AVG voor ondernemers – de basis

AVG voor ondernemers - de basis

Over de AVG is al heel veel geschreven en valt ook nog steeds heel veel te schrijven. Over alle onderwerpen die hieronder aan bod komen zou ik per onderwerp apart een heel blog kunnen maken. Misschien doe ik dat ooit ook nog wel eens. Voor nu wil ik je graag een inzicht geven in de basis. Als je de basis niet kent of begrijpt, dan kun je namelijk ook niet veel met een uitleg van ieder onderwerp apart. In deze blog leg ik je de belangrijkste begrippen uit èn vertel ik je welke documenten je in ieder geval moet hebben als je begint met ondernemen.

Wat is de AVG?
De “AVG” is een afkorting van de Algemene Verordening Gegevensbescherming die ziet op de privacy van alle burgers in de EU. Deze verordening is geldig in de hele EU sinds 25 mei 2018. Ik ga je niet vermoeien met een hoop details en de totstandkoming ervan, maar het komt erop neer dat de AVG nodig was om ervoor te zorgen dat de privacywetgeving in de hele EU nagenoeg hetzelfde zou zijn. Vanuit de gedachte dat er vrij verkeer van personen en goederen is binnen de EU, is het natuurlijk ook wel prettig dat elk EU land dan ook hetzelfde beschermingsniveau biedt.

De AVG heeft dus betrekking op alles wat (overheids-)instellingen, instanties en bedrijven doen met persoonsgegevens binnen de EU.

Hoe je weet of iets een persoonsgegeven is
Wat is nu precies een persoonsgegeven? Wat maakt dat het één wel en het ander niet wordt aangemerkt als een persoonsgegeven?

Het is eigenlijk heel simpel: alles waaruit een individueel persoon te herkennen is, is een persoonsgegeven. Het duidelijkste is natuurlijk een naam, adres of telefoonnummer. Een nauwkeurige beschrijving van iemands uiterlijke kenmerken of de plaatsen waar hij of zij dagelijks komt, kunnen echter ook een persoonsgegeven zijn.

Een bijzondere categorie persoonsgegevens zijn gegevens die onder andere betrekking hebben op afkomst, religie, levensbeschouwing, geslacht, geaardheid, medische gegevens en biomedische gegevens. Dit zijn gevoelige gegevens die extra veel bescherming verdienen en die je dus niet zomaar mag verwerken.

De bedrijfsgegevens van een eenmanszaak zijn ook tot een persoon herleidbaar: er is immers maar één persoon die in het bedrijf werkt en alle gegevens van de eenmanszaak zijn tot die persoon te herleiden.

Bij een BV kan dit weer heel anders zijn. Het bedrijf staat dan los van een persoon en heeft een directeur, maar vaak ook medewerkers en eventueel meerdere partners. De gegevens van het bedrijf zijn dan niet te herleiden tot een individu en dus (meestal) geen persoonsgegeven. Het e-mailadres van een werknemer of eigenaar van een BV is dat dan weer wel. Een e-mailadres bevat immers een voor- en/of achternaam en de bedrijfsnaam. Dan zie je niet alleen de naam van het individu, maar ook waar hij of zij werkt. Zo krijg je dus opeens een heleboel informatie over iemand. De moeite van het beschermen waard dus!

Verklarende woordenlijst met AVG begrippen
In de AVG komen een heleboel begrippen voor. Een aantal hiervan zul je als ondernemer toch echt moeten kennen:

  • Betrokkene(n) = het individu van wie de persoonsgegevens worden verwerkt.
  • Cookie = een klein bestandje die op het apparaat van de websitebezoeker wordt geplaatst en waar verschillende soorten van zijn. (Net als gewone “cookies” dus eigenlijk: die gaan soms ook ongemerkt naar binnen, die heb je in een heleboel kleuren, geuren en smaken en zijn óók niet altijd gewenst)
  • Cookiemelding = de melding waarin staat welke cookies jouw website plaatst en waarin je actieve toestemming vraagt voor het plaatsen van niet-functionele cookies.
  • Cookieverklaring = hetzelfde als de privacyverklaring, maar dan specifiek gericht op cookies. Hoeft geen apart document te zijn en mag worden geïntegreerd in de privacyverklaring.
  • Doel van de verwerking = waarom je verwerkt. Bijvoorbeeld om een nieuwsbrief te kunnen sturen om je klanten te informeren of om je administratie te kunnen bijhouden.
  • Grondslag van de verwerking = op grond waarvan jij de gegevens mag verwerken. Geldige grondslagen zijn (i) op grond van een wettelijke bepaling, (ii) toestemming van de betrokkene, (iii) in het kader van een overeenkomst of (iv) een gerechtvaardigd eigen belang.
  • Privacyverklaring = een document waarin je in begrijpelijke taal (!) vertelt welke persoonsgegevens je verwerkt, met welk doel en welke grondslag je ze verwerkt en wat de rechten zijn van de betrokkene(n).
  • Verwerken = alles wat je met persoonsgegevens kunt doen zoals: opslaan, kopiëren, verzamelen, in beeld brengen, bekijken, aanpassen, verwijderen, etc…
  • Verwerker = de partij of persoon die de persoonsgegevens verwerkt. Dit kan dezelfde partij of persoon zijn die verantwoordelijk is, maar dit kan ook een derde zijn die namens – of voor- de verantwoordelijke persoonsgegevens verwerkt. De verwerker dient zich te allen tijde aan de voorschriften van de verantwoordelijke te houden en werkt op basis van een verwerkersovereenkomst.
  • Verwerkersovereenkomst = een overeenkomst tussen een verwerker en een verwerkersverantwoordelijke, waarin precies staat wat de verwerker wel en niet mag doen met de persoonsgegevens. Hoeft niet altijd een aparte overeenkomst te zijn en mag ook onderdeel zijn van een andere overeenkomst of algemene voorwaarden.
  • Verwerkingsregister = een document waarin je per verwerking gedetailleerd uitwerkt wat die verwerking inhoudt en hoe je de bescherming ervan waarborgt.
  • Verwerkingsverantwoordelijke = de partij of persoon die bepaalt met welk doel persoonsgegevens worden verwerkt, welke persoonsgegevens worden verwerkt en die ervoor verantwoordelijk is dat er een grondslag is voor de verwerking.

