Alles wat ondernemers moeten weten over de AVG-wet

AVG staat voor Algemene Verordening Gegevensbescherming. De AVG-wet, die sinds 25 mei 2018 geldt, gaat over privacy en gegevensbescherming van klanten en andere gebruikers van iedere onderneming die persoonsgegevens verwerkt. Het is Europese wetgeving, die internationaal bekendstaat als de wet General Data Protection Regulation (GDPR).

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens over geïdentificeerde of identificeerbare (natuurlijke) personen. Dit betekent dat persoonsgegevens (i) direct over iemand gaan of naar deze persoon te herleiden zijn (ook wel: directe en indirecte identificatie). Voorbeelden van persoonsgegevens zijn:

• Namen (voor- en achternamen)
• Woonadressen
• E-mailadressen
• IP-adressen
• Foto’s van personen

De privacywet schrijft voor hoe ondernemingen de bovenstaande persoonsgegevens mogen verwerken. Het is bijvoorbeeld noodzakelijk om aan uw klanten of bezoekers aan te geven dát dit gebeurt en hoe de onderneming omgaat met deze gegevens.

Let op: de AVG-wet verbiedt het om bijzondere persoonsgegevens te verwerken als de wet daar geen specifieke toestemming voor geeft, tenzij specifiek is aangegeven dat de gegevens voor een specifiek doel moeten worden gebruikt. Het gaat om bijvoorbeeld informatie over:

• Godsdienst of levensovertuiging
• Politieke voorkeur
• Gezondheid
• Seksuele geaardheid
• Lidmaatschap van een vakbond

AVG en GPDR worden vaak door elkaar gebruikt. Het gaat om dezelfde wetgeving, die zowel een Nederlandse als een internationale benaming heeft. AVG is de Nederlandse afkorting voor de wet, GDPR is de internationale afkorting en staat voor General Data Protection Regulation. De Europese wetgeving geldt zowel in Nederland als in alle andere lidstaten.

Omdat de GDPR een regulation is, heeft het directe werking in alle Europese lidstaten. In de uitvoeringswetten per lidstaat, zitten hele kleine nuances. Denk hierbij aan de leeftijd van een minderjarige, die in de privacywetgeving extra beschermd zijn. Verder bestaan er inhoudelijk geen grote verschillen tussen de AVG en GDPR.

De AVG-wetgeving bevat veel verschillende regels, waaronder:

1. Voorwaarden om gegevens te mogen verwerken:
   De AVG-wetgeving kent een zestal grondslagen op basis waarvan u persoonsgegevens mag verwerken. Als van deze grondslagen geen enkele van toepassing is op uw situatie, dan bent u niet bevoegd persoonsgegevens te verwerken. In de praktijk berust de vraag of u persoonsgegevens mag verwerken vaak op een van de onderstaande grondslagen:
   
   1. Het is noodzakelijk gegevens te verwerken, omdat u dit wettelijk verplicht bent;
   2. Het is noodzakelijk gegevens te verwerken om een overeenkomst uit te voeren;
   3. Het is noodzakelijk gegevens te verwerken om uw gerechtvaardigde belang te behartigen;
   4. U heeft toestemming van de persoon om wie het gaat. Het kan soms echter lastig zijn te bepalen of u gegevens mag verwerken of niet. Om te achterhalen of u persoonsgegevens mag verwerken, is het verstandig om de Autoriteit Persoonsgegevens te raadplegen.
   
   
2. De verplichting om klanten te vertellen wat hun rechten zijn:
   Ondernemers moeten klanten vertellen wat hun rechten zijn, bijvoorbeeld door dit op te nemen in hun privacyverklaring. Klanten hebben veel rechten op het gebied van privacy. Dat betekent dat klanten bijvoorbeeld hun gegevens mogen inzien, eerder gegeven toestemmingen mogen intrekken en gegevens mogen meenemen om over te stappen naar een ander bedrijf.
   
   
3. Aangeven hoe de onderneming gegevens verwerkt:
   Voor veel ondernemers is het verplicht om in een register vast te leggen welke persoonsgegevens de onderneming verwerkt en waarom dat gebeurt. Registreer bovendien waar de gegevens vandaan komen en met wie die eventueel worden gedeeld. Tip: ontdek met de AVG-regelhulp van de Autoriteit Persoonsgegevens welke AVG-regels er gelden voor uw onderneming. De online tool geeft in een aantal stappen antwoord.

De Autoriteit Persoonsgegevens (AP) controleert of ondernemingen zich houden aan de AVG-wet. Bij overtredingen kan de AP boetes uitdelen. In principe kan een boete oplopen tot maximaal 20 miljoen euro óf 4 procent van de globale jaaromzet, zonder dat daar een maximum aan zit. Zo ontving multinational Amazon onlangs een boete van 746 miljoen euro. (Ze gaan overigens wel in hoger beroep.)

Ook het Amsterdamse ziekenhuis OLVG nam tussen 2018 en 2020 te weinig maatregelen om onbevoegde medewerkers toegang tot medische dossiers te ontzeggen. Het ziekenhuis kreeg daarvoor een boete van 440.000 euro.

Let op: ontstaat er ondanks alle AVG-maatregelen een datalek? Iedere onderneming is verplicht om dit in specifieke situaties te melden bij de Autoriteit Persoonsgegevens en aan de getroffen klanten, bezoekers of medewerkers.

Vijf stappen helpen ondernemingen in de basis te voldoen aan de AVG-wet:

1. Bepaal welke gegevens u minimaal nodig hebt:
   Stel vast welke persoonsgegevens van klanten belangrijk zijn voor de bedrijfsvoering
2. Omschrijf het doel van dataverzameling:
   Beschrijf waarom het belangrijk is om die gegevens te verzamelen en op te slaan
3. Vraag toestemming aan klanten en gebruikers (als een andere grondslag niet van toepassing is):
   Geef klanten en gebruikers aan welke data u verzamelt en waarom u dat doet. Het is belangrijk dat klanten ‘specifiek en geïnformeerd’ toestemming geven. Wees duidelijk in wat u vraagt en waar u de gegevens voor nodig heeft
4. Leg vast hoe u omgaat met de data:
   Registreer welke data u verzamelt, waar de data vandaan komt, dat u toestemming heeft om dit te verzamelen en hoe u de data eventueel deelt
5. Beveilig de data:
   Investeer in beveiliging van de data en voorkom dat deze per ongeluk kan uitlekken door de data te versleutelen (encryptie) of door bijvoorbeeld te anonimiseren. Vergeet ook de back-up te beveiligen

Zelf cybermaatregelen treffen of fraude melden?

Ongeveer 1 op de 5 ondernemers krijgt te maken met cybercriminaliteit. Zo’n cyberincident kan grote gevolgen hebben voor de bedrijfsvoering, klanten, leveranciers of reputatie. Het treffen van passende maatregelen is daarom van belang voor elke onderneming.

• Leer meer over de 4-in-1-cyberoplossing Cyber Veilig & Zeker en verlaag jouw cyberrisico's.
• Bekijk slimme tools, handige artikelen en cyberwebinars op onze Veilig ondernemen-pagina.
• Meld fraude bij ons, ook bij twijfel, waarna onze helpdesk je direct verder helpt.