De AVG is de Nederlandse versie van de GDPR. Ik geef hier mijn persoonlijke, vrije vertaling van de strekking van de AVG. Zodat je de gedachte erachter begrijpt. Dat helpt om het nut van de te nemen maatregelen voor jouw bedrijf in te zien.
De AVG is natuurlijk niet speciaal bedacht om jou lastig te vallen met allerlei dingen die je moet regelen voor je bedrijf. Het is een verordening die ervoor moet zorgen dat persoonsgegevens worden verwerkt op een manier die rechtmatig, behoorlijk en transparant is. Simpelweg omdat het vervelend en meestal ook schadelijk is als jouw persoonlijke gegevens in verkeerde handen komen. En daarom moet jij de persoonsgegevens die jij in handen hebt van bijvoorbeeld je klanten ook op een goede manier verzamelen en verwerken. Logisch.
Persoonsgegevens zijn gegevens die te (gemakkelijk of met een beetje speurwerk) herleiden zijn naar een persoon, zoals voor- en achternaam, adres, mailadres, IP-adres, een profielbeschrijving en geboortedatum.
Je mag alleen gegevens verwerken als je dat doet op basis van een geldige grondslag. De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens:
Je bent zelf verantwoordelijk om te beoordelen of je je voor een verwerking van persoonsgegevens kunt baseren op één van de 6 grondslagen.
Je moet controleerbaar en zorgvuldig omgaan met de persoonsgegevens van klanten en potentiële klanten.
Je mag alleen gegevens vragen die noodzakelijk zijn voor het specifieke doel. Dus als je iets gaat mailen, mag je niet naar het postadres vragen.
En je mag de gekregen gegevens ook niet later nog eens voor iets anders gebruiken.
Iedere keer dat je informatie vraagt moet je uitleggen waarvoor je dat vraagt, wie er iets mee gaat doen, hoe en hoe lang je het bewaart, hoe mensen hun gegevens zelf kunnen inzien, en hoe ze hun gegevens kunnen laten verwijderen. Dat kun je het beste doen in een privacyverklaring, die je meestuurt of waarvan je een linkje geeft.
AVG wil ook voorkomen dat mensen ongemerkt en/of ongewenst hun persoonlijke gegevens prijsgeven via internet. Daarom mag je op je site niet zonder toestemming van de bezoeker zijn gedrag bijhouden met slimme cookies, zodat je die gegevens later kunt gebruiken om die bezoeker bepaalde advertenties te tonen. Het mag alleen als je er expliciet om vraagt, en de bezoeker vrijwillig en actief toestemming geeft.
Als je online om gegevens vraagt moet je een beveiligde internet verbinding hebben, zodat de gegevens niet door anderen onderschept kunnen worden. Dat doe je met een SSL certificaat. Je ziet het aan het groene slotje in de webbrowser en in de link, die dan https bevat.
Je mag geen gegevens doorgeven aan derden, tenzij je dat aan de betrokken personen hebt gevraagd en er toestemming voor hebt, en het goed hebt geregeld met die derde door middel van een verwerkingsovereenkomst.
Als je producten of diensten ontwikkelt waarin persoonlijke gegevens een rol spelen, dan eist de AVG dat je het zó ontwerpt dat je de privacy zo veel mogelijk dient. Dus: alleen het noodzakelijke vragen, goed beveiligen etc. Alvast aangevinkte vakjes voor ‘toestemming’ mogen bijvoorbeeld niet.
Als je gegevens opslaat moet je ervoor zorgen dat anderen er niet zomaar bij kunnen. En je moet het opslaan op een plaats die logisch hoort bij het gebruik van de gegevens. Dus bankrekeningnummers in je factuursysteem, en niet nog ergens anders.
Wanneer je ontdekt dat de door jou verzamelde gegevens op een verkeerde plek terecht zijn gekomen (datalek), dan eist de AVG dat je dat meldt.
Je moet een overzicht kunnen tonen van welke gegevens je waar bewaart, als erom wordt gevraagd. Dat is je verwerkingsregister.
Hoe groter de impact is van een eventueel informatielek, hoe meer maatregelen je moet nemen om passend en doelmatig te beveiligen.
Maar wat is precies passend en doelmatig? Helaas is niet alles tot in detail uitgewerkt in de verordening. Sommige dingen zullen pas goed duidelijk worden zodra het ergens mis gaat en de rechter zich erover mag buigen. Tot die tijd gebruik je zelf je gezonde verstand.
Krijg je controle of jouw bedrijf AVG-proof is?
Er wordt gedreigd met fikse boetes. In theorie kun je gecontroleerd worden. Technisch is het niet zo heel moeilijk om bijvoorbeeld websites automatisch te controleren op cookie-gebruik. Vermoedelijk zal er vooral gecontroleerd worden in situaties die daarvoor aanleiding geven. Bijvoorbeeld omdat jouw bedrijf een voorbeeld is voor de branche, omdat je al eens datalekken hebt gehad of omdat je bent beschuldigd van misbruik van persoonsgegevens.
Ik schreef het al eerder: hoe gevoeliger de persoonlijke gegevens zijn die je in handen hebt, hoe vervelender de consequenties zijn voor de betreffende personen als die gegevens in verkeerde handen terecht komen en hoe belangrijker het is dat je alles goed hebt geregeld.
Is het relevant of je AVG controle krijgt? Je wilt netjes met de gegevens van je klanten omgaan omdat je netjes met je klanten om wilt gaan. Toch?
Loes Vork, Vork Communicatie
De stappen die je als ZZP of MKB moet zetten om AVG proof te worden