Privacywetgeving AVG: zo houdt u zich aan de regels

Voorbeeld:

Om een overeenkomst uit te kunnen voeren.

Voorbeeld:

Voor het versturen van een nieuwsbrief heeft u wel een e-mailadres nodig, maar geen geboortedatum.

Voorbeeld:

U heeft een e-mailadres gevraagd om de factuur heen te sturen. Dan mag u het e-mailadres niet voor marketing gebruiken.

Voorbeeld:

Voor uw administratie moet u uw gegevens 7 of 10 jaar bewaren. Daarna heeft u ze niet meer nodig.

Voorbeeld:

Welke gegevens u opslaat, waarom en hoelang.

Voorbeeld:

Door uw website te beveiligen met https en door uw software te updaten.

Lees meer over de AVG of laat u voorlichten. Heeft u personeel? Betrek dan werknemers die persoonsgegevens verwerken.

U mag niet zomaar persoonsgegevens verwerken. U moet daarvoor minstens 1 van deze 6 redenen hebben:

• Het is nodig om een overeenkomst uit te voeren. U moet bijvoorbeeld adresgegevens verwerken om uw product bij iemand te kunnen bezorgen.
• Het is nodig om een wettelijke verplichting na te komen.
• Het is om het gerechtvaardigd belang te behartigen. U moet bijvoorbeeld persoonsgegevens verwerken in uw personeelsadministratie om salaris uit te kunnen betalen.
• U heeft toestemming van de persoon om wie het gaat.
• Het is nodig om iemands leven of gezondheid te beschermen en u kunt die persoon niet om toestemming vragen.
• Het is nodig om een taak van algemeen belang uit te voeren.

Lees meer over de verschillende redenen.

Uw klanten hebben veel rechten op het gebied van privacy. U moet ervoor zorgen dat ze gemakkelijk van die rechten gebruik kunnen maken. Uw klanten mogen bijvoorbeeld:

• hun gegevens inzien, aanpassen en verwijderen
• toestemming die ze eerder gaven beperken, en weer intrekken
• hun gegevens opvragen zodat ze makkelijk naar een ander bedrijf kunnen overstappen, dat heet het recht op dataportabiliteit

Uw klanten mogen een klacht indienen bij de Autoriteit Persoonsgegevens. De AP is verplicht deze klachten in behandeling te nemen.

Leg in een register vast welke persoonsgegevens u verwerkt en waarom u dit doet. Maak duidelijk waar deze gegevens vandaan komen en met wie u ze deelt. In het register zet u ook de datum waar op u de gegevens moet wissen.

U gebruikt het register als klanten u vragen hun gegevens aan te passen of te verwijderen. U moet dit ook doorgeven aan de organisaties met wie u de gegevens heeft gedeeld.

Dit register valt onder de zogenoemde verantwoordingsplicht. U moet altijd kunnen uitleggen hoe u met gegevens omgaat.

Verwerk in uw producten of diensten niet meer persoonsgegevens dan nodig is. Dit noemt men ook ‘privacy by default’. Voorbeelden hiervan zijn:

• Laat een app niet zonder goede reden de locatie van gebruikers registreren.
• Vink op uw website het vakje ‘ja, ik wil aanbiedingen ontvangen’ niet vooraf aan.
• Vraag bij het abonneren op een nieuwsbrief niet meer gegevens dan nodig is.

Ontwerpt u nieuwe producten of diensten, zorg dan in de ontwerpfase al dat persoonsgegevens goed worden beschermd. Dit wordt ook wel ‘privacy by design’ genoemd.

In de AVG staat dat u persoonsgegevens goed moet beveiligen. Toch kunnen er persoonsgegevens vrijkomen zonder dat dit de bedoeling is. Dit heet een datalek.

Voorbeelden van datalekken zijn:

• U verliest een laptop, tablet, usb-stick of papieren met daarop niet-versleutelde persoonsgegevens.
• U mailt persoonsgegevens naar een verkeerd persoon.
• De persoonsgegevens die u verwerkt worden gestolen bij een cyberaanval.
• Uw systeem is besmet met ransomware waardoor de persoonsgegevens niet meer toegankelijk zijn.

U moet alle ernstige datalekken direct melden aan de AP. Daarnaast moet u alle datalekken documenteren. Ook interne lekken die u niet hoeft te melden. Bekijk op de website van Autoriteit Persoonsgegevens welke datalekken u moet melden. U moet de personen van wie de persoonsgegevens zijn alleen informeren als het datalek grote gevolgen heeft voor hun rechten en vrijheden.

Verwerkt u privacygevoelige data voor uw opdrachtgevers? Dan moet u alle datalekken aan hen melden, zodat zij dit aan de AP kunnen doorgeven.

Werkt u samen met bedrijven, die in opdracht van u en volgens uw instructies persoonsgegevens verwerken? Zorg dan dat u met hen een verwerkersovereenkomst sluit. Ook als de verwerker een dochteronderneming is of in het buitenland gevestigd is. Het inzien van de gegevens door een externe helpdesk is al een vorm van verwerking.

Verwerkt u gegevens met een hoog privacyrisico? Dan moet u een Data Protection Impact Assessment (DPIA) uitvoeren. Dit is een uitgebreid onderzoek om risico’s van gegevensverwerking in kaart te brengen. Op basis van deze DPIA kunt u maatregelen nemen om de privacyrisico’s te verkleinen.

Verwerkt u in uw onderneming heel veel persoonsgegevens? Controleer dan of u verplicht bent een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen uw organisatie in de gaten houdt of u alles volgens de AVG doet. Uw organisatie mag ook vrijwillig een FG aanstellen.