Wat is de AVG?
De afkorting AVG staat voor Algemene Verordening Gegevensbescherming. Dit is een verordening, een soort van bestuurlijke maatregel, van de Europese Unie (EU). In deze verordening wordt bepaald dat in alle lidstaten van Europa dezelfde regels moeten gaan gelden met betrekking tot hoe bedrijven met gegevens van hun klanten en werknemers om moeten gaan.
De AVG is op 24 mei 2016 in werking getreden. De EU heeft echter bepaald dat bedrijven er twee jaar over mogen doen om de regels van de AVG in hun bedrijfsvoering te implementeren. Dat betekent dat deze op 25 mei 2018 gaan gelden; op die datum moet de hele bedrijfsvoering met betrekking tot persoonsgegevens op orde zijn en riskeren bedrijven boetes vanuit de overheid als dat niet zo is. Tot deze datum gelden in Nederland de regels van de Wet Bescherming Persoonsgegevens.
Waar ziet de AVG op?
De AVG ziet op de manier waarop bedrijven met de gegevens van personen omgaan. In de termen van de AVG heet dit het verwerken van persoonsgegevens van natuurlijke personen.
Verwerken is, in de zin van de AVG, zo ongeveer alles dat een bedrijf met persoonsgegevens kan doen. Daaronder valt in ieder geval verzamelen, bewaren, wijzigen, opvragen en verspreiden. Maar er zijn veel meer voorbeelden te noemen.
Een persoonsgegeven is informatie die over een persoon gaat of die naar een persoon te herleiden is. In de eerste plaats kunt u dan denken aan naam, adres, telefoonnummer en geboortedatum. Maar andere gegevens, zoals een IP-adres, computerbestanden die het internetgedrag van een gebruiker bijhouden (cookies) of zogenaamde biometrische gegevens, zoals een vingerafdruk, zijn ook persoonsgegevens. Hieruit blijkt dat het begrip persoonsgegeven enorm breed is, en dat u misschien over persoonsgegevens van een ander beschikt zonder hier zelf bewust van te zijn.
Natuurlijke personen zijn in dit geval zowel klanten als werknemers van het bedrijf. Onder natuurlijke personen vallen niet rechtspersonen waar een bedrijf zaken mee doet. De gegevens van een rechtspersoon worden niet beschermd door de AVG (maar een bedrijf kan wel aansprakelijk gesteld worden voor schade als het gevoelige gegevens van een ander bedrijf uitlekt!).
Hoe pas ik mijn bedrijf aan op de AVG?
Indien een bedrijf de regels van de AVG overtreedt, riskeert het een boete. En deze boete is niet mis; deze kan oplopen tot 20 miljoen (!) euro of 4% van de jaaromzet, afhankelijk van welk bedrag hoger is. Het is daarom zeer belangrijk om de regels van de AVG serieus te nemen en tijdig te beginnen met het aanpassen van uw bedrijfsvoering op de regels. Hieronder geef ik enkele voorbeelden van aanpassingen die u voor 25 mei 2018 moet uitvoeren.
Ik heb met mijn leveranciers en afnemers nog geen verwerkersovereenkomst
Een bedrijf moet met alle zakelijke relaties waarmee het persoonsgegevens uitwisselt een verwerkersovereenkomst sluiten. In deze overeenkomst spreek je onder andere af dat je zorgvuldig met de persoonsgegevens van bijvoorbeeld elkaars klanten of werknemers om zult gaan.
Mijn bedrijf heeft 250 of meer werknemers in dienst
In dit geval bent u verplicht om een verwerkingsregister bij te houden. In dit register staat bijvoorbeeld informatie over de verwerker van de persoonsgegevens en de doeleinden waarvoor de persoonsgegevens worden verwerkt. Ook als u minder dan 250 werknemers in dienst hebt kan er onder bepaalde omstandigheden een verplichting bestaan om een verwerkingsregister bij te houden.
Ik werk met partijen die buiten de Europese Unie zijn gevestigd
Indien u met partijen werkt die buiten de EU zijn gevestigd, moet u goed nagaan of deze partijen door u aangeleverde persoonsgegevens buiten de EU opslaan. Dit is alleen toegestaan onder bepaalde voorwaarden. Ook kan een klant van u eisen dat hun persoonsgegevens de EU niet verlaten.
Ik geef mijn klanten en/of werknemers toegang tot een online portal
Als u uw klanten of werknemers toestaat om persoonsgegevens op te slaan in een online omgeving, zoals een portal of een forum, dan dient u ervoor te zorgen dat zij deze gegevens eenvoudig weer kunnen downloaden in een standaard bestandsformaat, bijvoorbeeld als een .PDF-bestand.
Ik geef mijn werknemers toegang tot mijn pand door middel van vingerafdrukherkenning
Een vingerafdruk is een zogenaamd biometrisch persoonsgegeven. Voor het verwerken van deze gegevens gelden extra strenge regels; u moet daarom extra zorgvuldig te werk gaan. Dit geldt ook als uw werknemers door middel van hun vingerafdruk toegang krijgen tot het pand van uw klant; u moet deze verwerking dan op de juiste manier regelen in de verwerkersovereenkomst.
Let op! De voorbeelden die hier zijn genoemd zijn slechts een greep uit de aanpassingen die ondernemers voor 25 mei 2018 in hun bedrijfsvoering moeten doorvoeren. Er kunnen specifiek voor uw onderneming andere of aanvullende regels gelden.
Conclusie – Wat is mijn volgende stap?
De AVG breidt het begrip persoonsgegevens behoorlijk uit en legt ondernemers extra verplichtingen op bij het verzamelen, bewaren en verspreiden van deze gegevens. Het is goed voor te stellen dat u al snel door de bomen het bos niet meer ziet. U verwerkt misschien persoonsgegevens zonder dat u dat zelf weet. Dit brengt onder de AVG grote risico’s met zich mee. Er wordt namelijk wel van u verwacht dat u op de hoogte bent van de regels en dat u uw bedrijf daar uiterlijk 25 mei 2018 op hebt aangepast. Het is daarom zeer belangrijk om u tijdig bij te laten staan door een deskundige. Wilt u weten welke aanpassingen er in uw bedrijfsvoering doorgevoerd moeten worden om te voldoen aan de vereisten van de AVG? Neem dan contact op met facily LAW via telefoonnummer 085 – 2 10 11 12 of via e-mail: info@O-JD.nl.