De AVG is een Europese richtlijn over privacybescherming die geldt in alle landen van de Europese Unie. Deze is van toepassing op alle organisaties die persoonsgegevens verzamelen of anderszins verwerken. Voor Nederland is de Autoriteit Persoonsgegevens (AP) aangewezen om te controleren of iedereen zich aan de verplichtingen van de AVG houdt. Bij overtredingen van de AVG, mag de AP een hoge boete opleggen.
Privacy is het recht van een individu dat niet iedereen alles van hem hoeft te weten. Omdat het tegenwoordig heel makkelijk is om persoonlijke informatie over een ander te krijgen en te delen, hebben overheden beslist dat dit recht (beter) beschermd moet worden. Sinds 25 mei 2018 is daarom de Algemene Verordening Gegevensbescherming (AVG) van kracht, een Europese privacywet die iedereen verplicht maatregelen te treffen om de privacy van individuen te beschermen.
Wat is de AVG?
Wanneer verwerk je persoonsgegevens?
Je verwerkt persoonsgegevens zodra je iets met persoonsgegevens doet, zoals verzamelen, opslaan, raadplegen, gebruiken, combineren, doorzenden of verwijderen. Persoonsgegevens zijn alle gegevens die direct of indirect tot een individu te herleiden zijn. Dus de combinatie ‘eigenaren van een Ferrari’ met ‘bewoners van straat X in dorp Y’ kan ook een persoonsgegeven zijn als in die straat maar 1 persoon met een Ferrari woont. Bijna iedere organisatie houdt zich wel bezig met het verwerken van persoonsgegevens, van een simpele ledenlijst van een vereniging tot een geavanceerde tool van een marketing bedrijf die bezoekers van websites bepaalde advertenties laat zien.
Welke maatregelen moet je treffen voor de bescherming van privacy?
De privacybescherming van de AVG komt er op neer dat je zonder toestemming alleen persoonsgegevens mag gebruiken die strikt noodzakelijk zijn, voor dit noodzakelijke doel. Daarnaast hebben de betrokkenen een aantal rechten, zoals het recht om hun gegevens in te zien of te vragen dat je hun gegevens (deels) verwijdert. Je bent verplicht hen hierover goed in te lichten. Ten slotte moet je organisatorische en technische maatregelen treffen zodat persoonsgegevens niet in verkeerde handen kunnen vallen.
Hoe voldoe je aan de privacywet (AVG)?
Of je nu als ZZP’er, vereniging of bedrijf persoonsgegevens verzamelt, je hebt de volgende documenten nodig:
-
een privacyverklaring, wanneer je persoonsgegevens bewaart die niet strikt noodzakelijk zijn om te bewaren
-
een cookieverklaring, zodra je cookies op je website gebruikt
-
een verwerkersovereenkomst, als je (een deel van) het verwerken van de persoonsgegevens uitbesteedt (denk bijvoorbeeld aan een externe salarisadministratie) of je zelf persoonsgegevens in opdracht van een ander verwerkt
-
een protocol meldplicht datalekken, zodat je een procedure hebt voor wanneer persoonsgegevens kwijtraken, gehackt worden of gedeeld worden met onbevoegden
-
een verwerkingsregister, waarin je alle handelingen rondom de verwerking van persoonsgegevens bijhoudt