De AVG en het bewaren van persoonsgegevens
Iedere ondernemer krijgt ermee te maken: de AVG of Algemene Verordening Gegevensbescherming. Veel ondernemers weten wel ongeveer wat de AVG inhoudt, maar hebben niet voldoende kennis met betrekking tot de Algemene Verordening Gegevensbescherming. Speciaal voor de ondernemers die niet precies weten wat de AVG inhoudt en wat zij met de Algemene Verordening Gegevensbescherming moeten, hebben wij dit artikel opgesteld.
Op deze pagina geven we niet alleen wat algemene informatie over de AVG, maar gaan we ook wat dieper in op dit onderwerp. Zo lees je in dit artikel ook hoe je de gegevens van jouw klanten op de juiste manier op moet slaan, om aan de nieuwe AVG wetgeving te voldoen.
De AVG: een korte kennismaking
De afkorting AVG staat voor Algemene Verordening Gegevensbescherming. Dit is een privacywet die op 25 mei 2018 doorgevoerd wordt. Niet alleen in Nederland, maar ook in de andere landen die zich aangesloten hebben bij de Europese Unie. Als de AVG doorgevoerd wordt in Nederland, verdwijnt de Wet bescherming persoonsgegevens (Wbp). Dit is namelijk de voorganger van de Algemene Verordening Gegevensbescherming. Omdat de nieuwe wet doorgevoerd wordt, is de Wbp overbodig.
De AVG zorgt er ten eerste voor dat de privacy rechten van Europese burgers worden versterkt en uitgebreid. Daarnaast geeft de AVG organisaties – waaronder ook jouw bedrijf – meer verantwoordelijkheden als het om het beschermen van privacy gaat. Tot slot zorgt de AVG ervoor dat Europese privacy toezichthouders allemaal dezelfde bevoegdheden hebben. Door de AVG mogen alle privacy toezichthouders in Europa bijvoorbeeld boetes opleggen, tot wel 20 miljoen euro.
De AVG: ook voor jou!
Veel ondernemers laten zich niet intimideren door de nieuwe, strengere privacywet. Zij voelen zich niet bedreigd omdat ze ‘slechts’ een eenmanszaak runnen of omdat ze eigenlijk niets doen met hun website. Dit klinkt misschien logisch, maar in feite is het niet verstandig de AVG te negeren. Alle ondernemers krijgen namelijk te maken met de nieuwe privacywet: jij ook!
Als kleine ondernemer zal je geen miljoenenboete krijgen als je de nieuwe privacywet negeert, maar de kans op een boete is zeker aanwezig. Negeer je de AVG en moet je hierdoor honderden of duizenden euro’s aan boete betalen, dan is dit absoluut vervelend te noemen. Je kunt dan ook beter voorkomen dat je een boete krijgt door de AVG niet te negeren, maar je ook als kleine ondernemer aan de nieuwe privacywet te houden.
De nieuwe wetgeving in Europa
De nieuwe privacywet wordt op 25 mei 2018 doorgevoerd in heel Europa, dus ook in Nederland. Door de nieuwe wet is er meer controle op de privacy van Europese burgers, maar hebben zij ook meer rechten. Ook zorgt de AVG ervoor dat Europese burgers beter beschermd worden tegen (cyber)dreiging. Bedrijven spelen hierin een grote rol. Zij krijgen meer verantwoordelijkheden in het beschermen van de persoonsgegevens van hun klanten. Dit geldt ook voor jou.
De Europese Unie vindt het erg belangrijk dat de nieuwe wet nageleefd wordt. Daarom wordt er gedreigd met boetes, die gegeven worden aan alle bedrijven die de nieuwe wet niet of niet volledig naleven. De maximale boete die een privacy toezichthouder kan geven, is 20 miljoen euro. Als kleine ondernemer zal je deze boete uiteraard niet krijgen, maar je kunt wel een boete van enkele honderden of duizenden euro’s krijgen als je de nieuwe wet niet naleeft. Houd hier rekening mee.
