacytoezichthouders in Europa.

Regelhulp AVG

Een Regelhulp vertelt u aan de hand van een aantal vragen welke regels voor u gelden. De Regelhulp AVGExternal link helpt u om te bepalen of u goed voorbereid bent op de Algemene verordening gegevensbescherming (AVG). In 10 stappen ziet u of uw organisatie klaar is voor de nieuwe Europese privacywet die vanaf 25 mei 2018 geldt.

Informeer uw klanten en wijs op hun rechten

Leg in een privacyverklaring in eenvoudige taal volledig uit wat u doet met persoonlijke gegevens. Bijvoorbeeld:

 • Waarvoor u de gegevens gebruikt.
 • Waarom dat belangrijk is voor uw klant.
 • Hoe lang u de gegevens bewaart.

Wijs uw klanten ook op de rechten die zij hebben. Bijvoorbeeld:

 • Het recht op inzage, aanpassen en verwijderen van gegevens.
 • Het recht om toestemming te kunnen beperken, én weer te kunnen intrekken.
 • Het recht op dataportabiliteitExternal link. Hiermee moeten betrokkenen hun gegevens makkelijk kunnen krijgen en kunnen doorgeven aan een andere organisatie.
 • Het recht op het indienen van klachten bij de AP. De AP is verplicht deze klachten in behandeling te nemen.

U moet uw data en functionaliteiten aanpassen zodat ze voldoen aan de AGV. Dit moet dus ook met oude gegevens die u nu heeft. Heeft u bijvoorbeeld een mailinglijst voor een nieuwsbrief? En hebben de ontvangers die op die lijst staan nooit ‘officieel’ toestemming gegeven om de nieuwsbrief te ontvangen, dan moet u hen nu alsnog om toestemming vragen.

Zorg ervoor dat uw klanten de privacyverklaring makkelijk kunnen vinden. Plaats bijvoorbeeld in uw webshop een hyperlink naar de privacyverklaring, onderaan elke pagina. En verwijs naar de privacyverklaring in het bestelproces.

Maak een overzicht van hoe u gegevens verwerkt

U moet van de AVG verantwoording kunnen afleggen over hoe u gegevens gebruikt. Breng uw gegevensverwerkingen daarom duidelijk in kaart. Zo kunt u makkelijk achterhalen waarvoor welke gegevens door wie gebruikt worden. Ook als u zzp’er of mkb’er bent. Maak aan uw leveranciers en klanten duidelijk welke persoonsgegevens u gebruikt, met welk doel, waar u ze opslaat en met wie u die gegevens deelt. Een overzicht van gegevensverwerkingen heeft u ook nodig wanneer betrokkenen gebruik maken van hun privacyrechten.

Wanneer u diensten uitbesteedt waarbij persoonsgegevens van een klant zijn betrokken, heeft u hiervoor toestemming nodig van die klant. In een overeenkomst met uw klant vermeldt u dat u data toepast die relevant zijn voor een bepaalde activiteit van het proces dat u uitbesteedt. Bijvoorbeeld als u een extern callcenter of administratiekantoor gebruikt.

Maak een Data Privacy Impact Assessment (DPIA)

U kunt van de AVG verplicht zijn een ‘Data Protection Impact Assessment (DPIA)External link’ uit te voeren. Dit is een uitgebreid onderzoek om risico’s van gegevensverwerking in kaart te brengen. U kunt dan op tijd maatregelen treffen om de risico’s zo veel mogelijk weg te nemen. U bent een DPIA alleen verplicht als de manier waarop u gegevens verwerkt een mogelijk hoog privacyrisico bevat. Bijvoorbeeld als u:

 • systematisch en uitvoerig persoonlijke aspecten evalueert
 • op grote schaal bijzondere persoonsgegevens verwerkt
 • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied

Lukt het u niet om maatregelen te treffen om dit risico te verkleinen? Overleg dan met de AP voordat u met de verwerking start. De AP beoordeelt dan of de gegevensverwerking in strijd is met de AVG. U ontvangt dan schriftelijk advies van de AP.

