De Algemene Verordening Gegevensbescherming (AVG), op z’n Engels 'GDPR', is sinds 25 mei 2018 van kracht in de hele Europese Unie. Deze privacywetgeving is opgesteld om de gegevens van personen te beschermen en legt organisaties verschillende verplichtingen op wat betreft het verwerken van zulke persoonlijke gegevens (Autoriteit Persoonsgegevens).
De AVG is van toepassing op alle organisaties die persoonsgegevens verwerken, ongeacht hun grootte. Dit betekent dat ook zzp’ers, eenmanszaken en familiebedrijven onder de AVG vallen. Zelfs als je maar heel weinig klantgegevens verwerkt, moet je je toch aan de AVG houden.
Personengegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Het gaat onder andere om:
Naam en adres
E-mailadres en telefoonnummer
Geboortedatum
IP-adres
Locatiegegevens
Als je die gegevens bewaart, gebruikt of er geld mee verdient, moet je je aan de AVG houden.
Als ondernemer dien je de volgende verplichtingen in acht te nemen:
Je moet je klanten helder en duidelijk laten weten welke gegevens je over hen bijhoudt, waarom je dat doet, hoe lang je die gegevens bewaart en met wie je ze deelt. Doe dat meestal via een privacyverklaring op je website.
Persoonsgegevens mag je alleen verwerken als je daarvoor een geldige reden hebt, zoals:
De betrokkene heeft toestemming gegeven
Het is nodig voor de uitvoering van de overeenkomst
Het is nodig om te voldoen aan de wet
Het is nodig voor de behartiging van een gerechtvaardigd belang
De betrokkenen hebben onder de AVG verschillende rechten, zoals:
Recht van inzage
Recht op rectificatie
Recht om vergeten te worden (recht op gegevenswissing)
Recht van beperking van de verwerking
Recht op overdraagbaarheid van gegevens
Recht van bezwaar
Je moet ervoor zorgen dat je aan deze rechten kunt voldoen.
Als je derden inschakelt die namens jou persoonsgegevens verwerken (bijvoorbeeld een cloudprovider of boekhouder), moet je met hen een verwerkersovereenkomst afsluiten waarin afspraken worden gemaakt over de verwerking en beveiliging van de gegevens.
Je bent verplicht om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Denk aan:
Gebruik van sterke wachtwoorden
Versleuteling van gegevens
Regelmatige back-ups
Beperking van toegang tot gegevens
Documenteer welke persoonsgegevens je verwerkt, met welk doel, op basis van welke grondslag, hoe lang je ze bewaart en met wie je ze deelt. Dit helpt je om inzicht te krijgen in je gegevensverwerkingen en is verplicht onder de AVG.
Maak een duidelijke en begrijpelijke privacyverklaring waarin je uitlegt hoe je omgaat met persoonsgegevens. Zorg ervoor dat deze gemakkelijk toegankelijk is, bijvoorbeeld via je website.
Evalueer of je huidige beveiligingsmaatregelen voldoende zijn om persoonsgegevens te beschermen. Pas ze indien nodig aan en documenteer de genomen maatregelen.
Identificeer alle externe partijen die namens jou persoonsgegevens verwerken en sluit met hen verwerkersovereenkomsten af waarin je afspraken maakt over de verwerking en beveiliging van de gegevens.
Zorg ervoor dat jij en je eventuele medewerkers op de hoogte zijn van de AVG en weten hoe ze moeten omgaan met persoonsgegevens. Overweeg het volgen van trainingen of het raadplegen van experts.
Niet voldoen aan de AVG kan leiden tot:
Boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is
Reputatieschade
Verlies van klanten
Juridische procedures
Als zzp'ers niet voldoen aan de AVG, kan de Autoriteit Persoonsgegevens dus boetes opleggen (Autoriteit Persoonsgegevens).
Het onderhoudsbedrijf CP&A kreeg een boete van €15.000 opgelegd vanwege het onrechtmatig verwerken van personeelsgegevens. Het bedrijf had verzuimd om passende maatregelen te nemen om de privacy van hun medewerkers te waarborgen.
Een orthodontiepraktijk kreeg een boete van €12.000 voor het vragen naar medische informatie via een onbeveiligd formulier op de website. Het formulier was niet adequaat beveiligd, waardoor gevoelige medische gegevens van patiënten onvoldoende werden beschermd.
Een bruidsmodezaak kreeg een boete van €10.000 voor het zonder toestemming publiceren van foto's van klanten op sociale media. De klanten waren niet geïnformeerd over het gebruik van hun foto's, wat in strijd is met de AVG-regels over toestemming en transparantie.
Bron: Autoriteit Persoonsgegevens – Boetes en andere sancties AVG
De AVG is niet alleen van toepassing op grote bedrijven; ook zzp’ers en mkb’ers moeten gehoor geven aan de privacywetgeving. Dat doe je door transparant te zijn, de juiste maatregelen te nemen en de rechten van betrokkenen te respecteren. Zo voldoe je aan de AVG en blijven je klanten je trouw.