AVG hoofdpijndossier? Veelgestelde vragen van ondernemers

De wet Algemene Verordening Gegevensbescherming (AVG) is voor veel ondernemers een hoofdpijndossier. De privacywet telt bijna 100 artikelen met droge juridische teksten. Vooral kleine ondernemingen worstelen met de juiste toepassing. Wat mag wel en wat mag niet volgens de privacywet?

De meest veelgestelde vragen en antwoorden over de AVG, inclusief tips, vind je in onderstaand overzicht.

AVG algemeen

De privacywet Algemene Verordening Gegevensbescherming (AVG) regelt dat bedrijven en organisaties persoonsgegevens zorgvuldig verwerken. Je moet bijvoorbeeld een goede reden hebben om persoonsgegevens te verwerken. En je mag niet meer persoonsgegevens verzamelen en gebruiken dan echt nodig is. Die regels zijn hetzelfde voor heel Europa. In het Engels is de AVG bekend als de General Data Protection Regulation (GDPR). Lees wat je moet doen om aan de AVG te voldoen.

De Europese privacywet GDPR geldt voor alle bedrijven en organisaties die persoonsgegevens verwerken van klanten, personeel of andere personen uit de EU. Bijna alle ondernemers hebben te maken met privacygevoelige informatie, ook zzp'ers en klein mkb. De wet geldt ook voor scholen, zorginstanties, verenigingen en stichtingen. Ook internationale bedrijven die zakendoen met de EU moeten zich houden aan de AVG. 

De grootte, soort werkzaamheden en diensten van je bedrijf bepalen welke AVG-maatregelen je moet nemen. Je krijgt er al mee te maken door het uitsturen van een offerte of nieuwsbrief. Of door het bijhouden van afspraken en contactgegevens van klanten en medewerkers. Ook gegevens die gekoppeld zijn aan IP-adressen en cookies vallen onder de wet. Zelfs als je niet weet van wie gegevens zijn, moet je ze als privacygevoelige informatie behandelen.

In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de naleving van de wet AVG. Daarnaast heeft de AP de bevoegdheid om onderzoek te doen. Lees meer over de taken en bevoegdheden van de AP.

De AP controleert of bedrijven zich aan de AVG houden. Zij kunnen ook boetes uitdelen. Boetes kunnen oplopen tot maximaal 20 miljoen euro of 4% van je totale omzet. De Autoriteit Persoonsgegevens (AP) heeft meerdere boetes opgelegd voor uiteenlopende overtredingen. Zo kreeg een orthodontiepraktijk een boete van 12.000 euro omdat nieuwe patiënten zich via een onbeveiligde website konden aanmelden. Hierdoor bestond de kans dat gevoelige gegevens, zoals BSN-nummers, in verkeerde handen kwamen. 

Marketing

Ja. Binnen de AVG mag je (oud-)klanten mailen over producten of diensten die vergelijkbaar zijn met dat wat zij eerder bij jou hebben afgenomen. Koopt iemand bij jou een stapelbed, dan mag je deze persoon niet mailen met informatie over fietsen. Daarbij moet een klant zich op ieder moment af kunnen melden voor toekomstige mails.

De Autoriteit Persoonsgegevens (toezichthouder op de AVG) onderscheidt drie soorten direct marketing die elk eigen regels kennen: digitale direct marketing, telemarketing en reclamepost.

Ja.

Als iemand jou een visitekaartje geeft, heb je automatisch toestemming het kaartje te gebruiken waarvoor het bedoeld is, namelijk contactgegevens bewaren en gebruiken. Je mag ervan uitgaan dat diegene weet wat je met de gegevens op het kaartje gaat doen. Tenzij er sprake is van bredere verspreiding. Als jij van al je werknemers de ontvangen visitekaartjes verzamelt en registreert, zodat de hele organisatie de gegevens kan gebruiken, mag dat niet. Mocht dit wel het doel zijn, dan zal je jouw contact hiervan op de hoogte moeten stellen. Heeft hij hier bezwaar tegen? Dan mag degene die het visitekaartje heeft gekregen, dit alleen nog voor privédoeleinden gebruiken.

Nee.

Je mag je LinkedIn-contacten niet zonder toestemming toevoegen aan je e-maillijst door ze bijvoorbeeld te exporteren in Excel en te uploaden in je e-mailsysteem. Voor dat doel heeft jouw connectie namelijk geen toestemming verleend.

Je mag je LinkedIn-contacten wel via een openbare statusupdate of privébericht vragen of ze geïnteresseerd zijn in het ontvangen van mails over een bepaald onderwerp. Plaats in dat bericht wel een link, zodat je connecties zichzelf kunnen inschrijven.