Zorg ervoor dat uw producten en diensten rekening houden met privacy

Ontwerpt u nieuwe producten of diensten, houd er dan rekening mee dat bij de ontwerpfase persoonsgegevens al goed worden beschermd. Dit wordt ook wel ‘privacy by design’ genoemd. Verwerk daarom alleen die persoonsgegevens die noodzakelijk zijn voor het specifieke doel. Dit noemt men ook ‘privacy by default’. Voorbeelden hiervan zijn:

 • laat een app niet zonder gegronde reden de locatie van gebruikers registreren
 • vink op uw website het vakje ‘ja, ik wil aanbiedingen ontvangen’ niet vooraf aan
 • vraag bij het abonneren op een nieuwsbrief niet meer gegevens dan nodig is

Onderzoek of u een functionaris gegevensbescherming nodig heeft

De AVG kan u verplichten een functionaris voor de gegevensbescherming (FG)External link in te zetten. Verwerkt u in uw onderneming gegevens op grote schaal? Onderzoek dan of u een FG nodig heeft. Een FG is verantwoordelijk voor:

 • toezicht
 • inventarisaties van gegevensverwerkingen
 • bijhouden van meldingen van gegevensverwerkingen
 • afhandelen van vragen en klachten van mensen binnen en buiten de organisatie
 • ontwikkelen van interne regelingen
 • adviseren over technologie en beveiliging (privacy by design)
 • leveren van input bij het opstellen of aanpassen van een gedragscode.

Als blijkt dat u een FG nodig heeft, begin dan op tijd met werven. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.

Documenteer datalekken

De AVG verplicht u alle datalekken intern vast te leggen en te documenteren. Ook datalekken die u niet hoeft te melden. Verwerkt u privacygevoelige data voor uw opdrachtgevers? Dan bent u straks wettelijk verplicht alle datalekken daarbij aan hen te melden, zodat zij dit weer aan de AP kunnen melden. Maak daarom met uw afnemers afspraken over bijvoorbeeld wanneer zij in geval van een datalek worden geïnformeerd, door wie en op welke manier.

Zorg voor een verwerkersovereenkomst

Zorg dat u een verwerkersovereenkomst sluit met de partij die in opdracht van u en conform uw instructies persoonsgegevens verwerkt. Het inzien van de gegevens door een externe helpdesk is al een vorm van verwerking. Ook als de verwerker een dochteronderneming is of in het buitenland gevestigd is. In een verwerkersovereenkomst staan bijvoorbeeld:

 • bewerking in overeenstemming met instructies verantwoordelijke
 • geheimhouding
 • beveiligingsmaatregelen
 • inschakelen van derden en onderaannemers
 • locatie van de gegevens
 • audits of onderzoeken
 • aansprakelijkheid.

Heeft u al een bewerkersovereenkomst opgesteld onder de Wbp? Onder de Wbp heet het nog bewerkersovereenkomst. Onder de AVG een verwerkersovereenkomst. De regels onder de AVG zijn strenger. Zorg ervoor dat u een nieuwe verwerkersovereenkomst opstelt volgens de regels van de AVG.

Bepaal de leidend toezichthouder

Is uw organisatie in meerdere EU-landen actief? Of zijn uw gegevensverwerkingen van invloed op meerdere lidstaten? Dan hoeft u van de AVG maar met één privacy toezichthouder zaken te doen. Bijvoorbeeld de Nederlandse Autoriteit PersoonsgegevensExternal link.

Toestemming voor het verwerken van gegevens

De AVG stelt strengere eisen aan de toestemming die u moet vragen voor het verwerken van gegevens. Evalueer daarom de manieren waarop u toestemming vraagt, krijgt en registreert van personen voor het verwerken van gegevens. U moet kunnen aantonen dat u geldige toestemming heeft gekregen.

Deze informatie is geplaatst door

Antwoord voor bedrijven
Kamer van Koophandel