De AVG uitgelegd in simpele taal

De Algemene verordening gegevensbescherming (AVG) is sinds 25 mei 2018 geïmplementeerd in Nederlandse wetgeving. Dit heeft er destijds voor gezorgd dat veel bedrijven, groot en klein, eerlijk en corrupt, een omslag hebben gemaakt in hoe zij omgaan met de gegevens van hun klanten of partners. Geen willekeurig datagepluk meer van het internet – althans, dat is de bedoeling.

Deze verandering heb je zelf ongetwijfeld ook opgemerkt aan de hand van de talloze spam-mails die je hierover in het verleden hebt ontvangen (iets van: ‘kunt u ons toestemming geven om uw gegevens te bewaren?’).

Toch is het, onlangs het feit dat al een paar jaar is verstreken, handig om een blik terug te werpen en te kijken of jouw bedrijf al voldoet aan de eisen van de AVG, die hier op een globale manier zijn uitgelicht. Mocht je inmiddels nog geen boete hebben ontvangen van de Autoriteit Persoonsgegevens, is dat in ieder geval al een goed teken.

Dit artikel is niet bedoeld als juridisch advies, maar slechts als een globaal overzicht voor informatieve doeleinden.

De grondslag (o.g.v. de AVG)

Het feit dat je gegevens bewaart van gebruikers van bijvoorbeeld jouw website of app, moet zijn gebaseerd op een geldige grondslag. De mogelijke grondslagen zijn:

Als een van deze grondslagen niet van toepassing is, heb je dus kort gezegd niet het recht om de gegevens te bewaren. Onder de AVG heeft iedereen die gegevens verwerkt een

verantwoordingsplicht, dus is het belangrijk dat alle gegevens die je in bezit hebt te herleiden zijn naar een van deze grondslagen.

Functionaris Gegevensbescherming

Niet ieder bedrijf heeft een Functionaris Gegevensbescherming (FG) nodig. Een FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Voor overheids- en publieke organisaties is het hebben van FG verplicht.

Verder geldt de verplichting ook voor organisaties die op grote schaal individuen ‘volgen’ of het verwerken van bijzondere gegevens (bijv. ras of geloofsovertuiging) als kernactiviteit hebben. Denk hierbij bijvoorbeeld aan: zoekmachines, zorginstellingen en producenten van fitnesstrackers. Kortom: bedrijven gespecialiseerd in stalking.

Mocht je in alle paniek al een FG hebben aangenomen, maar toch niet nodig hebt, kun je hem of haar eventueel ook gewoon houden om koffie te laten zetten etc.

Verwerkingsregister

Het hebben van een verwerkingsregister geldt alleen voor organisaties die meer dan 250 werknemers hebben, of organisaties met minder dan 250 werknemers die structureel gegevens verwerken of toegang hebben tot zeer vertrouwelijke gegevens.

Het verwerkingsregister is een administratie van alle verwerkingsactiviteiten die plaatsvinden binnen de organisatie. Fijn: NOG meer administratie. Wellicht toch maar weer de FG aan het werk zetten?

Rechten van de betrokkene

De AVG brengt niet alleen maar verplichtingen met zich mee voor organisaties. Ook brengt het rechten mee voor degenen waarvan gegevens worden verwerkt. Wanneer bijvoorbeeld een klant zich beroept op een van deze rechten, dien je er als organisatie ook naar te handelen. Nou ja, tenzij je ECHT geen zin hebt. Dan kun je uiteraard ook gewoon wachten tot de rechter er eens iets van zegt.

  • Recht op inzage (hierbij krijgt de betrokkene een overzicht te zien van onder andere waarom bepaalde gegevens zijn verwerkt, wat het doel daarvan is en hoe lang het wordt bewaard)
  • Recht om te wijzigen (de betrokkene mag aangeven dat bepaalde gegevens aangepast dienen te worden. Ook dien je dit zelfstandig te doen als je merkt dat bepaalde gegevens niet meer kloppen)
  • Recht om vergeten te worden (onder bepaalde omstandigheden is een organisatie verplicht de gegevens te verwijderen. Dit is bijvoorbeeld wanneer betrokkende de toestemming heeft ingetrokken, als er bezwaar is gemaakt of als het bewaren niet meer nodig is)
  • Recht om gegevens over te dragen (dit houdt in dat de organisatie alle gegevens aanlevert die zijn bewaard van de betrokkene, zodat deze het kan inzien)

Privacyverklaringen

Naast de hiervoor genoemde rechten, geldt er ook het recht op informatie. Dit betekent dat nieuwe en bestaande klanten geïnformeerd dienen worden over wat er met hun gegevens gebeurt. De handigste manier om dit te doen is door middel van een privacyverklaring. Dit is een document op de website waarop bezoekers kunnen lezen hoe alle hiervoor besproken maatregelen zijn genomen.

Als de website bijvoorbeeld cookies verwerkt dient het cookiebeleid ook te zijn opgenomen in de privacyverklaring. Zo weten bezoekers welke soorten cookies er worden gebruikt en waarvoor ze nodig zijn.

Ja, ja, het is erg verleidelijk om een gratis versie te downloaden op het internet. Let er dan wel even op of het allemaal wel klopt. Soms kom je privacyverklaringen tegen waarvan Google zelfs de rillingen krijgt.

Zoals bij veel wetgeving, zijn ook alle AVG-regels niet geheel zwart-wit. Uiteindelijk is het belangrijkste dat de organisatie transparant is tegenover de klant of andere betrokkene. Zo weet deze wat er gebeurt met welke gegevens. Daarmee kom je al een heel eind. Anders kun je uiteraard ook een jurist inschakelen.

background triangle background triangle background triangle background triangle background triangle background triangle

Klaar om jouw idee te lanceren?

Kom in contact