Het op de juiste manier bewaren van persoonsgegevens
Het is erg belangrijk dat je de gegevens van jouw klanten op de juiste manier bewaart. Bij de AVG is de grondslag van het bewaren van persoonsgegevens erg belangrijk. Wat is de reden om gegevens van mensen te bewaren? Doe je dit om een overeenkomst uit te kunnen voeren, omdat je een wettelijke verplichting hebt voor het bewaren van de gegevens of voor marketingdoeleinden? Als je gegevens van mensen opslaat, moet je duidelijk aangeven wat de grondslag hiervoor is.
Stel, je hebt een contactformulier op je website staan. Dit formulier vullen mensen in als ze een vraag hebben, bijvoorbeeld als ze wat meer informatie willen over een product, een dienst en/of jouw bedrijf. Dit formulier bestaat uit de velden ‘naam’, ‘telefoonnummer’, ‘e-mailadres’, ‘adres’ en ‘opmerking/vraag’.
Het formulier lijkt goed, maar voldoet niet aan de eisen van de AVG. Want waarom heb je het adres van iemand nodig, als hij of zij enkel een vraag wil stellen? Om in contact te kunnen komen met de persoon die de vraag stelt, is het telefoonnummer en/of e-mailadres voldoende. Je hebt simpelweg geen grondslag om ook het adres te vragen. Dit veld moet je dan ook verwijderen of met een andere grondslag kunnen verklaren.
Ook goed om te weten: het Burgerservicenummer van een persoon mag je alleen vragen als hier een wettelijke grondslag voor is. Is er geen wettelijke grondslag, dan overtreed je de AVG als je toch een BSN vraagt. Zelfs als je toestemming hebt van de klant om de BSN toch te vragen.
Een logboek maken
Alle gegevens die je verzamelt, moet je in een logboek opslaan. In dit logboek schrijf je niet alleen welke gegevens je hebt ontvangen van persoon X, maar ook wanneer je deze gegevens hebt ontvangen, of er gaandeweg wijzigingen zijn doorgevoerd (zo ja, wat dan en waarom?), hoe lang je de gegevens bewaart, waar je de gegevens bewaart en ga zo maar door. Natuurlijk moet je in dit logboek ook de grondslag voor het verzamelen van de gegevens aangeven, ofwel waarom je de gegevens van persoon X verzameld hebt.
Alleen met een compleet logboek, voldoe je aan de strenge eisen van de nieuwe privacywet. Goed om te weten, want als je niet aan deze wet voldoet, kun je een flinke boete krijgen. Heb je de berichtgeving over de AVG tot nu toe genegeerd? Dan is het belangrijk om alsnog in actie te komen. Onder andere door een logboek te maken, waar je de gegevens van al jouw klanten in zet.
De gegevens van klanten beveiligen
Tot slot is erg belangrijk dat je de gegevens die je bewaart, goed beveiligt. Je moet aan kunnen geven wat je precies doet om de gegevens van je klanten goed te beveiligen en ook wat je niet doet om de gegevens veilig op te slaan. Ook moet je duidelijk kunnen aangeven wat je doet als de gegevens van je klanten toch op straat komen te liggen. Wat is je plan als dit gebeurt? En waarom is dit plan een goed plan?
Tot slot is het belangrijk om te weten dat je vanaf 25 mei 2018 een meldingsplicht hebt. Wordt je website gehackt en worden er hierdoor gegevens van klanten gestolen? Dan moet je dit melden. Doe je dit niet en komt de hack toch aan het licht, dan krijg je een boete. Is er sprake van een ander soort incident waardoor de gegevens van je klanten mogelijk op straat komen te liggen, dan moet je dit ook melden. Ook als er geen gegevens gestolen zijn en er enkel een risico is dat de gegevens van een of meerdere klanten openbaar worden gemaakt.
De meldingsplicht van de AVG geldt voor iedere ondernemer, dus ook voor jou. Wellicht verstandig om je alvast in de meldingsplicht te verdiepen, zodat je precies weet wat je moet doen als er inderdaad sprake is van een hack of ander incident.