Voor wie geldt de AVG?
De AVG (Algemene verordening gegevensbescherming) is van toepassing op:
-
een organisatie die persoonsgegevens verwerkt in het kader van de activiteiten van een van zijn of haar in de EU gevestigde bijkantoren, ongeacht waar de gegevens worden verwerkt, of
-
een bedrijf dat buiten de EU is gevestigd en goederen/diensten (betaald of gratis) aanbiedt of het gedrag van personen in de EU volgt
Als je bedrijf een MKB-bedrijf is dat persoonsgegevens verwerkt, moet je de AVG naleven. Als de verwerking van persoonsgegevens echter niet een kernactiviteit van je onderneming vormt en je activiteit geen risico's voor personen met zich meebrengt (zoals bij bijzondere persoonsgegevens), zijn sommige verplichtingen van de AVG niet op jou van toepassing (bijvoorbeeld de benoeming van een functionaris voor gegevensbescherming). Kernactiviteiten zijn activiteiten waarbij gegevensverwerking een onlosmakelijk deel uitmaakt van de activiteiten van de verwerkingsverantwoordelijke of verwerker.
Als je bedrijf buiten de EU is gevestigd en diensten verleent aan klanten buiten de EU valt je bedrijf niet onder de AVG.
Wat zijn de belangrijkste AVG verplichtingen?
Het soort en de hoeveelheid persoonsgegevens dat je als bedrijf of organisatie mag verwerken, hangt af van de redenen voor je verwerking en het gebruik van de persoonsgegevens. Simpel gezegd moet je in duidelijke en eenvoudige taal uitleggen waarom je de persoonsgegevens nodig hebt, hoe je deze wenst te gebruiken en hoelang je de gegevens wenst te bewaren.
Er zijn een aantal AVG verplichtingen:
-
de persoonsgegevens moeten op een wettige en transparante manier worden verwerkt
-
voor de verwerking moeten de doeleinden duidelijk worden gemaakt aan die personen
-
je mag alleen die persoonsgegevens verzamelen en verwerken die nodig zijn om dat doel te bereiken (minimale gegevensverwerking)
-
als bedrijf moet je er zeker van zijn dat de persoonsgegevens accuraat en actueel zijn, rekening houdend met de doeleinden van de verwerking
-
je mag de persoonsgegevens niet voor andere doeleinden gebruiken dan het oorspronkelijke doel
-
zorg ervoor dat de persoonsgegevens niet langer worden bewaard dan nodig is voor de doeleinden
-
je moet de gegevens beschermen tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging door middel van passende technologie
Wat zijn (bijzondere) persoonsgegevens?
Tot persoonsgegevens wordt alle informatie gerekend met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon. Een persoon kan direct of indirect worden geïdentificeerd op basis van een of meer gecombineerde gegevens. Bijzondere persoonsgegevens zijn gegevens over religie, politiek, gezondheid enz. Deze gegevens worden op grond van Europese wetgeving beschermd en mogen alleen met specifieke waarborgen worden verwerkt.
Wat houdt de informatieplicht in?
Bij verwerking van persoonsgegevens geldt dat je een informatieplicht hebt. Het maakt niet uit om welke handeling het gaat: verzamelen, opslaan, ordenen, wijzigen, etc. Op het moment dat je de persoonsgegevens verwerkt, moet je de betrokken personen duidelijk informeren over de navolgende zaken:
-
contactgegevens van je bedrijf en eventueel de gegevens van je verwerkingsfunctionaris
-
waarom wil je de persoonsgegevens gebruiken
-
welke persoonsgegevenscategorieën je hanteert
-
de juridische grondslag voor de verwerking;
-
hoelang bewaar je de gegevens
-
welke andere personen, bedrijven of organisaties die gegevens krijgen
-
of de gegevens worden doorgegeven aan een ontvanger buiten de EU
-
dat de personen recht hebben op een kopie van de gegevens en welke grondrechten zij hebben op het gebied van gegevensverwerking
-
dat de personen het recht hebben een klacht in te dienen bij de nationale gegevensbeschermingsautoriteit de AP
-
dat de personen het recht hebben om hun toestemming op elk moment in te trekken
De informatie kan schriftelijk, mondeling of elektronisch worden gegeven. In ieder geval moet de informatie beknopt, transparant, begrijpelijk en makkelijk toegankelijk in duidelijke en eenvoudige taal en kosteloos worden verstrekt.
Moet je altijd op verzoek gegevens verwijderen?
De AVG geeft personen het recht om gegevens te laten verwijderen. Je moet aan zo’n verzoek voldoen, tenzij:
-
de gegevens die je hebt nodig zijn om het recht op vrije meningsuiting uit te oefenen
-
als er een wettelijke verplichting bestaat om de gegevens te bewaren
-
om redenen van algemeen belang (bijvoorbeeld volksgezondheid, wetenschappelijke, statische of historische onderzoeksdoeleinden)
Wanneer is een verwerkingsregister verplicht?
Een verwerkingsregister is verplicht als je bedrijf meer dan 250 werknemers in dienst heeft. Als je bedrijf minder werknemers in dienst heeft dan moet je over een verwerkingsregister beschikken in een van de volgende gevallen:
-
de verwerking van persoonsgegevens is niet incidenteel (in de praktijk is daar in 9 van de 10 gevallen geen sprake van)
-
de verwerking van persoonsgegevens houden een hoog risico in voor de rechten en vrijheden van die personen
-
je verwerkt bijzondere of gevoelige persoonsgegevens zoals gegevens over religie, politiek of gezondheid
Wat moet je doen bij een datalek?
Zorg bij een datalek dat je overzicht hebt over hoe het heeft kunnen gebeuren en om wat voor soort datalek het gaat. Hoe lang na het ontstaan van het datalek is het ontdekt. Welke gegevens zijn er gelekt en hoeveel. Om welke groepen mensen gaat. Hoeveel onbevoegden hebben mogelijk toegang gehad tot de gegevens. Weet je misschien wie de hackers zijn? Heb je vooraf maatregelen genomen om de gelekte gegevens ontoegankelijk te maken? Zijn de gegevens versleuteld?
Stel vast of je de datalek moet melden aan de AP. Je moet een datalek binnen 72 uur na ontdekking melden bij de AP tenzij het niet waarschijnlijk is dat er een risico is. De betrokken personen informeer je als er sprake is van een hoog risico, zoals het lekken van creditcard- of bankgegevens. Je moet een datalekregister bijhouden waarin je datalekken bijhoudt.
Wanneer is een verwerkersovereenkomst verplicht?
Als je een andere partij inschakelt om persoonsgegevens voor je bedrijf te verwerken, moet je met deze partij een verwerkersovereenkomst afsluiten.
Als de andere partij binnen de EU is gevestigd geldt eveneens de regel dat een verwerkersovereenkomst met die partij moet worden gesloten. Als de andere partij buiten de EU is gevestigd kan de Europese Commissie een bepaald land als een land met passend beschermingsniveau worden aangemerkt. Je bedrijf hoeft dan geen verdere waarborgen te bieden of aan aanvullende voorwaarden te voldoen.
Als er geen adequaatheidsbesluit door de EC is genomen dat moet je zelf passende waarborgen bieden en moeten de personen over afdwingbare rechten en rechtsmiddelen kunnen beschikken.
De wet is complex en verandert vaak. Vraag een advocaat voor juridisch advies.
