Mijn documenten Account instellingen
Uitloggen
Hulp Tarieven
Registreren Inloggen
Hulp Tarieven

Checklist online ondernemen

Ken de speciale regels voor online ondernemen

Online ondernemen is niet alleen een webshop hebben. Je kunt als dienstverlener of opdrachtnemer ook je diensten via een website aanbieden. Ook als mensen zich via je site kunnen aanmelden voor een nieuwsbrief of gratis gebruikersaccount of als je alleen maar gebruikmaakt van online facturatie, onderneem je digitaal. In 8 vragen en antwoorden leggen we je uit waar je bij online ondernemen op moet letten, om je bedrijf een succes te maken en aan de wettelijke regels te voldoen.

Maak nu je AVG documenten!
Begin
Beantwoord een paar vragen. Wij zorgen voor de rest.

De AVG (Algemene Verordening Gegevensverwerking) is van toepassing op:

  • een organisatie die persoonsgegevens verwerkt in het kader van de activiteiten van een van zijn of haar in de EU gevestigde bijkantoren, ongeacht waar de gegevens worden verwerkt, of
  • een bedrijf dat buiten de EU is gevestigd en goederen/diensten (betaald of gratis) aanbiedt of het gedrag van personen in de EU volgt

Als je bedrijf een MKB-bedrijf is dat persoonsgegevens verwerkt, moet je de AVG naleven. Als de verwerking van persoonsgegevens echter niet een kernactiviteit van je onderneming vormt en je activiteit geen risico's voor personen met zich meebrengt (zoals bij bijzondere persoonsgegevens), zijn sommige verplichtingen van de AVG niet op jou van toepassing (bijvoorbeeld de benoeming van een functionaris voor gegevensbescherming). Kernactiviteiten zijn activiteiten waarbij gegevensverwerking een onlosmakelijk deel uitmaakt van de activiteiten van de verwerkingsverantwoordelijke of verwerker.

Als je bedrijf buiten de EU is gevestigd en diensten verleent aan klanten buiten de EU valt je bedrijf niet onder de AVG.

Het soort en de hoeveelheid persoonsgegevens dat je als bedrijf of organisatie mag verwerken, hangt af van de redenen voor je verwerking en het gebruik van de persoonsgegevens. Simpel gezegd moet je in duidelijke en eenvoudige taal uitleggen waarom je de persoonsgegevens nodig hebt, hoe je deze wenst te gebruiken en hoelang je de gegevens wenst te bewaren.

Er zijn een aantal AVG verplichtingen:

  • de persoonsgegevens moeten op een wettige en transparante manier worden verwerkt
  • voor de verwerking moeten de doeleinden duidelijk worden gemaakt aan die personen
  • je mag alleen die persoonsgegevens verzamelen en verwerken die nodig zijn om dat doel te bereiken (minimale gegevensverwerking)
  • als bedrijf moet je er zeker van zijn dat de persoonsgegevens accuraat en actueel zijn, rekening houdend met de doeleinden van de verwerking
  • je mag de persoonsgegevens niet voor andere doeleinden gebruiken dan het oorspronkelijke doel
  • zorg ervoor dat de persoonsgegevens niet langer worden bewaard dan nodig is voor de doeleinden
  • je moet de gegevens beschermen tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging door middel van passende technologie

Tot persoonsgegevens wordt alle informatie gerekend met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon. Een persoon kan direct of indirect worden geïdentificeerd op basis van een of meer gecombineerde gegevens. Bijzondere persoonsgegevens zijn gegevens over religie, politiek, gezondheid enz. Deze gegevens worden op grond van Europese wetgeving beschermd en mogen alleen met specifieke waarborgen worden verwerkt.

