Is uw onderneming privacy proof? Vijf tips waarmee u aan de slag kunt

1 februari 2018

Marius Dekkers

Privacy

privacy Van Till

Sinds 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht. Sindsdien is de Nederlandse Wet bescherming persoonsgegevens niet meer van toepassing en gelden in de gehele EU dezelfde regels voor privacybescherming. De invoer van de AVG heeft ervoor gezorgd dat privacyrechten zijn uitgebreid en organisaties meer verantwoordelijkheden hebben op dit gebied. Wat betekent dit voor uw onderneming?

Verwerking persoonsgegevens

Onder de AVG is verwerking van persoonsgegevens mogelijk, maar u moet aan verschillende voorwaarden voldoen. Zo is altijd een geldige reden nodig. In de AVG wordt dit een gerechtvaardigde grondslag genoemd. Van zo’n grondslag is bijvoorbeeld sprake wanneer een klant een product bij u koopt en u voor de levering zijn of haar gegevens verwerkt. Een andere geldige reden voor verwerking is toestemming van degene die het betreft. Die toestemming moet uitdrukkelijk zijn.

Kortom: het moet duidelijk zijn voor welke doeleinden u als ondernemer de gegevens verwerkt en waarom de verwerking noodzakelijk is.

Recht op verwijdering en bijzondere gegevens

De personen van wie u de gegevens registreert, hebben recht op inzage, rectificatie en verwijdering van hun gegevens. U moet hen bovendien informeren over hun rechten en de wijze waarop u de gegevens verwerkt. Bepaalde persoonsgegevens, zoals over iemands gezondheid, politieke voorkeur of seksuele geaardheid mogen nooit worden verwerkt, tenzij er op grond van de wet een uitzondering geldt.

Verwerking door derden en beveiliging gegevens

In de AVG zijn regels opgenomen over het uitbesteden van de verwerking van persoonsgegevens aan derden. Laat u bijvoorbeeld de salarisadministratie door een externe dienstverlener doen? U dient daarover dan afspraken te maken zodat de privacy van uw medewerkers goed beschermd blijft.

De verwerkte persoonsgegevens moeten zowel door u als door u ingeschakelde dienstverlener worden beveiligd. In geval van een datalek moet melding worden gedaan. Bepaalde organisaties en ondernemingen zijn vanwege de aard van de te verwerken gegevens verplicht een Data Protection Officer aan te stellen. Dat is een toezichthouder binnen uw organisatie.

Vijf tips bij verwerking persoonsgegevens

Hoe zorgt u dat u voldoet aan alle wettelijke voorwaarden? Om privacy proof te zijn, raden wij u in ieder geval het volgende aan:

  1. Verwerkt uw onderneming persoonsgegevens? Leg dan vast welke gegevens u waarom verzamelt en welke noodzaak daartoe bestaat. Indien u twijfelt of verwerking is toegestaan, raadpleeg dan een specialist.
  2. Zorg altijd dat er een wettelijke basis is voor de verwerking van de persoonsgegevens. Dus: een geldige reden. Leg de toestemming altijd schriftelijk of digitaal vast.
  3. Heeft u een webshop of internetsite? Zorg voor een duidelijk Privacy Statement. Daarin kunt u uw klanten informeren over de wijze waarop u aan de privacyregels voldoet. Een goed Privacy Statement behandelt alle voorwaarden en vereisten zoals neergelegd in de AVG. Wij kunnen u helpen bij het opstellen daarvan.
  4. Ga na of bewaarde gegevens voldoende beveiligd zijn en neem maatregelen om een datalek tegen te gaan. Denk aan een veilige ICT-omgeving, maar informeer ook uw personeel over hoe zij met persoonsgegevens van klanten moeten omgaan.
  5. Stel binnen uw onderneming een medewerker aan die toezicht kan houden op naleving van de privacyregels. Iemand die de processen rond de verwerking van persoonsgegevens vastlegt en in het oog houdt. Bedenk vooraf wat u moet doen in het geval van een datalek en wie daarbij welke acties onderneemt.

Heeft u hulp nodig bij het opstellen van een Privacy Statement of heeft u vragen over de regelgeving? Onze advocaat Marius Dekkers helpt u graag verder.