Nee.

Het doel van de AVG is dat mensen zich bewust aanmelden voor een lijst en niet omdat ze vergeten zijn een vinkje uit te zetten. Vooraf een hokje aanvinken, terwijl je de gebruiker nog om een akkoord moet vragen, mag niet.

Cookies zijn kleine bestanden die internetinstellingen opslaan op de computer, telefoon of tablet van de websitebezoeker. Er zijn drie verschillende soorten cookies: functionele cookies, analytische cookies en trackingcookies.

Alleen op trackingcookies is de AVG van toepassing. Met deze cookies kun je het internetgedrag van personen volgen en persoonlijke profielen opstellen. Volgens de AVG moet je toestemming vragen om deze cookies te plaatsen. Vaak gebeurt dit via een pop-upscherm met informatie over de cookies en met de vraag op akkoord te klikken. Deze toestemming is alleen geldig als je deze vrij, specifiek, geïnformeerd en ondubbelzinnig geeft. Dit betekent dat je aan de volgende eisen moet voldoen:

  • Bezoekers van je website mogen de cookies ook weigeren.
  • Het moet duidelijk zijn waarvoor je toestemming vraagt.
  • Bezoekers hebben voldoende informatie over wat er met hun gegevens gebeurt als zij toestemming geven.
  • Bezoekers moeten met een actieve handeling toestemming geven, zoals een vakje aanvinken. ‘Wie zwijgt, stemt toe' geldt niet.
  • Het gebruik van trackingcookies staat in je privacyverklaring.

Praktijkvoorbeeld

Voordat je verder leest: een praktijkvoorbeeld. Susan is net een webshop gestart. Haar site, inventaris en logistiek heeft ze al op orde. Maar hoe zit het met de privacy en persoonsgegevens van haar klanten? In de onderstaande animatie laat Susan je vanuit een herkenbare ondernemerssituatie zien hoe je de AVG op de juiste manier kunt toepassen voor je marketing.

AVG: privacy en persoonsgegevens

Brexit en AVG

De AVG is een Europese wet. Door de Brexit behoort het Verenigd Koninkrijk (VK) niet meer tot de Europese Economische Ruimte  (EER). Bij de EER horen alle EU-landen plus Liechtenstein, Noorwegen en IJsland.

De Brexit heeft geen gevolgen voor de doorgifte van persoonsgegevens van de EER naar het VK. Je mag ook gegevens ontvangen uit het VK. De Brexit heeft ook daarop geen invloed.

Verwerkers en verwerkersovereenkomst

Een verwerker is een externe partij die in opdracht van jou persoonsgegevens verwerkt. Denk hierbij aan een cloud-provider waar je persoonsgegevens opslaat. Of een callcenter dat in opdracht van jou en met jouw lijst telefoonnummers mensen belt. Heb je een bedrijf met personeel en schakel je een administratiekantoor in, dan verwerken zij ook persoonsgegevens en is het administratiekantoor een verwerker.

Ja.

Op het moment dat je een andere organisatie inschakelt om persoonlijke gegevens te verwerken, dan moet je met deze organisatie afspraken maken over beveiliging van persoonsgegevens, geheimhouding en rechten van de vermelde personen. Deze afspraken leg je vast in een verwerkersovereenkomst. Deze partij moet jou kunnen garanderen dat hij aan de verplichtingen van de AVG voldoet. Je mag zelf een verwerkersovereenkomst opstellen of een overeenkomst van de verwerker gebruiken.

Het verwerkingsregister is een registratie van de persoonsgegevens die binnen je organisatie worden verwerkt. Het instellen van een verwerkingsregister is onder de Algemene verordening gegevensbescherming (AVG) vaak een verplichte maatregel. Of je een verwerkingsregister moet opstellen, hangt af van de omvang van je organisatie en het type gegevens dat je verwerkt. Je moet een verwerkingsregister opstellen als:

  • je organisatie meer dan 250 werknemers heeft
  • de verwerking een groot risico voor de betrokkenen inhoudt
  • de verwerking structureel is, zoals klantbeheer
  • er bijzondere gegevens worden verwerkt zoals gezondheidsgegevens

Let op! De meeste verwerkingen zijn niet incidenteel, denk aan verwerking van persoonsgegevens van personeel of klanten. Dit betekent dat je al snel verplicht bent om een verwerkingsregister te hebben. Daarnaast helpt een verwerkingsregister bij het voldoen aan je verantwoordingsplicht. Mocht de Autoriteit Persoonsgegevens inzicht willen in welke persoonsgegevens je verwerkt binnen jouw organisatie, dan kun je met het verwerkingsregister eenvoudig aan dit verzoek voldoen. Lees hier hoe je een verwerkingsregister bijhoudt.

