GRATIS  Algemene verordening gegevensbescherming (AVG) Documenten

De Algemene verordening gegevensbescherming (AVG) geldt voor alle ondernemers en organisaties. Verwerk je als ZZP'er, bedrijf, vereniging of stichting persoonsgegevens of laat je persoonsgegevens verwerken, dan zijn de volgende AVG documenten verplicht:

• privacyverklaring
• privacyverklaring personeel
• privacyverklaring sollicitanten
• verwerkersovereenkomst
• protocol datalekken
• verwerkingsregister
• cookieverklaring
• informatiebeveiligingsbeleid

Naast Nederlandstalige AVG documenten bieden we ook aan:

• privacy statement (privacyverklaring Engels)
• data processing agreement (verwerkersovereenkomst Engels)

Dankzij onze AVG generator kun je nu makkelijk en snel je eigen document AVG opstellen!

De Algemene verordening gegevensbescherming (AVG) is een Europese privacywet (GPDR) die individuen meer bescherming geeft en die organisaties meer verplichtingen oplegt. Enkele verplichtingen zijn:

• je moet persoonlijke gegevens zoals van klanten, personeel en websitebezoekers goed beveiligen

• je hebt een privacyverklaring waarmee je hen informeert over je gebruik van persoonlijke gegevens

• je moet toestemming vragen van de bezoekers van je website voor gebruik van bepaalde cookies en het melden van gebruik van overige cookies met een cookieverklaring

• schriftelijk afsluiten van een verwerkersovereenkomst als je persoonsgegevens overdraagt aan een ander

• toestemming vragen voor het versturen van een nieuwsbrief en in iedere nieuwsbrief aangeven hoe iemand zich eenvoudig kan afmelden

De Autoriteit Persoonsgegevens (AP) is verantwoordelijk voor de naleving van de AVG. Als een bedrijf of organisatie niet voldoet aan de AVG, kan de AP een hoge boete opleggen. Zorg er dus voor dat je over de juiste AVG documenten beschikt. Ben je op zoek naar een AVG document voorbeeld, dan vind je dat ook hier. Zo kun je hier AVG voorbeeld documenten bekijken van de privacyverklaring, verwerkersovereenkomst, verwerkingsregister, protocol melding datalekken en cookieverklaring. Al onze AVG voorbeelddocumenten zijn rechtsgeldig en voldoen aan de Nederlandse privacywetgeving AVG.

Je hebt een privacyverklaring (privacybeleid of privacy policy) nodig als je persoonlijke gegevens verzamelt die je tot een persoon kunt herleiden. Onze privacy policy kun je zowel in het Nederlands als in het Engels opstellen. Persoonlijke gegevens zeggen iets over een bepaald individu zoals zijn naam, adres, leeftijd, geslacht, inkomen, gezinssamenstelling en geloof. Je klanten, leden, bezoekers, personeel of patiënten moeten je privacy policy eenvoudig kunnen raadplegen. Zet je privacy statement daarom op een makkelijk vindbare plek op je website of overhandig een papieren versie. Stel nu je eigen privacyverklaring op of bekijk het AVG voorbeeld document.

Een cookieverklaring is verplicht wanneer je een website hebt waarop je cookies gebruikt of door anderen laat gebruiken. Dit is bijvoorbeeld het geval als je op je website YouTube hebt embedded, een Facebook knop gebruikt of de gegevens met Google Analytics verwerkt. Als je je bezoekers niet duidelijk en volledig informeert over cookies riskeer je een hoge boete. Zet je cookieverklaring daarom op een makkelijk vindbare plek op je website met een link ernaartoe in je cookiebanner.

Zodra je organisatie persoonsgegevens van bijvoorbeeld klanten overdraagt aan een ander bedrijf, heb je een verwerkingsovereenkomst nodig. Denk daarbij niet alleen aan een overdracht voor het verwerken van gegevens voor marketingdoeleinden, maar ook aan het uitbesteden van je salarisadministratie of het laten bezorgen van de bestellingen van je klanten. Je hebt zelfs een verwerkersovereenkomst nodig als je deze taken aan een eigen dochteronderneming uitbesteedt. Onze verwerkingsovereenkomst kun je ook in het Engels opstellen en voldoet aan de EU vereisten voor verwerkingen buiten de EU.

Zodra je binnen een organisatie persoonsgegevens verwerkt, is een protocol meldplicht datalekken verplicht. Volgens de AVG ben je namelijk verplicht organisatorische en technische maatregelen te treffen ter bescherming van persoonsgegevens. Een belangrijke organisatorische maatregel ter bescherming van persoonsgegevens is dit protocol meldplicht datalekken.

Iedere persoon of organisatie die niet incidenteel persoonsgegevens verwerkt, heeft een verwerkingsregister (register voor de verwerkingsactiviteiten) nodig. Dit is een document waarin je een aantal zaken vastlegt over de verwerking van persoonsgegevens, zoals:

• de categorieën persoonsgegevens die je verwerkt
• de grondslag voor de verwerking
• de beveiligingsmaatregelen die je hebt getroffen

Ons verwerkingsregister voldoet aan de eisen van de AVG.

Heb je een website, dan is het verstandig om een disclaimer te gebruiken. Hiermee zorg je ervoor dat klanten en gebruikers weten hoe ze je website wel en niet kunnen gebruiken. De disclaimer tekst bevat rechten en plichten van de gebruiker en een beperking van je eventuele aansprakelijkheid.

