10 Stappen die helpen om te voldoen aan de AVG

1. Verdiep u in de AVG en zet privacy op uw agenda

Lees meer over de AVG of laat je voorlichten. Heb je personeel in dienst? Betrek dan relevante medewerkers. Zij kunnen inschatten wat de impact van de AVG is op de huidige processen, diensten en producten. 

Check of je persoonsgegevens mag verwerken

Als ondernemer mag je niet zomaar persoonsgegevens verwerken. Je moet daarvoor aan minstens 1 van onderstaande 6 voorwaarden voldoen:

  • je moet toestemming hebben gekregen van de persoon om wie het gaat
  • het is nodig om een overeenkomst uit te voeren. Je moet bijvoorbeeld adresgegevens verwerken om jouw product bij iemand te kunnen bezorgen
  • het is nodig om een wettelijke verplichting na te komen
  • het is nodig om iemands leven of gezondheid te beschermen en je kunt die persoon niet om toestemming vragen
  • het is nodig om een taak van algemeen belang uit te voeren
  • het is om het gerechtvaardigd belang te behartigen. Je moet bijvoorbeeld persoonsgegevens verwerken in jouw personeelsadministratie om salaris uit te kunnen betalen

2. Vertel jouw klanten wat hun rechten zijn

Jouw klanten hebben veel rechten op gebied van privacy. Je moet ervoor zorgen dat ze gemakkelijk van die rechten gebruik kunnen maken. Klanten mogen bijvoorbeeld:

  • hun gegevens inzien, aanpassen en verwijderen
  • toestemming die ze eerder gaven beperken, en weer intrekken
  • hun gegevens opvragen zodat ze makkelijk naar een ander bedrijf kunnen overstappen, dat heet het recht op dataportabiliteit

Jouw klanten mogen een klacht indienen bij de Autoriteit Persoonsgegevens. De AP is verplicht deze klachten in behandeling te nemen.

3. Maak een overzicht van hoe je gegevens verwerkt

Leg in een register vast welke persoonsgegevens je verwerkt en waarom je dit doet. Maar ook waar deze gegevens vandaan komen, en met wie je ze deelt. Het register heb je bijvoorbeeld nodig als klanten jou vragen hun gegevens aan te passen of te verwijderen. Je moet dit dan namelijk ook doorgeven aan de organisaties met wie jij de gegevens hebt gedeeld.

Dit register valt onder de zogenoemde verantwoordingsplicht. Als ondernemer moet je altijd kunnen verantwoorden hoe je met persoonsgegevens omgaat.

4. Bekijk of u een Data Protection Impact Assessment (DPIA) moet maken

Verwerk je gegevens met een hoog privacyrisico, dan moet je een Data Protection Impact Assessment (DPIA) uitvoeren. Dit is een uitgebreid onderzoek om risico’s van gegevensverwerking in kaart te brengen. Op basis van deze DPIA kan je maatregelen nemen om de privacyrisico’s te verkleinen.

Lukt het niet om maatregelen te nemen om risico’s te verkleinen? Overleg dan met de Autoriteit Persoonsgegevens voordat je begint met het verwerken van persoonsgegevens. De AP beoordeelt dan of de gegevensverwerking in strijd is met de AVG. Je ontvangt schriftelijk advies van de AP.

Je loopt een hoog privacy risico als je:

  • systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en waarop besluiten worden gebaseerd die gevolgen hebben voor mensen
  • op grote schaal bijzondere persoonsgegevens verwerkt of wanneer er strafrechtelijke gegevens worden verwerkt
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht

Bekijk een lijst met verwerkingen waarvoor een DPIA verplicht is.

5. Houd in uw producten en diensten standaard rekening met privacy

Ontwerp je nieuwe producten of diensten, zorg dan in de ontwerpfase al dat persoonsgegevens goed worden beschermd. Dit wordt ook wel ‘privacy by design’ genoemd. Verwerk daarom niet meer persoonsgegevens dan nodig is. Dit noemt men ook ‘privacy by default’. Voorbeelden hiervan zijn:

  • laat een app niet zonder goede reden de locatie van gebruikers registreren
  • vink op uw website het vakje ‘ja, ik wil aanbiedingen ontvangen’ niet vooraf aan
  • vraag bij het abonneren op een nieuwsbrief niet meer gegevens dan nodig is

6. Onderzoek of u een functionaris gegevensbescherming nodig heeft

Verwerk je binnen jouw onderneming veel persoonsgegevens? Controleer dan of je verplicht bent een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen jouw organisatie controleert of alles volgens de AVG gaat. Jouw organisatie mag ook vrijwillig een dergelijke functionaris aanstellen.