Privacyverklaring

Je kunt zelf eenvoudig en kosteloos een privacy statement ofwel een privacyverklaring opstellen. Gebruik hiervoor bijvoorbeeld de gratis privacyverklaring-generator van Veiliginternetten.nl. Hiermee maak je een basistekst voor je eigen bedrijf.

Je klanten hebben recht op informatie. Maak een privacyverklaring in eenvoudige taal. Zet daarin wat je doet met persoonlijke gegevens, waarvoor je de gegevens gebruikt, waarom dat belangrijk is voor je klanten en hoe lang je de gegevens bewaart.

Volgens de AVG moet je een privacyverklaring hebben en je klanten hierover informeren. De informatie over het verwerken van persoonsgegevens moet je in principe schriftelijk geven.

Privacyverklaring op je website

De Autoriteit Persoonsgegevens (AP) adviseert een online privacyverklaring (privacy statement). Zorg dat je privacyverklaring makkelijk te vinden is. Bij de meeste websites die al een privacyverklaring hebben, vind je de verklaring via de footer. Dat is de standaard balk onderaan een webpagina. Daarnaast kun je een link plaatsen naar je privacyverklaring op webpagina’s waar bezoekers persoonsgegevens in moeten vullen, zoals een contactformulier.

Andere manieren

Je mag ook andere middelen dan een webpagina inzetten om de inhoud van je privacybeleid toegankelijk te maken. Zoals het tonen van pop-ups met een toelichting bij elke toestemmingsvraag. Of het gebruik van clickable iconen, een video of een pdf-document.

De AP controleert of je een privacyverklaring hebt. Je moet hen kunnen laten zien dat je je klanten informeert over wat je met hun persoonsgegevens doet.

Duidelijke taal

Gebruik duidelijke en eenvoudige taal. Dat betekent onder meer: wees kort en bondig, vermijd vaktermen en verplaats je in de lezer. Richt je je tot kinderen onder de zestien jaar? Dan moet je de woordkeuze, toon en stijl van de informatie aanpassen.

Veilig ondernemen en AVG

In de meeste gevallen mag dat niet.

Veel ondernemers krijgen te maken met criminaliteit. Misschien jij ook en wil je daarom gegevens van mogelijke criminelen delen met anderen. Dat mag in de meeste gevallen niet. Het bijhouden van een zwarte lijst met (mogelijke) dieven, fraudeurs of overlastgevers is aan strenge privacyregels gebonden. En het delen van die gegevens met andere organisaties mag zeker niet zomaar. 

Soms is het nodig om iemands identiteit vast te stellen, zoals van een klant. Bijvoorbeeld om fraude te voorkomen. Als je iemands identiteit wilt vaststellen moet je eerst kijken welke manier dan passend is.

Heb je het identiteitsbewijs nodig om de identiteit te controleren? Dan is het vaak genoeg als diegene zijn identiteitsbewijs, zoals zijn paspoort of identiteitskaart, laat zien.

Je mag alleen een volledige kopie of scan, dat wil zeggen waarbij alle persoonsgegevens zichtbaar zijn, van iemands identiteitsbewijs maken als je organisatie daartoe wettelijk verplicht is. Dit geldt ook voor het scannen van het identiteitsbewijs waarbij je persoonsgegevens van iemands identiteitsbewijs ‘inleest’. Je moet dan actief de volgende informatie verstrekken aan de klant:

  • Het doel waarvoor je de kopie van het identiteitsbewijs vraagt.
  • De grondslag voor de verwerking (art. 6 AVG).
  • Als de klant de kopie zelf aanlevert of moet aanleveren: welke persoonsgegevens van het identiteitsbewijs niet strikt noodzakelijk zijn om het doel te bereiken, zodat je niet meer persoonsgegevens ontvangt dan noodzakelijk is.
  • Welke maatregelen de klant kan nemen om niet-noodzakelijke persoonsgegevens af te schermen, zoals de Kopie ID-app van de Rijksoverheid gebruiken.

Direct aan de slag

Het is een van de meestgestelde vragen aan KVK: Hoe maak ik mijn bedrijf AVG-proof? Ofwel, welke stappen moet ik als ondernemer zetten om te voldoen aan de eisen van de privacywet AVG? Dit verschilt van bedrijf tot bedrijf. Om je op weg te helpen heeft KVK een stappenplan gemaakt. Aan de hand van tien vragen bepaal je welke acties je moet nemen om aan de wet te voldoen. Zo word jij AVG-proof en voorkom je een boete.