Een stukje historie
De AVG is ingevoerd ter versterking van de positie van de mensen van wie gegevens door bedrijven en instellingen worden verwerkt. Zij hebben door de invoering van de AVG nieuwe privacyrechten gekregen die zij kunnen afdwingen bij de bedrijven en organisaties die hun persoonsgegevens verwerken.
Ieder bedrijf, instelling of overheidsorgaan heeft hierdoor meer verplichtingen en verantwoordelijkheden gekregen als het gaat om het verwerken van persoonsgegevens van ‘betrokkenen’ (de personen wiens gegevens worden verwerkt). Dit geldt dus ook voor MKB-ondernemers.
Bedrijven moeten hun systemen, processen en interne organisatie op deze (nieuwe) rechten inrichten. De nadruk ligt er vooral op dat bedrijven en organisaties aan kunnen tonen dat zij zich aan de wet houden.
Wat regelt de AVG?
De AVG regelt wat bedrijven en instellingen aan persoonsgegevens verwerken van natuurlijke personen. Een natuurlijk persoon betekent een mens (dus niet een bedrijf). Een persoonsgegeven is een gegeven waarmee een persoon kan worden geïdentificeerd.
Er bestaan 2 soorten persoonsgegevens en voor iedere categorie gelden verschillende regels:
1. Gewone persoonsgegevens zijn o.a. NAW gegevens, geslacht, geboortedatum en geboorteplaats, telefoonnummer (vast en mobiel), e-mailadres, IP-adres en pasfoto.
2. Bijzondere persoonsgegevens zijn o.a. godsdienst of levensovertuiging, ras, politieke voorkeur, gezondheid of medische gegevens, seksuele geaardheid, lidmaatschap van een vakbond, strafrechtelijk verleden maar ook een burgerservicenummer (BSN) is een bijzonder persoonsgegeven. Dit omdat het een uniek nummer is en tot een specifiek persoon te herleiden is.
Uitgangspunt is dat een bedrijf geen bijzondere persoonsgegevens mag verwerken, tenzij er een wettelijke grondslag voor is. Voor het gebruik van bijzondere persoonsgegevens gelden extra strenge regels. Een voorbeeld hiervan is het registeren van het BSN-nummer van een werknemer op basis van een wettelijke vereiste (nodig voor loonbelasting).
Jouw verantwoordelijkheid als MKB-ondernemer
Bewustwording
De ondernemer en diens werknemers moeten zicht bewust zijn van de regels rond het (correcte) gebruik, opvragen, opslaan en doorsturen (via e-mail of sms/app), maar ook van het verwijderen van persoonsgegevens van betrokkenen. Denk hierbij aan gegevens van klanten, personeelsleden en van sollicitanten, maar ook van leads of prospects.
Beveiliging website
Iedere ondernemer heeft een website. Zorg ervoor dat je website veilig en je URL beveiligd is. Of dit zo is, kun je zien aan het slotje in de adresbalk van de webbrowser. Een gesloten slotje betekent dat je verbinding is beveiligd met een SSL-certificaat. Dit is een bestandje dat ervoor zorgt dat de dataverbinding tussen de computer van jouw bezoeker en jouw webserver wordt beveiligd. Hierdoor worden de gegevens die jouw klant of prospect achterlaat veilig opgeslagen.Bedrijven die die persoonsgegevens verwerken moeten deze volgens de AVG beveiligen. Zo voorkom je datalekken. Als bedrijf ben je daarom verplicht om "passende technische en organisatorische maatregelen" te treffen. Welke dat zijn is afhankelijk van het soort bedrijf en de diensten die je levert.
Privacyverklaring
Jouw website moet een Privacyverklaring hebben. Deze verklaring moet op je website worden geplaatst. Alle manieren waarop jij als ondernemer de gegevens van je klant of prospect verzamelt, gebruikt, eventueel deelt met derden, openbaar maakt en beheert worden hierin gedeeld. Hierin moet onder meer worden opgenomen: de identiteit van je bedrijf, je contactgegevens, het doel of de doelen waarvoor persoonsgegevens worden verzameld, de grondslagen voor de verwerking, de beveiliging van de gegevens, de eventuele verstrekking aan derden, de bewaartermijnen, etc.Onderdeel daarvan zijn de volgende door jou te maken keuzes:
- Bepaal waarom (voor wel doel) je persoonsgegevens wil verzamelen en gebruiken. Je doel moet meteen duidelijk en ook heel precies zijn. Dus niet “omdat de gegevens misschien ooit van pas komen”.
