Sinds 25 mei 2018 is er één privacywet geldig voor de Europese Unie, deze is er in plaats van verschillende wetten naast elkaar. Deze wet is de AVG, ofwel de wet Algemene Vordering Persoonsgegevens. Sinds de invoering van de AVG hebben mensen meer te zeggen over hun gegevens en wat ermee wordt gedaan door bedrijven. Hieronder wat veelgestelde vragen over de AVG!
De AVG is voor alle organisaties die persoonsgegevens vastleggen van mensen (klanten, personeel, leveranciers etc.). De wet geldt voor bijna alle ondernemers, dus ook voor zzp’ers, scholen en verenigingen. Er zijn veel dingen die onder de AVG vallen: niet alleen namen, maar ook bijvoorbeeld e-mailadressen, pasfoto’s en IP-adressen. Als je een factuur, offerte of zelfs een nieuwsbrief stuurt heb je al met de wet te maken. Als je wil weten wat je moet doen om je aan de AVG wet te houden, lees dan vooral even verder voor het AVG wet checklist!
De AVG wet heeft veel invloed op bedrijven en de dagelijkse gang van zaken. Het is daarom belangrijk dat iedereen ervan weet en ernaar kan handelen. Omdat de mensen van wie je de gegevens verwerkt meer rechten hebben gekregen, is het ook belangrijk dat zij hun rechten kunnen uitoefenen. Volgens de AVG heb je zogenaamde informatieplicht. Dit betekent dat je degene van wie je de gegevens verwerkt duidelijk moet informeren. Deze info moet beschikbaar zijn op het moment dat je de gegevens van iemand verzamelt.
In sommige gevallen is het opstellen van een privacybeleid, ofwel een gegevensbeschermingsbeleid, verplicht. Maar is het nu verplicht of niet, het is altijd handig om er één op te stellen. Op deze manier is het voor iedereen binnen en buiten je organisatie duidelijk hoe je met gegevensverwerking van personen omgaat. Let bij het maken van het beleid op de aard, omvang, context, en het doel van de gegevenswerking.
Wanneer je persoonsgegevens verwerkt, zorg dan dat je vastlegt welke gegevens je verwerkt en met welk doel. Ook moet je kunnen aantonen waar je de gegevens vandaan hebt en met wie je ze deelt. Dit is ook wel de zogenaamde ‘documentatieplicht’ die met de AVG komt.
Er zijn twee manieren om met persoonsgegevens om te gaan: privacy by design en privacy by default. Privacy by design is een manier die als het ware verwerkt is in een vroeg stadium van een proces. Zoals de naam al zegt: ‘by design’, dus in het ontwerp. Dit betekent dat er aandacht moet zijn voor privacy bij het verkopen van een product of dienst. Is het bijvoorbeeld écht nodig om naar bepaalde gegevens van klanten te vragen, zoals hun geboortedatum?
Privacy by default kan een onderdeel zijn van privacy by design. ‘Default’ betekent standaard en deze manier van gegevensverwerking gaat dus over standaardinstellingen. Standaardinstellingen moeten zo privacy vriendelijk als mogelijk zijn. Voorbeeld: je profiel op Facebook. Dat laat standaard bepaalde gegevens niet zien, tenzij je instelt dat het openbaar is.
In veel gevallen mag je alleen gegevens van mensen verwerken als je daarvoor hun toestemming hebt gekregen. Sinds de AVG wet is ingevoerd zijn hier strengere eisen voor. Controleer daarom goed de manier waarop je toestemming vraagt, krijgt en vastlegt. Hou er rekening mee dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken, als om die te geven.
Een functionaris gegevensbescherming (FG) houdt toezicht op de toepassing en het naleven van de AVG wet. In sommige gevallen is het verplicht om een FG aan te stellen (wanneer je een overheidsinstantie/publieke organisatie bent of je op grote schaal individuen observeert of bijzondere persoonsgegevens verwerkt). Is het niet verplicht, dan kun je er alsnog voor kiezen om er wel één vrijwillig aan te stellen.
DPIA staat voor Data Protection Impact Assessment. Met een DPIA kun je de privacyrisico’s van een bepaalde gegevensverwerking in kaart stellen. Op deze manier kun je maatregelen nemen om de risico’s te verkleinen. Alleen als betrokkenen op grote schaal een hoog risico lopen bij de gegevensverwerking.
In Nederland houdt de AP (Autoriteit Persoonsgegevens) toezicht op de wet en handhaaft deze. De AP kan je sancties opleggen en hoge boetes geven (tot wel 20 miljoen euro in extreme gevallen!) als je je niet houdt aan de AVG wet.
