Persoonsgegevens beschermen (AVG)

U moet persoonsgegevens van klanten en personeel beschermen. Lees de eisen van de privacywet (AVG).

Gebruikt u persoonsgegevens van klanten, personeel of andere personen? Of slaat u deze op? U moet extra maatregelen nemen om deze gegevens goed te beschermen. Zo beschermt u de privacy van de mensen van wie de gegevens zijn. U moet zich houden aan de privacywet Algemene verordening gegevensbescherming (AVG).

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens die direct over iemand gaan of diemet iemand te maken hebben, bijvoorbeeld:

• naam
• adres
• telefoonnummer
• burgerservicenummer (BSN)

Wat is verwerken van persoonsgegevens?

Het AVG gaat over het verwerken van persoonsgegevens (gegevensverwerking). Het verwerken van persoonsgegevens gebeurt handmatig of automatisch (bijvoorbeeld via een website). Het kan gaan om alle beschikbare persoonsgegevens of een deel ervan. Wanneer iemand persoonsgegevens verwerkt, kan het gaan om de volgende acties:

• verzamelen, vastleggen, ordenen en structureren
• opslaan, bijwerken of wijzigen
• opvragen, raadplegen en gebruiken
• doorsturen en verspreiden
• op één rij plaatsen (aligneren) en combineren
• afschermen, wissen en vernietigen

Wanneer mag u persoonsgegevens gebruiken?

U moet een goede reden hebben om persoonsgegevens te gebruiken. De AVG noemt 6 van die goede redenen, dat zijn de 6 grondslagen. Een reden is bijvoorbeeld dat uw klant of personeel toestemming heeft gegeven. Bijvoorbeeld omdat het noodzakelijk is dat u gegevens verwerkt, om een taak van algemeen belang te kunnen doen.

Bijzondere persoonsgegevens

Naast 'gewone' persoonsgegevens zijn er bijzondere persoonsgegevens. Deze gaan bijvoorbeeld over iemands gezondheid, politieke voorkeur of lidmaatschap van een vakvereniging. Verwerken van bijzondere persoonsgegevens is verboden, behalve als er een wettelijke uitzondering is om bijzondere persoonsgegevens te verwerken.

Strafrechtelijke gegevens

Er zijn speciale regels voor het verwerken van strafrechtelijke persoonsgegevens. Die gelden bijvoorbeeld bij veroordelingen en verdenkingen met een goede reden (gegronde verdenkingen).

Beveiliging van persoonsgegevens

Werkt u met persoonsgegevens of verwerkt u deze? Dan moet u deze gegevens goed beschermen. Let er in uw privacybeleid onder meer op de volgende zaken:

• U mag niet méér persoonsgegevens verzamelen en verder gebruiken dan echt nodig is.
• U moet ervoor zorgen dat niet zomaar iedereen in uw bedrijf bij de persoonsgegevens kan.
• U kunt volgens de AVG verplicht zijn een Data Protection Impact Assessment (DPIA) te doen. Dit is een uitgebreid onderzoek naar de risico's van gegevensverwerking in uw bedrijf. U kunt dan op tijd maatregelen nemen om de risico's zo veel mogelijk weg te nemen.
• Er is een bewaartermijn voor persoonsgegevens. U mag de gegevens niet langer bewaren dan noodzakelijk is.

Twijfelt u of u zich aan de AVG houdt? Of wilt u weten wat er allemaal komt kijken bij de AVG? Volg de 10 stappen die u helpen om te voldoen aan de privacywet.

Vertel hoe u persoonsgegevens gebruikt

U moet van de AVG kunnen uitleggen hoe u persoonsgegevens gebruikt. U moet uw klanten of personeel bijvoorbeeld vertellen:

• welke gegevens u gebruikt
• waarom u deze gegevens gebruikt
• of u de gegevens aan andere organisaties doorgeeft of verkoopt

Deze informatie zet u in een duidelijke en makkelijk te begrijpen privacyverklaring op uw website.

Geen meldplicht gegevensverwerking

Werkt u met of verwerkt u persoonsgegevens? Dat hoeft u dat niet te melden bij de Autoriteit Persoonsgegevens. In sommige situaties moet er wel een Functionaris gegevensbescherming(FG) in uw bedrijf zijn. De FG controleert of uw bedrijf zich aan de AVG houdt.

Datalek wel melden

U moet een datalek melden bij de Autoriteit Persoonsgegevens en aan de betrokken personen. Er is sprake van een datalek als gegevensvrijkomen of worden vernietigd of gewijzigd, zonder dat dit de bedoeling is van de organisatie.

Meldt u een datalek niet op tijd? Dan kan de Autoriteit Persoonsgegevens een boete opleggen. U moet van de AVG alle datalekken intern opslaan.