Welke verplichtingen schept de nieuwe Privacy Verordening voor jouw onderneming?

 

Vanaf 25 mei aanstaande zal de Algemene Verordening Gegevensbescherming, hierna: “AVG” in werking treden. Ingevolge de AVG dient iedere onderneming die persoonsgegevens verwerkt – en van verwerking is al heel snel sprake, denk aan: verwerking van personeelsgegevens en klantgegevens – aan te kunnen tonen dat zij de AVG naleven. Dit noemt men de verantwoordingsplicht.

Om misverstanden te voorkomen:

 

Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon. Als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd. Daaronder wordt dus ook begrepen informatie over eenmanszaken en personenvennootschappen zoals de vennootschap onder firma.

 

Van verwerking is sprake indien men deze gegevens verzameld, vastlegt, ordent, structureert, opslaat, bijwerkt, wijzigt, opvraagt, raadpleegt, gebruikt, verstrekt, verspreidt, aligneert, combineert, afschermt, wist of vernietigt. Kortom; verwerken is een zéér ruim begrip.

 

Tot zover. Maar hoe leef je de AVG nu na?

 

Breng je gegevensstromen in kaart. Van wie krijg je gegevens en aan wie verstrek je gegevens, noteer dit en houd dit bij.

Bepaal vervolgens met welke grondslag en met welk doel je deze gegevens verwerkt. Voorbeelden van verwerkingsdoeleinden zijn:

 

  • Markonderzoek
  • Marktbewerking
  • Aangaan / uitvoeren overeenkomst
  • Relatiebeheer
  • Personeelsbeheer

 

Er zijn een zestal grondslagen op basis waarvan je persoonsgegevens mag verwerken. Heb je geen grondslag? Dan mag je de gegevens ook niet verwerken. De grondslagen zijn:

 

  1. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
  2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  4. de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  6. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

 

Stel vervolgens bewaartermijnen op en zorg dat je niet meer gegevens verwerkt dan noodzakelijk.

 

Andere verplichtingen die de AVG schept, zijn:

 

Respecteer de rechten van betrokkene (zorg voor inzage-, wijzigings-, verzet en verwijderingsprocedures), wees transparant (middels een privacy statement), maak duidelijke afspraken met derden (sluit verwerkersovereenkomsten), hanteer de beginselen van privacy by design en privacy by default, zorg voor adequate beveiligingsmaatregelen en zorg dat je weet wat je te doen staat bij een datalek (middels een procedure meldplicht datalekken).

De AVG is lastige materie. Heb je hulp nodig met het opstellen van een privacy policy of andere AVG verplichtingen? We helpen je graag!

Meer hulp bij de AVG nodig?