Het verwerkingsregister
Voor mij begint het hele proces van de AVG documenten met het verwerkingsregister. Dit register is verplicht voor bedrijven die meer dan 250 medewerkers hebben en voor bedrijven die minder dan 250 medewerkers hebben maar wel:

  • Bijzondere persoonsgegevens verwerken; OF
  • Persoonsgegevens verwerkt die een hoog risico met zich meebrengen voor de betrokkene; OF
  • De gegevensverwerking niet incidenteel is.

Met name het laatste punt is de reden dat voor de meeste bedrijven (óók eenmanszaken) het verwerkingsregister verplicht is. Het gebeurt immers niet vaak dat persoonsgegevens slechts incidenteel worden verwerkt. Alleen al je administratie barst  (meestal) van de persoonsgegevens!

Alleen als al jouw klanten multinationals zijn en je bijna nooit een e-mailadres of naam van een individu opslaat, dan zou je erover kunnen twijfelen. Je kunt er dus in de meeste gevallen vanuit gaan dat je een verwerkingsregister moet hebben.

Het is even een klus om uit te werken, maar als je dit eenmaal hebt gedaan dan heb je een perfect overzicht om al je andere documenten op te baseren.

In je verwerkingsregister neem je op:

  • Welke persoonsgegevens je verwerkt;
  • Welke soort verwerkingen je ermee doet (wat je met de gegevens doet dus);
  • De (contact)gegevens van de verantwoordelijke (jij dus, tenzij je een externe functionaris gegevensbescherming inhuurt);
  • Van wie je persoonsgegevens verwerkt (bijvoorbeeld klanten);
  • Met wel doel je de persoonsgegevens verwerkt;
  • Op welke grondslag je de persoonsgegevens verwerkt;
  • Of de gegevens worden doorgestuurd naar landen buiten de EU;
  • Of er anderen (verwerkers) zijn betrokken bij de verwerking;
  • Hoelang de gegevens worden bewaard;
  • Hoe de gegevens zijn beveiligd.

Wat moet er in de privacyverklaring?
In je privacyverklaring vertel je op een begrijpelijke en toegankelijke manier wat de AVG inhoudt en wat de begrippen inhouden . Je legt een aantal begrippen uit en geeft per verwerking (per verwerkingsdoel) weer:

  • Welke persoonsgegevens je verwerkt;
  • Welke soort verwerkingen je ermee doet (wat je met de gegevens doet dus);
  • Van wie je persoonsgegevens verwerkt (bijvoorbeeld klanten);
  • Met wel doel je de persoonsgegevens verwerkt;
  • Op welke grondslag je de persoonsgegevens verwerkt;
  • Of de gegevens worden doorgestuurd naar landen buiten de EU;
  • Of er anderen (verwerkers) zijn betrokken bij de verwerking;
  • Hoelang de gegevens worden bewaard;
  • Welke rechten de betrokkene heeft (inzage, verzoek tot verwijdering en klachtrecht);
  • Eventueel hoe de gegevens zijn beveiligd.

Je kunt hierin ook opnemen welke cookies je plaatst op je website.

De verwerkersovereenkomst
Dit is in principe de verantwoordelijkheid van de gegevensverantwoordelijke, maar ook als verwerker is het natuurlijk belangrijk erop te letten dat er een overeenkomst is.

Veel grote bedrijven zoals je hosting provider, google (Analytics) en Microsoft Office bieden je automatisch al een verwerkersovereenkomst aan. Meestal is dit onderdeel van de algemene voorwaarden. Je mag er in veel gevallen vanuit gaan dat deze verwerkersovereenkomsten voldoen aan de AVG. Als zelfstandig ondernemer of klein bedrijf is het eigenlijk niet te doen hierover te onderhandelen of je eigen verwerkersovereenkomst aan te bieden.

Bij je boekhouder en andere verwerkers die je kunt inschakelen is het wel verstandig te vragen naar een verwerkersovereenkomst of om er zelf een te hebben en ter ondertekening aan te bieden.

In de overeenkomst moet, onder andere, staan wat het doel van de verwerking is, wat de verwerker met de gegevens mag doen, geheimhouding, plicht tot meewerken met audits, plicht tot meewerken met verzoeken van betrokkenen en andere zaken die bepalen wat er wel en niet met de persoonsgegevens mag worden gedaan.

Ik hoop dat je door het bovenstaande weer iets wijzer bent geworden over de AVG. Heb je vragen of heb je hulp nodig met je AVG documenten? Neem dan vooral contact met me op. Ik help je graag met al jouw juridische zaken!