7. Documenteer en meld datalekken

Bij een datalek komen persoonsgegevens vrij zonder dat dit de bedoeling is. Voorbeelden van datalekken zijn:

  • je verliest een laptop, tablet, usb-stick of papieren met daarop niet-versleutelde persoonsgegevens
  • je mailt persoonsgegevens naar een verkeerd persoon
  • de persoonsgegevens die je verwerkt worden gestolen bij een cyberaanval
  • jouw systeem is besmet met ransomware waardoor de persoonsgegevens niet meer toegankelijk zijn

Je bent als ondernemer verplicht alle ernstige datalekken direct te melden aan de AP. Daarnaast moet je alle datalekken documenteren. Ook interne lekken die je niet hoeft te melden. Bekijk in de guidelines welke datalekken je moet melden. Deze richtlijnen zijn nog niet definitief. Je moet de betrokkenen van wie de persoonsgegevens zijn alleen informeren als het datalek grote gevolgen heeft voor hun rechten en vrijheden.

Verwerk je privacygevoelige data voor jouw opdrachtgevers? Dan moet je alle datalekken aan hen melden, zodat zij dit weer aan de AP kunnen melden.

8. Zorg voor een goede verwerkersovereenkomst

Werk je samen met bedrijven/organisaties, die in opdracht van jou en volgens jouw instructies persoonsgegevens verwerken? Zorg dan dat je met hen een verwerkersovereenkomst sluit. Ook als de verwerker een dochteronderneming is of in het buitenland gevestigd is. Het inzien van de gegevens door een externe helpdesk is al een vorm van verwerking.

Heb je al eerder een vewerkersovereenkomst opgesteld onder de Wet bescherming persoonsgegevens (Wbp)? Controleer dan de huidige overeenkomst en zorg ervoor dat je een nieuwe verwerkersovereenkomst opstelt volgens de regels van de AVG. De regels onder de AVG zijn strenger.

9. Bepaal de leidend toezichthouder

Is jouw onderneming in meerdere EU-landen actief? Of zijn jouw gegevensverwerkingen van invloed op meerdere lidstaten van de EU? Dan hoeft je maar met één privacy-toezichthouder zaken te doen. Dat heet het een-loketmechanisme. Kies bijvoorbeeld de Nederlandse Autoriteit Persoonsgegevens.

10. Vraag toestemming voor het verwerken van gegevens

Voor sommige gegevensverwerkingen heb je toestemming nodig van de betrokkenen. Daarnaast moet je kunnen bewijzen dat je toestemming hebt gekregen. Bekijk daarom hoe je om deze toestemming vraagt, krijgt en hoe je dit vastlegt.

Agenda

11 december

Netto inkomen berekenen doe je zo!

10.00 uur
Online
13 januari

Sterk starten met je eigen bedrijf

19.00 uur
Online

Blog

Startende ondernemers opgelet: Het regenboogsyndroom ligt op de loer!

Frank Baltes

We hebben natuurlijk allemaal wel eens een regenboog gezien. Een wonderlijk en kleurrijk fenomeen. Heel vaak wordt er bij het zien van een regenboog gezegd dat er een pot goud aan het einde te vinden is. Helaas is dit niet het geval. In deze blog leg ik uit wat het regenboogsyndroom inhoud en wat dit te maken heeft met het starten van een eigen bedrijf.

Partners

Uurtarief calculator

Bereken hier jouw minimaal benodigde uurtarief!

 

Nieuws

Versoepelde kleineondernemersregeling trekt meer ondernemers

14-11-2024

De kleineondernemersregeling (KOR) verandert per 1 januari 2025. De Belastingdienst ziet een toename in de populariteit van de regeling: sinds 1 oktober hebben zich al 10.650 kleine ondernemers aangemeld. Dat is bijna drie keer zoveel als vorig jaar in dezelfde periode.

Uren- en kilometerregistratie

Start direct met het bijhouden van jouw uren en kilometers als (startende) ondernemers.

Terug naar overzicht