U bent verplicht persoonsgegevens van klanten en personeel te beschermen. Lees de eisen van de privacywet (AVG).
Gebruikt u persoonsgegevens van klanten, personeel of andere personen? Of slaat u deze op? Dan moet u extra maatregelen nemen om deze gegevens goed te beschermen. Zo beschermt u de privacy van de mensen van wie de gegevens zijn. U moet zich houden aan de privacywet Algemene verordening gegevensbescherming (AVG).
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle gegevens die direct over iemand gaan of die naar iemand te herleiden zijn, bijvoorbeeld:
- naam
- adres
- telefoonnummer
- burgerservicenummer (BSN)
Wat is verwerken van persoonsgegevens?
In de AVG gaat het over het verwerken van persoonsgegevens (gegevensverwerking). Het verwerken van persoonsgegevens is eigenlijk alles wat u ermee kunt doen. Het geldt bij handmatig en geautomatiseerd gebruik; bij alle beschikbare persoonsgegevens en bij gedeelten ervan. Verwerken van persoonsgegevens is onder meer het:
- verzamelen, vastleggen, ordenen en structureren
- opslaan, bijwerken of wijzigen
- opvragen, raadplegen en gebruiken
- verstrekken via doorzending en verspreiden
- op één rij plaatsen (aligneren) en combineren
- afschermen, wissen en vernietigen
Wanneer mag u persoonsgegevens gebruiken?
U moet een goede reden hebben om persoonsgegevens te gebruiken. Bijvoorbeeld als uw klant of personeel toestemming heeft gegeven. Of omdat het echt nodig is om een overeenkomst (contract) uit te voeren. Zo heeft u het adres van uw klant nodig om uw product te kunnen leveren.
Bijzondere persoonsgegevens
Naast 'gewone' persoonsgegevens zijn er ook bijzondere persoonsgegevens. Deze gaan onder andere over iemands gezondheid, politieke voorkeur of lidmaatschap van een vakvereniging. Het is verboden om bijzondere persoonsgegevens te gebruiken, tenzij u een wettelijke uitzondering heeft om bijzondere persoonsgegevens te verwerken.
Er gelden speciale regels voor het verwerken van strafrechtelijke persoonsgegevens (veroordelingen en gegronde verdenkingen).
Beveiliging van persoonsgegevens
Verwerkt u persoonsgegevens? Dan moet u deze gegevens goed beschermen. U moet in uw privacybeleid onder meer hierop letten:
- U mag niet méér persoonsgegevens verzamelen en verder gebruiken dan echt nodig is.
- U moet ervoor zorgen dat niet zomaar iedereen in uw bedrijf bij de persoonsgegevens kan.
- U kunt volgens de AVG verplicht zijn een Data Protection Impact Assessment (DPIA) te doen. Dit is een uitgebreid onderzoek naar de risico's van gegevensverwerking in uw bedrijf. U kunt dan op tijd maatregelen nemen om de risico's zo veel mogelijk weg te nemen.
- Er is een bewaartermijn voor persoonsgegevens. U mag de gegevens niet langer bewaren dan noodzakelijk is.
Bekijk de 10 stappen die u helpen om te voldoen aan de privacywet.
Vertel hoe u persoonsgegevens gebruikt
U moet van de AVG verantwoording kunnen afleggen over hoe u persoonsgegevens gebruikt. U moet uw klanten of personeel bijvoorbeeld vertellen:
- welke gegevens u gebruikt
- waarom u deze gegevens gebruikt
- of u de gegevens aan andere organisaties doorgeeft of verkoopt
Deze informatie zet u in een duidelijke en makkelijk te begrijpen privacyverklaring op uw website.
Regelhulp AVG
Met de Regelhulp AVG weet u in 10 stappen of uw organisatie voldoet aan de Algemene verordening gegevensbescherming (AVG).
Geen meldplicht gegevensverwerking
Verwerkt u persoonsgegevens? Dat hoeft u dat niet te melden bij de Autoriteit Persoonsgegevens. In sommige situaties bent u wel verplicht om een Functionaris gegevensbescherming (FG) aan te stellen. De FG houdt in de gaten of de AVG binnen uw bedrijf wordt nageleefd.
Datalek wel melden
U bent verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens en aan de betrokken personen. Een datalek is toegang tot of vernietigen, wijzigen of vrijkomen van gegevens, zonder dat dit de bedoeling is van de organisatie.
Meldt u een datalek niet op tijd? Dan kan de Autoriteit Persoonsgegevens een boete opleggen. De AVG verplicht u alle datalekken intern vast te leggen en te documenteren.