- Bepaal of het noodzakelijk is om voor het gekozen doel de gegevens te verzamelen: je mag immers alleen persoonsgegevens van personen verzamelen als het niet anders kan om het gestelde doel te bereiken.
- Bepaal hoe lang je de gegevens bewaart. Uitgangspunt is dat de verzamelde gegevens moeten worden verwijderd of vernietigd als het doel is bereikt (bijv. als de overeenkomst met jouw klant is uitgevoerd). De bewaartermijn voor verzamelde persoonsgegevens op basis van uitvoering overeenkomst is de datum waarop de overeenkomst is beëindigd, met uitzondering van de financiële gegevens m.b.t. de verkoop: deze moet je als ondernemer namelijk 7 jaar (Belastingwet) bewaren. Daarna moeten ze worden verwijderd.
- Kijk of een van de AVG-grondslagen op jouw verwerking van toepassing is. Voor MKB’ers zijn 4 grondslagen belangrijk:
- Uitvoering overeenkomst: stel een klant bestelt een product of een dienst en de persoonsgegevens van die klant moet je gebruiken om de aankoop af te handelen of de offerte op te stellen. Dat zal de meest voorkomende grondslag voor de MKB’er zijn.
- Wettelijke verplichting: soms zal je persoonsgegevens moeten verwerken omdat je daartoe wettelijk verplicht bent. Bijvoorbeeld het opslaan van het BSN van een werknemer te ruitvoering van de belastingwetgeving.
- Toestemming: je mag iemands gegevens verwerken als diegene daarvoor toestemming heeft gegeven. Denk daarbij aan het vragen van toestemming op jouw website aan klanten/prospects voor het sturen van jouw nieuwsbrief.
- Gerechtvaardigd belang: deze grondslag mag je alleen gebruiken als je kan aantonen dat jouw belang als ondernemer in dit geval prevaleert boven het belang van de betrokkene. Bijvoorbeeld voor het geval dat je fraude in het bedrijft wilt bestrijden. Deze grondslag is de lastigste om te gebruiken van alle grondslagen.
De uitkomst van alle bovengenoemde keuzes moet je vastleggen in je Privacyverklaring en deze moet je plaatsen op je website zodat jouw klanten en potentiële klanten op de hoogte zijn van jouw privacybeleid.
Verantwoordingsplicht
Iedere ondernemer is verplicht om alle verwerkingen van persoonsgegevens te registeren in een zogenaamd intern verwerkingsregister. Dit mag een door jou gekozen vorm hebben (digitaal of op schrift), maar het moet alle grondslagen voor alle verwerkingen bevatten + de onderbouwing daarvan.Benoem het soort persoonsgegevens, het doel van de verwerking, de categorie betrokkenen (werknemers of klanten of prospects), de bewaartermijnen en de beveiligingsmaatregelen. Iedere nieuwe verwerking moet hierin worden opgenomen. De Autoriteit Persoonsgegevens (dit is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt) heeft het recht om dit register van iedere ondernemer op te vragen.
Controle op naleving AVG en de mogelijke consequenties bij niet-naleving
In Nederland ziet de Autoriteit Persoonsgegevens (AP) toe op de correcte naleving van de AVG. Iedere Nederlandse onderneming is verplicht om volledige medewerking te verlenen indien de AP hierom vraagt.
De toezichthouder kan om schriftelijke informatie vragen over de (status van de) implementatie van de AVG binnen een bedrijf, maar heeft ook het recht om bedrijven onverwacht ‘binnen te vallen’ voor een inspectie. Ook kan de AP een onderzoek instellen als er klachten over het bedrijf zijn ingediend door betrokkenen waarbij zij vinden dat hun AVG-rechten zijn geschaad.
De toezichthouder kan een (hoge) boete opleggen als bedrijven de verplichte bepalingen van de AVG overtreden. Dit is recent nog gebeurd. Op 10 juni 2022 is er een boete van € 12.000,- opgelegd aan een orthodontie-ondernemer vanwege een onbeveiligde website. De consequenties voor ondernemingen bij het niet voldoen aan de AVG kunnen dus groot zijn!
Veel informatie. Veel droge stof. We begrijpen het. 😅 Echter is het wel super belangrijke informatie! Wanneer je bovenstaande stappen hebt uitgevoerd, weet je dat je aan de belangrijkste eisen van de AVG voldoet. 💪