Algemeen

AVG van kracht: hoe zit het ook alweer?

17 sep. 2018

Dat per 25 mei de AVG van kracht is, betekent niet dat je als ondernemer nu achterover kunt leunen. Want juist nu er wordt gehandhaafd, is het belangrijk dat je je AVG-zaken op orde hebt. Hoe zit het ook alweer? We geven antwoord op veelgestelde vragen omtrent de AVG.

  • Is de AVG op mij van toepassing?

De Algemene Verordening Gegevensbescherming (AVG) is van toepassing als je bedrijf persoonsgegevens verwerkt van personen in de Europese Unie – of als je bedrijf is gevestigd in de Europese Unie. Om misbruik van deze persoonsgegevens te voorkomen, ben je verplicht zorgvuldig om te gaan met de persoonsgegevens die je verwerkt. Dit geldt ook voor verenigingen en stichtingen.

Heb je geen medewerkers in dienst? Heb je geen website? Of verstuur je geen nieuwsbrief? Dan is de AVG voor jou minder van toepassing. Toch zegt dit niet dat de AVG-regels niet voor jou gelden.

Gegevens beveiligen

Als je bijvoorbeeld contactgegevens van klanten of leveranciers opslaat op je computer, telefoon of in een bestand, dan is de AVG al van toepassing. Het opslaan van contactgegevens is een verwerking van persoonsgegevens. En dus ben je verantwoordelijk voor de bescherming van deze gegevens. Je moet deze dus goed beveiligen.

Niet direct een boete

Minister Sander Dekker voor Rechtsbescherming zegt dat de kleine bedrijven in het begin niet direct een boete krijgen als ze de AVG niet optimaal naleven. Maar je moet natuurlijk wel kunnen aantonen dat je stappen hebt gezet die in lijn zijn met de AVG-regels.

  • Moet ik alles schriftelijk vastleggen?

Als je persoonsgegevens verwerkt, moet je kunnen aantonen dat de verwerking voldoet aan de eisen van de AVG. Je moet hiervoor bijvoorbeeld een privacyverklaring kunnen overhandigen aan de Autoriteit Persoonsgegevens. En als je met enige regelmaat persoonsgegevens verwerkt, moet je alle verwerkingsactiviteiten bijhouden in een verwerkingsregister.

Er geldt dus een schriftelijkheidsvereiste. In dit geval is digitaal ook schriftelijk.

  • Hoe kan een betrokkene gebruikmaken van zijn recht op vergetelheid?

Iedere betrokkene heeft het recht om zijn gegevens te laten verwijderen en dus ook om online vergeten te worden. Als een klant of relatie wil dat je zijn gegevens verwijdert, dan moet je dat binnen 1 maand doen. Je mag hiervoor geen kosten in rekening brengen.

Ook mag de uitvoering van dit recht niet bemoeilijkt worden. Van een betrokkene kun je dus niet verlangen dat hij zijn verzoek schriftelijk indient. Hij mag ook mondeling een beroep doen op zijn rechten.

  • Wanneer moet ik een verwerkersovereenkomst afsluiten?

Als verwerkingsverantwoordelijke ben je verplicht afspraken te maken met verwerkers. Een verwerker is elke externe partij die in opdracht van jou persoonsgegevens verwerkt. Bijvoorbeeld bij het laten uitvoeren van je personeels- en salarisadministratie. Of wanneer je software gebruikt waarbij persoonsgegevens in een cloud worden opgeslagen. Je dient met zo’n partij een verwerkersovereenkomst af te sluiten.

Je mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten van de AVG voldoen.

Let op:
Als je de gegevensverwerking door een verwerker laat uitvoeren, dan ben jij nog steeds verantwoordelijk voor de naleving van de AVG.

  • Wanneer moet ik een Functionaris Gegevensbescherming (FG) aanstellen?

De Functionaris Gegevensbescherming (FB) houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG. De AVG verplicht in 3 situaties om een FG aan te stellen, namelijk:

  1. bij een overheidsinstantie of publieke organisatie
  2. bij een organisatie die hoofdzakelijk is belast met stelselmatige observatie
  3. bij een organisatie die op grote schaal bijzondere persoonsgegevens verwerkt

Niet verplicht? Toch doen

Als je niet binnen 1 van deze categorieën valt, raden we toch aan een FG aan te stellen. Zo weet je zeker dat iemand binnen de organisatie verantwoordelijk is voor de bescherming van persoonsgegevens. En dat alle vraagstukken op het gebied van de AVG door hem worden opgelost.

Vrijwillig aangestelde medewerker

Er kan verwarring ontstaan als een vrijwillig aangestelde medewerker zich een FG noemt, terwijl de organisatie aan deze medewerker niet dezelfde eisen stelt. Geef in dit geval een andere benaming aan deze functie. Bijvoorbeeld ‘privacy contactpersoon’. Deze medewerker kan dan wel de verwerkingsactiviteiten bijhouden in een verwerkingsregister en een datalek melden, maar is niet officieel een FG.

Lees meer veelgestelde vragen over de AVG

AVG en personeel
AVG en marketing
AVG: zakenrelaties, visitekaartjes en telefoonnummers

Meer weten?

Wil je meer weten over de AVG en welke stappen jij nog moet zetten om aan de AVG te voldoen? Vul het contactformulier in of neem contact op met onze AVG-specialisten.