Twijfel je of jij je als ondernemer goed aan de AVG houdt? Of wil je weten wat er allemaal komt kijken bij de AVG? In dit artikel lees je 10 stappen die jou helpen om te voldoen aan de AVG.
Lees meer over de AVG of laat je voorlichten. Heb je personeel in dienst? Betrek dan relevante medewerkers. Zij kunnen inschatten wat de impact van de AVG is op de huidige processen, diensten en producten.
Als ondernemer mag je niet zomaar persoonsgegevens verwerken. Je moet daarvoor aan minstens 1 van onderstaande 6 voorwaarden voldoen:
Jouw klanten hebben veel rechten op gebied van privacy. Je moet ervoor zorgen dat ze gemakkelijk van die rechten gebruik kunnen maken. Klanten mogen bijvoorbeeld:
Jouw klanten mogen een klacht indienen bij de Autoriteit Persoonsgegevens. De AP is verplicht deze klachten in behandeling te nemen.
Leg in een register vast welke persoonsgegevens je verwerkt en waarom je dit doet. Maar ook waar deze gegevens vandaan komen, en met wie je ze deelt. Het register heb je bijvoorbeeld nodig als klanten jou vragen hun gegevens aan te passen of te verwijderen. Je moet dit dan namelijk ook doorgeven aan de organisaties met wie jij de gegevens hebt gedeeld.
Dit register valt onder de zogenoemde verantwoordingsplicht. Als ondernemer moet je altijd kunnen verantwoorden hoe je met persoonsgegevens omgaat.
Verwerk je gegevens met een hoog privacyrisico, dan moet je een Data Protection Impact Assessment (DPIA) uitvoeren. Dit is een uitgebreid onderzoek om risico’s van gegevensverwerking in kaart te brengen. Op basis van deze DPIA kan je maatregelen nemen om de privacyrisico’s te verkleinen.
Lukt het niet om maatregelen te nemen om risico’s te verkleinen? Overleg dan met de Autoriteit Persoonsgegevens voordat je begint met het verwerken van persoonsgegevens. De AP beoordeelt dan of de gegevensverwerking in strijd is met de AVG. Je ontvangt schriftelijk advies van de AP.
Je loopt een hoog privacy risico als je:
Bekijk een lijst met verwerkingen waarvoor een DPIA verplicht is.
Ontwerp je nieuwe producten of diensten, zorg dan in de ontwerpfase al dat persoonsgegevens goed worden beschermd. Dit wordt ook wel ‘privacy by design’ genoemd. Verwerk daarom niet meer persoonsgegevens dan nodig is. Dit noemt men ook ‘privacy by default’. Voorbeelden hiervan zijn:
Verwerk je binnen jouw onderneming veel persoonsgegevens? Controleer dan of je verplicht bent een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen jouw organisatie controleert of alles volgens de AVG gaat. Jouw organisatie mag ook vrijwillig een dergelijke functionaris aanstellen.
Bij een datalek komen persoonsgegevens vrij zonder dat dit de bedoeling is. Voorbeelden van datalekken zijn:
Je bent als ondernemer verplicht alle ernstige datalekken direct te melden aan de AP. Daarnaast moet je alle datalekken documenteren. Ook interne lekken die je niet hoeft te melden. Bekijk in de guidelines welke datalekken je moet melden. Deze richtlijnen zijn nog niet definitief. Je moet de betrokkenen van wie de persoonsgegevens zijn alleen informeren als het datalek grote gevolgen heeft voor hun rechten en vrijheden.
Verwerk je privacygevoelige data voor jouw opdrachtgevers? Dan moet je alle datalekken aan hen melden, zodat zij dit weer aan de AP kunnen melden.
Werk je samen met bedrijven/organisaties, die in opdracht van jou en volgens jouw instructies persoonsgegevens verwerken? Zorg dan dat je met hen een verwerkersovereenkomst sluit. Ook als de verwerker een dochteronderneming is of in het buitenland gevestigd is. Het inzien van de gegevens door een externe helpdesk is al een vorm van verwerking.
Heb je al eerder een vewerkersovereenkomst opgesteld onder de Wet bescherming persoonsgegevens (Wbp)? Controleer dan de huidige overeenkomst en zorg ervoor dat je een nieuwe verwerkersovereenkomst opstelt volgens de regels van de AVG. De regels onder de AVG zijn strenger.
Is jouw onderneming in meerdere EU-landen actief? Of zijn jouw gegevensverwerkingen van invloed op meerdere lidstaten van de EU? Dan hoeft je maar met één privacy-toezichthouder zaken te doen. Dat heet het een-loketmechanisme. Kies bijvoorbeeld de Nederlandse Autoriteit Persoonsgegevens.
Voor sommige gegevensverwerkingen heb je toestemming nodig van de betrokkenen. Daarnaast moet je kunnen bewijzen dat je toestemming hebt gekregen. Bekijk daarom hoe je om deze toestemming vraagt, krijgt en hoe je dit vastlegt.
We hebben natuurlijk allemaal wel eens een regenboog gezien. Een wonderlijk en kleurrijk fenomeen. Heel vaak wordt er bij het zien van een regenboog gezegd dat er een pot goud aan het einde te vinden is. Helaas is dit niet het geval. In deze blog leg ik uit wat het regenboogsyndroom inhoud en wat dit te maken heeft met het starten van een eigen bedrijf.
De kleineondernemersregeling (KOR) verandert per 1 januari 2025. De Belastingdienst ziet een toename in de populariteit van de regeling: sinds 1 oktober hebben zich al 10.650 kleine ondernemers aangemeld. Dat is bijna drie keer zoveel als vorig jaar in dezelfde periode.
