Voldoet jouw bedrijf al aan de AVG eisen?

Geplaatst door Marian Beuker 8 februari 2018

De AVG staat voor Algemene Verordening Gegevensbescherming en vervangt per 25 mei 2018 de huidige Wet bescherming persoonsgegevens (Wbp). De nieuwe AVG breidt onder andere de privacyrechten uit en legt meer verantwoordelijkheid bij bedrijven die persoonsgegevens verzamelen en bewerken. Oftewel: dit geldt voor bijna alle bedrijven, ook voor jou!

Wat zijn persoonsgegevens?

De AVG gaat dus over persoonsgegevens. Maar wat zijn dit nu eigenlijk? Persoonsgegevens zijn volgens de AVG:  "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon". Voorbeelden van persoonsgegevens zijn naw-gegevens, e-mailadressen, ip-adressen, klantprofielen, klikgedragingen en aankoopgegevens. Met andere woorden: het zijn persoonsgegevens die vaak worden gevraagd door organisaties waardoor de kans groot is dat jouw bedrijf ook aan deze verordening moet voldoen voor 25 mei 2018. Mocht jouw bedrijf niet voldoen aan de nieuwe verordening, dan kan de Autoriteit Persoonsgegevens jou een forse boete opleggen. Deze boete kan wel oplopen tot €20.000.000 of 4 procent van je jaaromzet. Kortom: een belangrijke verordening om rekening mee te houden.

De zeven principes van de AVG

De AVG hanteert zeven principes en drie rechten. Hieronder leg ik je de principes en rechten kort en in grote lijnen uit. Zo kun je zien of jouw bedrijf al aan deze verordening voldoet of waaraan je nog moet voldoen voor 25 mei 2018.

Principe 1: Transparantie

Transparantie is een belangrijk principe binnen de verordening. Hiermee wordt bedoeld dat je jouw klant op de hoogte brengt van welke persoonlijke gegevens je van hem of haar gebruikt. Daarnaast moet er nadrukkelijk toestemming worden gevraagd voor het verzamelen en het gebruik van de gegevens en moet jouw klant op de hoogte zijn van zijn of haar rechten.

Principe 2: doelbeperking

Het verzamelen en gebruiken van persoonsgegevens moet worden verantwoord. Gegevens die je niet expliciet nodig hebt om de klant van dienst te kunnen zijn mogen daarom niet worden gevraagd. Ook mogen de persoonsgegevens van je klant, niet zonder toestemming, worden gebruikt voor andere zaken of doelen.

Principe 3: gegevensbeperking

Zoals in de voorgaande principes is aangegeven mogen alleen noodzakelijke persoonsgegevens worden opgevraagd bij de klant. Noodzakelijke gegevens zijn de gegevens die nodig zijn om het beoogde doel van jou en je klant te behalen. Denk hierbij bijvoorbeeld aan het plaatsen van een bestelling. Hiervoor heb je de naw-gegevens nodig van de klant voor het versturen van de bestelling en het e-mailadres om een bevestigingsmail te versturen. De geboortedatum van de klant is in dit geval niet noodzakelijk en hiernaar mag je dan ook niet vragen.

Principe 4: juistheid van gegevens

Het vierde principe van de AVG heeft betrekking op de juistheid van de persoonsgegevens. De gegevens van jouw klant moeten correct zijn en ook blijven. Met andere woorden: jouw klant moet altijd de mogelijkheid hebben om zijn of haar gegevens te wijzigen.

Principe 5: bewaarbeperking

Je mag volgens de nieuwe AVG de persoonsgegevens van jouw klant niet langer bewaren dan noodzakelijk is voor het beoogde doel. Als een klant bijvoorbeeld de samenwerking met jou beëindigd, of het beoogde doel is behaald, dan is het dus niet noodzakelijk dat jij zijn of haar gegevens nog langer in bewaring hebt.

