Jouw verantwoordelijkheid als ondernemer

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht in Nederland. Deze Europese verordening standaardiseert de regels voor het verwerken van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de gehele Europese Unie. Deze nieuwe privacywetgeving is van toepassing op alle EU-lidstaten.

Als ondernemer moet je ervoor zorgen dat de persoonsgegevens van jouw klanten goed worden bewaard en beschermd. Het doel is niet alleen om de bescherming van persoonsgegevens binnen de Europese Unie te waarborgen, maar ook om het vrije verkeer van gegevens binnen de Europese interne markt te bevorderen.

AVG: van toepassing op alle ondernemers

De AVG is van toepassing op alle ondernemers, inclusief zelfstandigen, zzp’ers en mkb’ers die persoonsgegevens verwerken. Het ‘verwerken van persoonsgegevens’ omvat onder andere het verzamelen, vastleggen, opslaan, gebruiken, doorsturen, verspreiden, beschikbaar stellen en samenbrengen van gegevens.

Het maakt niet uit hoe je de gegevens verwerkt (handmatig of automatisch) of of je de gegevens voor jezelf of voor iemand anders verwerkt.

Wanneer mag je persoonsgegevens verwerken?

Niet iedereen mag zomaar persoonsgegevens verwerken. Je moet voldoen aan minimaal een van de volgende voorwaarden:

Je hebt toestemming van de persoon om wie het gaat.

Je moet de persoonsgegevens verwerken om een overeenkomst uit te voeren (bijvoorbeeld een adres verwerken om een gekocht product te laten bezorgen of om iemand te informeren over een afgenomen dienst).

Je moet de persoonsgegevens verwerken om een wettelijke verplichting na te komen.

Je moet de persoonsgegevens verwerken om iemands leven of gezondheid te beschermen.

Je moet de persoonsgegevens verwerken om een taak van algemeen belang uit te voeren.

Je moet de persoonsgegevens verwerken in je personeelsadministratie om salaris uit te kunnen betalen.

Informeer je klanten

Zorg ervoor dat je klanten goed geïnformeerd zijn over hun rechten. Laat hen weten (bijvoorbeeld via je website, algemene voorwaarden, contracten en overeenkomsten) hoe en waarom je hun gegevens verwerkt. Informeer hen dat zij altijd hun gegevens mogen inzien, aanpassen en verwijderen, en dat zij eerder gegeven toestemming altijd kunnen intrekken. Ook mogen klanten altijd een klacht indienen bij de Autoriteit Persoonsgegevens. De AP is verplicht deze klachten in behandeling te nemen.

Meldplicht bij datalekken

Een datalek vormt een serieus risico voor bedrijven. De Wet Meldplicht Datalekken, opgesteld door de AVG, bepaalt dat bedrijven of organisaties een datalek binnen 72 uur na ontdekking moeten melden bij de toezichthouder. Deze meldplicht houdt in dat bedrijven, overheden of andere organisaties die met persoonsgegevens te maken hebben, deze datalekken moeten melden aan de Autoriteit Persoonsgegevens (AP).

In sommige gevallen moeten ook de personen die het slachtoffer zijn geworden van een datalek op de hoogte worden gebracht. Dit is het geval als er risico’s bestaan voor de privacy van de betrokken personen. De meldplicht is er om te zorgen dat de gevolgen van een datalek zoveel mogelijk worden beperkt en om het beschadigd vertrouwen in de omgang met persoonsgegevens te herstellen. Voor meer informatie over de AVG en voor het melden van een datalek, kun je terecht op de website van de Autoriteit Persoonsgegevens.

Meer weten?

Onder de AVG worden ondernemers gedwongen zorgvuldig om te gaan met de persoonsgegevens van hun medewerkers en klanten. Dit kan behoorlijk ingewikkeld zijn. Op de site van de Autoriteit Persoonsgegevens (AP) vind je meer informatie en kun je terecht voor het melden van een datalek: Autoriteit Persoonsgegevens.