Regelhulp AVG van de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens heeft een Regelhulp AVG gemaakt, die helpt bij het bepalen van de impact van de AVG op jouw bedrijf. Yolknet heeft de belangrijkste punten op een rij gezet, en indien gewenst kunnen we je hierbij ook helpen.

1. Welke persoonsgegevens verwerk je?

Inventariseer welke persoonsgegevens je verwerkt. Persoonsgegevens zijn alle gegevens die direct over iemand gaan of die naar iemand te herleiden zijn. Voorbeelden hiervan zijn; naam, adres, telefoonnummer en burgerservicenummer.

Naast 'gewone' persoonsgegevens zijn er ook bijzondere persoonsgegevens. Deze gaan bijvoorbeeld over iemands gezondheid, strafrechtelijke verleden of politieke voorkeur. Het is verboden om bijzondere persoonsgegevens te gebruiken, tenzij je een wettelijke uitzondering hebt. Deze moet dan apart worden aangevraagd voordat je begint met deze gegevens te verzamelen of te gebruiken.

2. Heb je een goede reden om persoonsgegevens te verwerken?

Je mag alleen persoonsgegevens verwerken wanneer je deze echt nodig hebt om je doel te bereiken en het niet anders kan. Je moet dus een goede reden, ofwel ‘grondslag’ hebben. Er zijn 6 grondslagen in de AVG, namelijk:

  1. Je hebt toestemming van de persoon.
  2. De gegevens heb je nodig om een overeenkomst uit te voeren.
  3. De gegevens heb je nodig omdat je dit wettelijk verplicht bent.
  4. De gegevens heb je nodig om vitale belangen te beschermen.
  5. De gegevens heb je nodig om een taak van algemeen belang of openbaar gezag uit te oefenen.
  6. De gegevens heb je nodig om je gerechtvaardigde belang te behartigen.

3. 'Privacy by design' of 'privacy by default'?

Er zijn twee manieren om de privacy automatisch te beschermen; by default of by design. Vaak gebruik je een combinatie van deze twee om aan de AVG te voldoen.

'Privacy by design' is wanneer je in de ontwerpfase al zorgt dat nieuwe producten of diensten de persoonsgegevens goed beschermen.

Daarnaast moeten standaardinstellingen de privacy van iemand respecteren totdat de persoon zelf toestemming geeft. Dit wordt ‘privacy by default’ genoemd. Je mag bijvoorbeeld geen (web)formulier gebruiken waarop al een vakje om een account aan te maken of de nieuwsbrief te ontvangen is aangevinkt.

4. Moet je een register van verwerkingsactiviteiten opstellen?

In een verwerkingsregister beschrijf je welke persoonsgegevens je gebruikt, voor welk doel, waar je ze opslaat en met wie je ze eventueel deelt. Je bent verplicht om met een register te werken als jouw organisatie aan 1 of meer van de volgende dingen voldoet:

  • Regelmatig persoonsgegevens verwerkt.
  • Bijzondere persoonsgegevens verwerkt (zoals gegevens over gezondheid, godsdienst of politieke opvattingen).
  • Meer dan 250 medewerkers heeft.

Omdat klanten-, leveranciers- en personeelsbeheer vaak voorkomt zijn de meeste organisaties verplicht een verwerkingsregister AVG bij te houden. Het verwerkingsregister is een overzicht van alle soorten persoonsgegevens die je verwerkt. Het register moet voldoen aan een aantal eisen. Zo neem je onder andere op wat het doel van de gegevensverwerking is en hoe lang je de gegevens bewaart. Meer informatie hier over staat ook op de website van de Autoriteit Persoonsgegevens.

5. Heb je de juiste maatregelen genomen om persoonsgegevens digitaal te beveiligen?

Bedrijven die binnen de EU opslag in 'de cloud' verzorgen (online opslag), moeten voldoen aan de Europese AVG-richtlijnen. Controleer of je cloud-dienstverlener een ISAE3402-certificering heeft, daarmee laat die zien dat die aan de richtlijnen voldoet.

Google Analytics voldoet duidelijk niet, omdat onbekend is waar persoonsgegevens worden opgeslagen en wat er mee gebeurt. Google geeft aan dat de update Google Analytics 4 hier wel aan voldoet. Daarnaast zijn er ook andere wijzigingen in de nieuwe versie, een overzicht daarvan vind je bijvoorbeeld op onze blog.

6. Heb je de vereiste overeenkomsten met partijen die persoonsgegevens voor jou verwerken?

Zorg voor een goede verwerkersovereenkomst met de organisatie aan wie je gegevensverwerking uitbesteedt. Je moet als ondernemer zeker zijn dat ook zij veilig met jouw data omgaan.

Er is een standaard Europese verwerkersovereenkomst van de Autoriteit Persoonsgegevens, deze kun je gebruiken om een eigen versie op te stellen. Het voorbeeldbestand vind je hier.

7. Voldoe je aan de informatieplicht?

Maak een privacyverklaring in eenvoudige taal. Zet daarin:

  • wat je doet met persoonlijke gegevens, 
  • waar je ze voor gebruikt, 
  • hoe lang je ze bewaart en
  • waarom dat belangrijk is. 

Zorg dat deze verklaring gemakkelijk te vinden is op je website. 

Klanten hebben het recht te weten wat er met hun gegevens gebeurt & jij hebt de plicht hen hierover te informeren.

8. Ben je voorbereid op mensen die hun privacy-rechten willen uitoefenen?

Gebruikers, zoals je klanten, hebben zeggenschap over hun gegevens en wat jij daarmee doet. Een klant kan bijvoorbeeld inzage vragen in opgeslagen data of een eerder gegeven toestemming intrekken. Bereid je organisatie hierop voor. Klanten die denken dat hun persoonsgegevens niet volgens de privacywet worden verwerkt, kunnen een privacy klacht indienen bij de AP. Als de klacht terecht is kun je een boete krijgen.

Heb je geen goede reden (meer) om persoonsgegevens te verwerken? Dan moet je deze verwijderen. De klant heeft namelijk recht op vergetelheid. Dat betekent dat de organisatie de klant 'vergeet'.

Als een klant wil dat je haar/zijn gegevens verwijdert moet je hier aan voldoen tenzij je wettelijk verplicht bent deze nog te bewaren.

Advies nodig?

Heb je nog vragen of jouw website of webshop wel voldoet aan de AVG, of heb je interesse in Google Analytics 4, neem dan contact op met Yolknet.

Wij helpen je graag!

Wil je weten of jouw website of webshop voldoet aan de AVG?
Of heb je interesse in Google Analytics 4?
Wij helpen je graag!

Neem contact op met Yolknet

Yolknet© 2005 - 2024Alle rechten voorbehoudenPrijzen excl. 21% btw