AVG – moet ik er iets mee?

Bijna twee jaar geleden is binnen de EU de Algemene Verordening Gegevensbescherming (AVG) van kracht geworden. Deze maand treedt de verordening ook echt in werking. In de afgelopen twee jaar konden alle organisaties zich op de inwerkingtreding voorbereiden. En de grote gegevensverwerkers hebben dat ook gedaan. Kleine bedrijven nog niet allemaal, want kleine ondernemers hebben vaak wel wat anders aan hun hoofd. Toch is het ook voor kleine ondernemers wel belangrijk er aandacht aan te besteden.

Iets gebruiken dat van een ander is

Vergelijk het met een gezamenlijke maaltijd. Je brengt allemaal iets mee om samen te eten. De één brengt wat meer mee dan de ander en zolang dit binnen redelijke grenzen blijft, zullen de meesten wel tevreden zijn. Maar blijkbaar voorziet het bevoegd gezag dat dit in de toekomst problemen gaat opleveren en vraagt het alle deelnemers bij te houden wat zij doen met de meegebrachte etenswaren. Zodat, als een andere deelnemer het niet eerlijk vindt verlopen, na afloop alles netjes uitgezocht kan worden. Bij een gezamenlijke maaltijd werkt dit natuurlijk niet. In een maatschappij waar mensen hun gegevens delen met organisaties en bedrijven en niet meer weten wat er met die gegevens gebeurt, moet er iets geregeld worden. Dat doet de AVG. Maar wat moet een kleine ondernemer nu precies doen?

Wanneer mag ik gegevens verzamelen?

Bron: Autoriteit Persoonsgegevens

De AVG biedt burgers, personen, bescherming van hun gegevens. Volgens de AVG moeten organisaties (waaronder bedrijven) een goede reden hebben om gegevens van personen te verzamelen. Een wettelijke verplichting bijvoorbeeld (zoals financieel dienstverleners), een overeenkomst (bv. een koopcontract) of een vitaal, algemeen of gerechtvaardigd belang. Persoonsgegevens bewaren voor het versturen van een nieuwsbrief valt onder geen van deze goede redenen. Maar gelukkig is er een zesde: toestemming van de gebruiker.

Als een bedrijf dus gegevens van personen gebruikt om een nieuwsbrief te versturen, moet het daarvoor toestemming hebben van die persoon en dat ook kunnen aantonen. In de AVG heet dat de verantwoordingsplicht.

Hoe kan ik aantonen dat ik gegevens mag verzamelen?

Voor kleine bedrijven zijn belangrijke onderdelen van de verantwoordingsplicht:

• Een inventarisatie van de verzamelde persoonsgegevens: van wie, met welk doel, uit welke bron en met wie worden ze gedeeld?
• Het opstellen van een register van verwerkingsactiviteiten.
• Het bijhouden van datalekken binnen je bedrijf in een register datalekken.
• Een overzicht maken met toestemming van de gebruiker als dat de grondslag is voor je gegevensverwerking, bij een nieuwsbrief dus bijvoorbeeld.

Grotere bedrijven moeten vaak een Functionaris voor Gegevensbescherming aanstellen en een data protection impact assessment (DPIA) opstellen. Kleine bedrijven meestal niet, tenzij zij gegevens verwerken die een hoog privacyrisico met zich meebrengen.

In een volgend nieuwsbericht ga ik in op vragen als “Welke gegevens mag ik verzamelen?” en “Hoe kan ik bij het verzamelen van gegevens al met deze nieuwe regels rekening houden?”. Ook komen verwerkersovereenkomsten en de privacyrechten van de betrokken personen aan bod.

Mocht je in de tussentijd meer informatie willen, stel dan gerust je vraag via het contactformulier!