Waarom de AVG?

Het gemak waarmee we onze persoonlijke gegevens delen en weggeven, baart de Autoriteit Persoonsgegevens zorgen. ,,We delen allemaal steeds meer informatie over onszelf. Soms bewust, vaak onbewust.” Om die reden is er vanaf 25 mei 2018 een nieuwe Europese privacywet.

De nieuwe privacywet moet ervoor zorgen dat onze persoonlijke gegevens beter worden beschermd. Organisaties en bedrijven moeten aan kunnen tonen dat de verwerkingen aan de AVG voldoen en de juiste technische en organisatorische maatregelen zijn getroffen voor de bescherming van de gegevens.
Doet u dit niet kan u een boete van maximaal 20 miljoen euro of 4% van de omzet krijgen.

Persoonsgegevens

Onder de Algemene verordening gegevensbescherming (AVG) mag je niet zomaar persoonsgegevens verwerken. Je moet daarvoor een zogeheten wettelijke grondslag hebben. Daarom is het goed om vooraf inzicht te hebben in het type persoonsgegevens dat je wilt verwerken. Zodat je weet welke AVG-regels er voor jou gelden.

We onderscheiden drie typen persoonsgegevens: gewone, bijzondere en strafrechtelijke gegevens. Je mag alleen ‘gewone’ persoonsgegevens verwerken wanneer je de gegevensverwerking op minimaal 1 van de 6 AVG-grondslagen kunt baseren. De verwerking van bijzondere en strafrechtelijke persoonsgegevens is verboden. Tenzij je je kunt beroepen op een specifieke wettelijke uitzondering én op 1 van de 6 grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid.

De 6 AVG-grondslagen

De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens:

  • Toestemming van de betrokken persoon.
  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. (Bijvoorbeeld voor het maken van een zorgvuldige offerte)
  • De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. (Bijvoorbeeld de verplichting om het Burgerservicenummer van een medewerker te verwerken)
  • De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  • De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  • De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen. (Dat is zo wanneer een verwerking aantoonbaar noodzakelijk is om uw bedrijfsactiviteiten te verrichten. Bij-voorbeeld het voeren van een personeelsadministratie.)

TIP: Verwerking van persoonsgegevens voor puur persoonlijk gebruik is wel altijd toegestaan. Denk bijvoorbeeld aan een verjaardagskalender of een bestand met adressen van familie en vrienden.

Verantwoordingsplicht

Zorg ervoor dat u goed kunt onderbouwen dat u de verwerking van persoonsgegevens op minimaal 1 van de 6 AVG-grondslagen kunt baseren als de Autoriteit Persoonsgegevens daar om vraagt. Onder de AVG geldt namelijk de verantwoordingsplicht. U moet ook kunnen aantonen dat u aan de AVG voldoet. Middels een door u ingevulde AVG-verklaring (die u onderaan deze pagina kunt downloaden) bent u hier zeker van.

Checklist AVG

Voldoet jouw bedrijf aan de nieuwe privacywet? Gebruik de AVG-verklaring van de pagina’s 5 t/m 8 en bekijk of je aan onderstaande criteria voldoet.

  • Check of je gegevens mag verwerken

Je mag alleen persoonsgegevens opslaan en verwerken als je voldoet aan minimaal één van de grondslagen van de AVG. In de meeste gevallen moet je gewoonweg toestemming krijgen van de personen in kwestie. Voor 'bijzondere' en strafrechtelijke persoonsgegevens gelden weer extra eisen.

  • Houd u aan de verantwoordingsplicht

Je moet kunnen aantonen dat uw organisatie aan de AVG voldoet. Het bijhouden van een register van verwerkingsactiviteiten (zie hoofdstuk 2) is onderdeel van de verantwoordingsplicht. Breng de gegevensverwerking van jouw bedrijf in kaart. Schrijf op welke persoonsgegevens je verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen, waar je ze opslaat en met wie je ze deelt.

  • Vraag op de juiste manier toestemming

Je moet kunnen aantonen dat personen toestemming hebben gegeven aan jouw bedrijf om hun persoonsgegevens op te slaan. Je moet die toestemming netjes vragen, op een duidelijke en ondubbelzinnige manier. Dit geldt niet als je persoonsgegevens verwerkt die nodig zijn voor de uitvoering van een overeenkomst (bijvoorbeeld voor het maken van een offerte).

  • Geef personen inzage en rechten

Personen hebben het recht op inzage en het recht op correctie en verwijdering van hun gegevens. Zorg dat dit mogelijk is, bijvoorbeeld in een beveiligde online omgeving (portal). Als personen hun gegevens willen wijzigen, moet je de wijzigingen ook (automatisch) doorgeven aan de instanties waar je de gegevens mee hebt gedeeld. 

Jouw personeel heeft ook het recht op inzage van hun gegevens. Dus als jouw werknemer vraagt om zijn personeelsdossier, dan moet je hem laten zien welke persoonlijke gegevens je bewaart. Je kunt hem ook een kopie geven van het dossier.

  • Zorg voor dataportabiliteit

Je moet ervoor zorgen dat personen hun gegevens makkelijk kunnen opvragen en door kunnen geven aan een andere organisatie. Bijvoorbeeld bij de overstap naar een andere partij.

  • Maak een data protection impact assessment (DPIA)*

Hiermee breng je vooraf de privacyrisico’s in kaart van een bepaalde gegevensverwerking. Daarna neem je maatregelen om de risico’s te verkleinen. Let op: Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt).

  • Stel een verantwoordelijke aan

Zorg dat er iemand toezicht houdt op de gegevensverwerking volgens de AVG. Uiteindelijk ben je hier zelf verantwoordelijk voor als werkgever. In sommige gevallen ben je verplicht een functionaris voor de gegevensbescherming (FG*) aan te stellen binnen uw bedrijf.

  • Houd je aan de meldplicht datalekken

Deze meldplicht bestond al, maar je moet nu ieder datalek documenteren dat binnen jouw bedrijf heeft plaatsgevonden.

  • Zorg (indien nodig) voor verwerkersovereenkomsten

Als je de gegevensverwerking hebt uitbesteed aan een andere partij, zorg dan dat je verwerkersovereenkomsten heeft die voldoen aan de nieuwe eisen van de AVG. (zie ook bijlage B) Denk hierbij aan een partij zoals SalesForce en Snelstart. Dit criterium is wellicht niet voor jou van toepassing.


* Deze criteria zijn zeer waarschijnlijk niet van toepassing op jouw schildersbedrijf

Hoe voldoet mijn bedrijf aan de AVG?

Je kunt de AVG-verklaring downloaden en invullen. Deze bevat:

  • Uitleg van de nieuwe Privacywet
  • Register van Verwerkingsactiviteiten
  • Te nemen beveiligingsmaatregelen
  • Geheimhoudingsverklaring
  • Meldplicht datalekken informatie
  • Privacyverklaring voor op de website
  • Voorbeeld verwerkersovereenkomst

Met een juist ingevulde AVG-verklaring, waaronder de privacyverklaring, het register en evt. verwerkersovereenkomsten voldoe je aan de AVG. 
Let op: je dient de verklaring in te richten naar jouw eigen bedrijfssituatie.
Heb je hier vragen over kun je ons altijd bellen of mailen.

AVG Verklaring

Meer weten?

Neem gerust contact op!

Is de informatie in onze kennisbank niet datgene wat je zocht of wil je gewoon meer over een onderwerp weten, neem dan contact met ons op en wij helpen je graag verder.

Onze partners