Dit moet je weten over de AVG
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Door de invoering van deze wet is de privacywetgeving in heel Europa gelijk.
Als ondernemer is het van groot belang dat je op de hoogte bent van de gevolgen die de AVG heeft op de manier waarop je gegevens verwerkt binnen jouw organisatie. We noemen 5 belangrijke zaken om rekening mee te houden.
De AVG geldt voor elk bedrijf dat persoonsgegevens verwerkt
Jazeker, ook als kleine ondernemer binnen het MKB krijg je te maken met de AVG. Sommige nieuwe regels hebben specifiek betrekking op je Website, andere op je onderneming als geheel. Bij zaken als personeelsadministratie, functionaliteiten op je Website waarbij klantgegevens worden verwerkt (contact- en aanmeldformulieren etc) en afsprakenadministratie komt de AVG om de hoek kijken.
Je moet te allen tijde aan kunnen tonen dat je, zowel technisch als organisatorisch, de juiste maatregelen hebt genomen om de privacy van je klanten te waarborgen. Dit heet de verantwoordingsplicht.
Naast de verantwoordingsplicht is er de documentatieplicht. Deze houdt in dat je verplicht bent om elke verwerking van persoonsgegevens bij te houden in een register of document.
Klanten moeten zich makkelijk af kunnen melden voor direct marketing
De AVG stelt eisen rondom direct marketing. Je mag je bestaande klanten nog steeds direct marketing uitingen sturen, zoals nieuwsbrieven of mailings over jouw aanvullende diensten en producten. Je klanten hoeven hiertoe niet eerst toestemming te geven. Jij bent echter wél verplicht om je klanten een eenvoudige en gratis afmeldmogelijkheid voor je direct marketing te bieden.
LET OP: pas wanneer iemand iets bij je koopt, valt hij/zij onder de categorie 'bestaande klanten'. Iemand die een account op je Website aanmaakt of zich aanmeldt voor de nieuwsbrief, is nog geen klant. Deze 'niet bestaande klanten' mag je niet zonder hun uitdrukkelijke toestemming benaderen voor direct marketing.
Hoe lang mogen persoonsgegevens bewaard worden?
De AVG noemt geen concrete bewaartermijnen. Het uitgangspunt is, net als bij de eerdere Wet bescherming persoonsgegevens (wpb), dat je persoonsgegevens niet langer dan strikt noodzakelijk mag bewaren.
Hoe lang is 'strikt noodzakelijk'? Dat bepaal je in het bewaarbeleid. Dit bewaarbeleid neem je ook op in je documentatie/verwerkingsregister. Je bent verplicht om de mensen, wier persoonsgegevens je verwerkt, te informeren over de bewaartermijnen. Dit kan bijvoorbeeld via een privacyverklaring op je Website.
LET OP: Mensen van wie je persoonsgegevens bewaart, hebben altijd het recht om deze gegevens te laten verwijderen. Als je een verzoek krijgt om persoonsgegevens te verwijderen, moet je hier aan meewerken. Dit recht van de klant heet, in termen van de AVG, het recht op vergetelheid.
Een datalek! Wat nu?!?
Er is sprake van een datalek wanneer de beveiliging van persoonsgegevens is doorbroken. De AVG stelt verplicht dat elke inbreuk in verband met persoonsgegevens moet worden gemeld bij de Autoriteit Persoonsgegevens, tenzij niet waarschijnlijk is dat het datalek een risico voor de betrokken 'slachtoffers' inhoudt. Dit wordt ook wel de meldplicht datalekken genoemd.
Wanneer de meldplicht datalekken van toepassing is op het datalek, moet deze melding binnen 72 na constatering van het datalek worden gedaan bij de Autoriteit Persoonsgegevens.
Mag je persoonsgegevens aan derde partijen verstrekken?
Alleen met nadrukkelijke toestemming van de persoon in kwestie, mag je persoonsgegevens aan derde partijen verstrekken. Je moet de klant helder informeren aan welke derde partijen je de gegevens verstrekt.
LET OP: Een klant moet een eerder verstrekte toestemming altijd kunnen intrekken. Dit moet je net zo eenvoudig maken als het verstrekken van deze toestemming door de klant.
Meer weten? Op de Website van de Autoriteit Persoonsgegevens vind je alle informatie over de AVG en wat deze wet betekent voor jouw onderneming.