Privacywet
Voldoet jouw bedrijf aan de privacywet? Bescherm je de persoonsgegevens van je klanten en personeel goed genoeg? Als ondernemer ben je verplicht om je aan de privacywet of AVG te houden. Lees hier wat de privacywet inhoudt en hoe je ervoor zorgt dat jouw bedrijf eraan voldoet.
Wat is het verschil tussen de privacywet en de AVG?
Met de privacywet en de Algemene Verordening Gegevensbescherming (AVG) bedoelen we hetzelfde. Er is geen verschil.
Wat houdt de privacywet in?
De privacywet vervangt de Wet bescherming persoonsgegevens. Met de komst van AVG, internationaal GDPR genoemd, geldt er één privacywet in de Europese Unie. De wet geldt sinds 25 mei 2018 in alle EU-landen. Het doel van de wet is om de privacy van personen te beschermen. In een tijd waarin data en het gebruik daarvan steeds belangrijker worden, is het noodzakelijk dat we correct omgaan met persoonsgegevens.
In het kort geeft de privacywet personen meer zeggenschap en rechten omtrent privacy. De wet beschermt persoonsgegevens, de verwerking van persoonsgegevens en personeel. Als ondernemer kun je op dagelijkse basis met AVG-regelgeving in aanraking komen.
Voor wie is de privacywet?
De wet geldt voor iedereen, maar vooral organisaties, stichtingen, verenigingen, ondernemers en bedrijven. Zelfs scholen en zorginstanties hebben er op een zakelijke manier mee te maken.
Wanneer krijg je als ondernemer te maken met de privacywet?
Als ondernemer verwerk je gegevens die naar personen (klanten) te herleiden zijn. Voorbeelden hiervan zijn: namen, woonplaatsen, (e-mail)adressen, zoekgedrag en cookies, financiële gegevens zoals facturen en offertes, maar ook camerabeelden, flyers, uitnodigingen en een (digitale) nieuwsbrief. Alle vallen onder de AVG-regelgeving.
Naast de regelgeving voor het verwerken van gegevens van zakelijke contacten zijn er ook richtlijnen voor het verwerken van persoonsgegevens van werknemers. Hoewel er veel mogelijkheden zijn om werknemers te monitoren, wil dat niet zeggen dat dit juridisch ook is toegestaan. Meer informatie over verplichting van privacywaarborging, de informatieplicht, toestemming en wettelijke gronden voor rechtmatige verwerking van werknemersgegevens vind je bij Privacy en monitoring van personeel.
Wat gebeurt er als mijn bedrijf niet aan de AVG voldoet?
Wanneer niet aan AVG-richtlijnen wordt voldaan, grijpt de Autoriteit Persoonsgegevens (AP) in. De Autoriteit Persoonsgegevens kan sancties opleggen en een boete van 4% van de wereldwijde omzet of maximaal 20 miljoen euro. Voorkom sancties en boetes door jezelf goed te informeren. Download de checklist “Nog niet privacyproof?” waarin je kunt testen of je onderneming privacyproof is. Hier vind je ook meer informatie over het juist verwerken van persoonsgegevens, de privacyverklaring van je bedrijf en of je verwerkersovereenkomst voldoet aan de nieuwe eisen.
Zo voldoe je aan de privacywet: de 10 belangrijkste stappen
- Weet hoe je de persoonsgegevens verwerkt. Kan je aangeven hoe jij alle persoonsgegevens binnen jouw bedrijf verwerkt en met welk doel je dit doet? En houd je ook bij waar deze gegevens vandaan komen en met wie je ze allemaal deelt? Breng het in kaart en leg de processen vast. Dat ben je wettelijk verplicht.
- Bewaak de privacyrechten van je klanten en personeel.
De nieuwe wet biedt iedereen van wie de persoonsgegevens worden verwerkt, meer en verbeterde privacyrechten. Iedereen moet eenvoudig inzage krijgen in wat er aan persoonlijke gegevens is vastgelegd. Maar ook moet iedereen de gegevens kunnen laten corrigeren of op verzoek laten verwijderen of beschikbaar kunnen stellen aan een andere organisatie. - Een Gegevensbeschermingseffectbeoordeling brengt privacyrisico’s in kaart.
In een Gegevensbeschermingseffectbeoordeling, ook wel data protection impact assessment (DPIA) genoemd, worden vooraf de privacyrisico’s van de verwerking van de persoonsgegevens in kaart gebracht. Met als doel om te beoordelen of je voldoet aan de wettelijke eisen. En om eventuele maatregelen te treffen om datalekken of andere overtredingen te voorkomen. De Autoriteit Persoonsgegevens (AP) komt met een lijst van verwerkingen waarvoor een Gegevensbeschermingseffectbeoordeling verplicht is. - Alleen persoonsgegevens vragen en opslaan die noodzakelijk zijn voor het doel.
Pas jouw systemen zó aan dat die alleen de persoonsgegevens verwerken die noodzakelijk zijn voor het doel dat je nastreeft. De gedachte hierbij is dat bezoekers beschermd moeten worden. Bijvoorbeeld het verplicht aanvinken van hokje ‘Ik wil de nieuwsbrief ontvangen’ mag niet, als dat niet noodzakelijk is om een vraag van een klant te beantwoorden. - Voldoet de privacyverklaring van jouw bedrijf?
De privacywet verplicht je om betrokkenen te laten weten wat er met hun gegevens gebeurt. Dit betekent dat je meer gedetailleerde informatie moet vastleggen in de privacyverklaring. De verklaring moet in duidelijke taal zijn geschreven. - Is jouw bedrijf of organisatie verplicht een functionaris voor de gegevensbescherming aan te stellen?
Niet alle organisaties zijn verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Laat je goed voorlichten of je een FG moet aanstellen. - Datalekken moeten worden vastgelegd.
Maak een stappenplan waarin je precies aangeeft hoe je omgaat met het vermoeden van een datalek of een echt datalek. Beveiliging moet ook periodiek worden getest en geëvalueerd.
Verstuur of mail persoonsgegevens altijd veilig, gebruik een https-certificaat en weeg de risico’s af bij het online delen van persoonsgegevens. - Voldoet de verwerkersovereenkomst aan de nieuwe eisen?
Laat je de verwerking van persoonlijke gegevens door een andere partij uitvoeren, bijvoorbeeld de hostingprovider of het salarisadministratiekantoor? Dan heb je in de verwerkersovereenkomst specifieke afspraken over de omgang met deze persoonlijke gegevens vastgelegd. Weet jij niet zeker of je de verwerkingsverantwoordelijke of de verwerker zelf bent? Maak dan gebruik van onze handige adviesgenerator ‘Ben je een verwerker ?’ en krijg antwoord op je vraag. - Maak inzichtelijk hoe je toestemming vraagt en leg vast hoe deze toestemming is verkregen.
De wet verplicht je om de processen inzichtelijk te houden. Leg dus vast hoe je te werk gaat. Bekijk hoe wij je daarbij kunnen helpen. - Toestemming intrekken net zo makkelijk als krijgen.
Iedereen moet op eenvoudige wijze zijn toestemming tot verwerking van de persoonsgegevens weer kunnen intrekken. Werp dus geen drempels op.
Heb je een vraag over de privacywet?
Je kunt ons altijd bellen voor advies, op telefoonnummer 088 3279 834.
Zo helpen we je
Heeft deze informatie je geholpen?
We horen graag je feedback. Daarmee help je ons om deze informatie verder te verbeteren.