Bij verwerking van persoonsgegevens geldt dat je een informatieplicht hebt. Het maakt niet uit om welke handeling het gaat: verzamelen, opslaan, ordenen, wijzigen, etc. Op het moment dat je de persoonsgegevens verwerkt, moet je de betrokken personen duidelijk informeren over de navolgende zaken:

  • contactgegevens van je bedrijf en eventueel de gegevens van je verwerkingsfunctionaris
  • waarom wil je de persoonsgegevens gebruiken
  • welke persoonsgegevenscategorieën je hanteert
  • de juridische grondslag voor de verwerking;
  • hoelang bewaar je de gegevens
  • welke andere personen, bedrijven of organisaties die gegevens krijgen
  • of de gegevens worden doorgegeven aan een ontvanger buiten de EU
  • dat de personen recht hebben op een kopie van de gegevens en welke grondrechten zij hebben op het gebied van gegevensverwerking
  • dat de personen het recht hebben een klacht in te dienen bij de nationale gegevensbeschermingsautoriteit de AP
  • dat de personen het recht hebben om hun toestemming op elk moment in te trekken

De informatie kan schriftelijk, mondeling of elektronisch worden gegeven. In ieder geval moet de informatie beknopt, transparant, begrijpelijk en makkelijk toegankelijk in duidelijke en eenvoudige taal en kosteloos worden verstrekt.

De AVG geeft personen het recht om gegevens te laten verwijderen. Je moet aan zo’n verzoek voldoen, tenzij: 

  • de gegevens die je hebt nodig zijn om het recht op vrije meningsuiting uit te oefenen
  • als er een wettelijke verplichting bestaat om de gegevens te bewaren
  • om redenen van algemeen belang  (bijvoorbeeld volksgezondheid, wetenschappelijke, statische of historische onderzoeksdoeleinden)

Een verwerkingsregister is verplicht als je bedrijf meer dan 250 werknemers in dienst heeft. Als je bedrijf minder werknemers in dienst heeft dan moet je over een verwerkingsregister beschikken in een van de volgende gevallen:

  • de verwerking van persoonsgegevens is niet incidenteel (in de praktijk is daar in 9 van de 10 gevallen geen sprake van)
  • de verwerking van persoonsgegevens houden een hoog risico in voor de rechten en vrijheden van die personen
  • je verwerkt bijzondere of gevoelige persoonsgegevens zoals gegevens over religie, politiek of gezondheid

Zorg bij een datalek dat je overzicht hebt over hoe het heeft kunnen gebeuren en om wat voor soort datalek het gaat. Hoe lang na het ontstaan van het datalek is het ontdekt. Welke gegevens zijn er gelekt en hoeveel. Om welke groepen mensen gaat. Hoeveel onbevoegden hebben mogelijk toegang gehad tot de gegevens. Weet je misschien wie de hackers zijn? Heb je vooraf maatregelen genomen om de gelekte gegevens ontoegankelijk te maken? Zijn de gegevens versleuteld?

Stel vast of je de datalek moet melden aan de AP. Je moet een datalek binnen 72 uur na ontdekking melden bij de AP tenzij het niet waarschijnlijk is dat er een risico is. De betrokken personen informeer je als er sprake is van een hoog risico, zoals het lekken van creditcard- of bankgegevens. Je moet een datalekregister bijhouden waarin je datalekken bijhoudt.

Als je een andere partij inschakelt om persoonsgegevens voor je bedrijf te verwerken, moet je met deze partij een verwerkersovereenkomst afsluiten.

Als de andere partij binnen de EU is gevestigd geldt eveneens de regel dat een verwerkersovereenkomst met die partij moet worden gesloten. Als de andere partij buiten de EU is gevestigd kan de Europese Commissie een bepaald land als een land met passend beschermingsniveau worden aangemerkt.  Je bedrijf hoeft dan geen verdere waarborgen te bieden of aan aanvullende voorwaarden te voldoen.

Als er geen adequaatheidsbesluit door de EC is genomen dat moet je zelf passende waarborgen bieden en moeten de personen over afdwingbare rechten en rechtsmiddelen kunnen beschikken.

Maak nu je AVG documenten!
Begin
Beantwoord een paar vragen. Wij zorgen voor de rest.

Wij gebruiken cookies om je de volgende keer nog beter te helpen