Ben je verplicht om een privacyverklaring te gebruiken en heb je veel bezoekers of klanten die de Nederlandse taal niet machtig zijn, dan gebruik je de privacyverklaring Engels. Ook de verwerkersovereenkomst bieden we aan in het Engels (data processing agreement).

Wanneer je cookies gebruikt, ben je verplicht nieuwe bezoekers van je website hierover te informeren, onder andere met een cookieverklaring. Dit doe je als volgt:

• zorg voor een cookiebanner op je website

• beschrijf in de banner welke soorten cookies je gebruikt

• gebruik je tracking cookies of analytische cookies die niet geanonimiseerd worden verwerkt, dan vraag je hiervoor voorafgaande toestemming

• zorg dat je bezoekers actief moeten klikken om toestemming te geven

• gebruik deze cookies niet zolang je geen toestemming hebt

• registreer de toestemming zodat je altijd bewijs hiervan hebt

• zet op je cookie banner een link naar je cookie statement

• gebruik geen cookiemuur (of cookie wall) want die is inmiddels door de AP verboden

Vrijwel elke organisatie verwerkt persoonsgegevens. Met een DPIA krijgt je organisatie in een tijdig stadium zicht op de privacyrisico’s die deze verwerking met zich meebrengt. De uitkomsten van dit onderzoek helpen je om tijdig aanpassingen te doen. Hiermee bespaar je kosten, want het uitvoeren van een DPIA is makkelijker en daardoor goedkoper dan het achteraf aanpassen van werkwijzen die niet overeenstemmen met de AVG-richtlijnen. Bovendien is de uitvoering van een DPIA in sommige situaties wettelijk verplicht.

Praktisch ieder bedrijf werkt met persoonsgegevens of bedrijfsgevoelige informatie. Om ervoor te zorgen dat deze informatie goed beveiligd is en je personeel weet hoe het daar mee om moet gaan, gebruik je een informatiebeveiligingsbeleid.

Je bent verplicht om ervoor te zorgen dat je klanten, personeel of websitebezoekers je privacyverklaring kunnen inzien. Dit doe je als volgt:

• zet je privacyverklaring op een duidelijke plek op je website, bijvoorbeeld via een goed zichtbare link op je homepage

• zorg voor een juist e-mailadres in de privacyverklaring waarmee ze een verzoek over hun persoonlijke gegevens kunnen indienen

• handel zo'n verzoek binnen 1 maand af of bij een complex verzoek binnen 2 maanden

• vraag voorafgaande toestemming voor het gebruik van persoonsgegevens, tenzij duidelijk is dat ze noodzakelijk zijn (zoals iemands adres om een product op te kunnen sturen)

• bewaar het bewijs van de toestemming

Een verantwoordelijke (of verwerkingsverantwoordelijke) is degene die bepaalt waarom en op welke manier persoonsgegevens worden verzameld. Dit kan een particulier, stichting, vereniging, onderneming, overheidsinstantie of andere organisatie zijn. Kortom, iedereen die persoonsgegevens verzamelt met een door hen bepaald doel en middel is een verwerkingsverantwoordelijke.

De verwerker is een externe partij die van de verantwoordelijke de opdracht krijgt om de persoonsgegevens te verwerken. De verwerker mag niets anders doen met de persoonsgegeven buiten deze opdracht om. Doet hij dat wel, dan wordt hij zelf ook verantwoordelijke.

Je kunt overigens zowel verantwoordelijke als verwerker zijn. Een hostingprovider bijvoorbeeld is verwerker, omdat het bedrijf persoonsgegevens verwerkt voor websites die verwerkingsverantwoordelijke zijn. Ten aanzien van het personeel van de provider zelf, is het bedrijf de verwerkingsverantwoordelijke. Een subverwerker ten slotte is een partij die in opdracht van een verwerker persoonsgegevens verwerkt voor de verwerkingsverantwoordelijke.

Ook als je geen website hebt, heb je een privacyverklaring nodig zodra je persoonlijke gegevens verwerkt. Zo heb je een privacyverklaring nodig voor je winkel, wanneer je klantgegevens verzamelt waarmee je je klanten later aanbiedingen wilt kunnen doen. Ook ziekenhuizen, dokters, tandartsen, verenigingen en scholen hebben dus een privacyverklaring nodig. Heb je geen website, dan geef je je bezoekers je privacyverklaring mee op papier. Als je bijvoorbeeld via Marktplaats iets verkoopt en opstuurt, heb je geen privacyverklaring nodig als je vervolgens de namen en adresgegevens niet meer gebruikt.

Als je niet over de juiste AVG documenten beschikt, mag de AP de volgende boetes opleggen:

• tussen € 150.000 en € 600.000 of 0,75% van je totale jaaromzet (als die hoger is) voor het ontbreken van een goede cookieverklaring

• tot € 20 miljoen of 4% van je totale jaaromzet (als die hoger is) als je de privacy van je bezoekers en klanten niet goed hebt geregeld, bijvoorbeeld omdat een privacyverklaring ontbreekt

• tot € 10 miljoen of 2% van je totale jaaromzet (als die hoger is) voor het ontbreken van een verwerkersovereenkomst

Vraag een Advocaat om hulp als:

• je een klacht van de AP krijgt

• je twijfelt of je bepaalde persoonsgegevens mag vragen of voor een bepaald doel mag gebruiken

Op deze documenten AVG en AVG voorbeelddocumenten is zowel Nederlands recht (AVG) als Europees recht (GDPR) van toepassing.