Principe 6: integriteit en vertrouwelijkheid

Het principe integriteit en vertrouwelijkheid heeft betrekking op de bescherming van persoonsgegevens. Je dient als bedrijf de verzamelde gegevens van jouw klanten te beschermen tegen toegang door onbevoegden, verlies en vernietiging. Vaak worden gegevens digitaal opgeslagen waardoor het dus van belang is dat jouw digitale beveiliging op orde is.  

Principe 7: verantwoording

In de voorgaande principes is het verantwoordingsprincipe al een aantal keren aan bod gekomen. Je moet als bedrijf namelijk te allen tijde kunnen aantonen dat je aan de voorgaande principes voldoet en dus aan de nieuwe AVG verordening. Kun je dit niet, dan kan de autoriteit persoonsgegevens je een zware boete opleggen.

De drie rechten van de AVG

Naast de zeven principes waar je als bedrijf aan moet voldoen voor 25 mei 2018, hebben jouw klanten drie rechten. Deze rechten leg ik je hieronder kort uit.

Recht 1: inzage

Het recht van inzage geeft jouw klant het recht om toegang te krijgen tot zijn of haar gegevens. Daarnaast moet jouw klant ook informatie kunnen inzien over hoe je de verzamelde persoonsgegevens verwerkt. Als jouw klant een verzoek doet tot inzage, moet je als bedrijf een overzicht verstrekken waarop te zien is welke gegevens je gebruikt. Ook moet je aangeven waarvoor je deze gebruikt, hoe je deze gegevens verkregen hebt en met wie ze eventueel worden gedeeld.

Recht 2: correctie en verwijdering

Bij het recht 'correctie en verwijdering' dient jouw klant toegang te hebben tot zijn of haar gegevens om deze te corrigeren. Mocht jouw klant het verzoek doen om zijn of haar gegevens te verwijderen dan dien je dit als bedrijf dus ook direct te doen.

Recht 3: dataportabiliteit

Mocht jouw klant over willen stappen naar een ander bedrijf dan moet je de persoonlijke gegevens overdragen in een gestandaardiseerd dataformaat. Het verzoek van de klant om gegevens over te dragen mag ook niet door jou als bedrijf worden verhindert.  

Stappenplan AVG

Zoals je hierboven hebt kunnen lezen zijn er nogal wat zaken die je op orde zou moeten hebben voor 25 mei 2018. Om je op weg te helpen zijn er globaal vier stappen waarmee je direct zelf aan de slag kan. De eerste is inventarisatie. Inventariseer welke gegevens je verzamelt van je klanten, met welk doel je de gegevens verzameld, met wie of welke tools je de gegevens deelt (vb. Google) en hoe de gegevens worden verwerkt en opgeslagen. De tweede stap is gebruik te maken van een HTTPS-encryptie op je website. Dit ter bescherming van de persoonsgegevens die je verzameld. Deel je persoonsgegevens met tool leveranciers of partners, dan is het van belang dat je hier een verwerkersovereenkomst mee sluit. De laatste, en tevens vierde stap, is het updaten van je cookie policy en privacy statement. Hierin kun je de principes en rechten van de AVG verwerken.

Meer informatie over de nieuwe AVG

Wil je meer informatie over de AVG? Ga dan naar de website www.autoriteitpersoonsgegevens.nl of bekijk de handleiding van de Rijksoverheid. Mocht je willen weten welke regels op jouw bedrijf van toepassing zijn? Dan adviseren we je om een gespecialiseerd juridisch adviseur in te schakelen.

Disclaimer: deze blogpost dient niet te worden geïnterpreteerd als juridisch advies. Raadpleeg een gespecialiseerd juridisch adviseur om de invloed van de AVG op je eigen bedrijf in kaart te brengen.

Schrijf je in voor de gratis Pienter nieuwsbrief

En blijf op de hoogte van het laatste online marketing-nieuws

Gratis Online Marketing Check

Wij nemen je online presence onder de loep en presenteren jou geheel vrijblijvend onze bevindingen!