Overige privacy vragen

AVG/GDPR compliance

Eva de Vries Eva de Vries
· · 10 min leestijd

Stel je voor: je hebt een bedrijf, je bent lekker bezig, je groeit.

Inhoudsopgave
  1. Wat is de AVG eigenlijk?
  2. Wanneer ben je verantwoordelijk?
  3. De rechten van de betrokkene (je klant)
  4. Hoe zorg je voor AVG-compliance?
  5. Wat als het misgaat?
  6. Conclusie
  7. Veelgestelde vragen

Klanten stromen binnen, je nieuwsbrief heeft meer abonnees dan ooit en je website trekt dagelijks bezoekers. Maar dan komt er een moment dat je denkt: "Wacht even, al die namen, e-mailadressen en telefoonnummers die ik opsla... mag dat zomaar?" Het antwoord is simpel: ja, maar wel volgens de regels. Die regels heten de AVG, of zoals ze in de rest van Europa zeggen: GDPR. Het klinkt misschien als een ingewikkeld bureaucratisch monster, maar eigenlijk is het gewoon een setje fatsoensregels voor data. Laten we het even rustig uitleggen, zonder ingewikkeld gedoe.

Wat is de AVG eigenlijk?

De Algemene Verordening Gegevensbescherming (AVG) is sinds 25 mei 2018 de standaard privacywet in de hele Europese Unie. In het Engels noemen ze het de General Data Protection Regulation, ofwel GDPR.

Het is precies dezelfde wet, alleen met een andere naam. In Nederland praten we over AVG, in Duitsland over DSGVO en in Frankrijk over RGPD.

Maar de kern blijft hetzelfde: deze wet beschermt de privacy van mensen. Deze wet geldt voor iedereen die persoonsgegevens verwerkt. Of je nu een eenmanszaak bent die een nieuwsbrief verstuurt of een multinational bent die miljoenen klantprofielen beheert: de regels zijn voor iedereen hetzelfde. Het maakt niet uit waar je bedrijf gevestigd is; als je gegevens van mensen uit de EU verwerkt, ben je van toepassing op de AVG.

Wanneer ben je verantwoordelijk?

Je bent verantwoordelijk voor de gegevens die je in handen hebt zodra je ze verzamelt.

Denk aan namen, e-mailadressen, maar ook aan IP-adressen of zelfs een combinatie van gegevens die iemand identificeerbaar maakt. Als je bijvoorbeeld een webshop runt en iemand koopt iets, dan bewaar je diens naam, adres en betaalgegevens. Dat is logisch, maar je mag die gegevens niet zomaar voor iets anders gebruiken.

Stel je voor: je hebt een lijst met klanten die schoenen hebben gekocht. Je mag die lijst niet zomaar gebruiken om ze een folder over autoverzekeringen te sturen, tenzij je daar expliciet toestemming voor hebt gekregen.

De grondbeginselen van gegevensverwerking

De kern van de AVG is dat je transparant moet zijn over wat je doet met data en waarom je het doet.

De AVG rust op een aantal vaste principes. Deze principes zijn de basis van hoe je met data om moet gaan. Ze klinken misschien wat saai, maar ze zijn essentieel voor een veilige bedrijfsvoering:

  • Rechtmatigheid, eerlijkheid en transparantie: Wees eerlijk tegenover je klanten. Vertel ze wat je doet met hun data.
  • Doelbinding: Verzamel gegevens voor een specifiek doel en gebruik ze niet voor iets heel anders zonder reden.
  • Minimale gegevensverwerking: Vraag alleen om gegevens die je echt nodig hebt. Waarom zou je iemands geboortedatum vragen als je alleen een e-mailadres nodig hebt voor een factuur?
  • Juistheid: Zorg dat de data klopt. Verouderde informatie kan problemen geven.
  • Bewaartermijn: Bewaar data niet langer dan nodig is. Je kunt niet eindeloos alle klantgegevens van vijf jaar geleden bewaren.
  • Integriteit en vertrouwelijkheid: Bescherm de data tegen diefstal, verlies of onnodige toegang.

De rechten van de betrokkene (je klant)

Een van de grootste veranderingen door de AVG is dat mensen meer controle krijgen over hun eigen data.

Recht op inzage

Je klanten hebben rechten, en jij moet daar als bedrijf aan voldoen. Dit zijn de belangrijkste rechten die je moet kennen: Iemand heeft het recht om te weten welke gegevens jij van hem of haar hebt. Als een klant vraagt: "Welke informatie heb je van mij?", moet je die informatie kunnen overleggen.

Recht op correctie

Dit kan een eenvoudig overzicht zijn in een e-mail of een pdf-bestand. Als iemand ziet dat jij onjuiste gegevens hebt (bijvoorbeeld een verkeerd adres of een typefout in de naam), mag hij of zij je vragen om dit te corrigeren.

Recht op vergetelheid

Je bent verplicht om dit te doen. Dit is een bekend recht.

Recht op dataportabiliteit

Iemand mag je vragen om al zijn of haar gegevens te verwijderen, mits er geen wettelijke plicht is om de gegevens langer te bewaren (zoals facturen voor de belastingdienst). Als je de data niet meer nodig hebt, moet je ze wissen. Dit klinkt ingewikkeld, maar het is simpel.

Recht van bezwaar

Als iemand overstapt naar een andere dienstverlener, mag hij of zij zijn gegevens meenemen in een gestandaardiseerd formaat. Denk aan het overzetten van een contactenlijst van de ene e-mailprovider naar de andere.

Mensen mogen bezwaar maken tegen de verwerking van hun gegevens, bijvoorbeeld voor direct marketing. Als iemand niet meer wil dat je hem of haar benadert, moet je hieraan voldoen.

Hoe zorg je voor AVG-compliance?

Oké, je weet nu wat de wet inhoudt, maar hoe pas je dit toe in de praktijk?

Stap 1: Data in kaart brengen

Je hoeft geen jurist te zijn om hieraan te voldoen. Er zijn een paar stappen die je kunt nemen om je bedrijf AVG-proof te maken.

Stap 2: Toestemming vragen

Je kunt niet beschermen wat je niet kent. Begin met een overzicht van welke persoonsgegevens je verzamelt, waarom je ze verzamelt en hoe lang je ze bewaart. Dit noem je een 'register van verwerkingsactiviteiten'. Dit is verplicht voor bedrijven met meer dan 250 medewerkers, maar eigenlijk is het voor iedereen een goed idee om dit bij te houden.

Voor veel verwerkingen heb je toestemming nodig. Die toestemming moet vrijwillig, specifiek en geïnformeerd zijn.

Stap 3: Beveiliging op orde

Gebruik geen verwarrende teksten in kleine lettertjes. Zeg duidelijk: "Ik wil graag uw e-mailadres om u wekelijks onze nieuwsbrief te sturen." En zorg dat er een actieve handeling nodig is (zoals een vinkje zetten), niet een standaard ingevuld vakje. De veiligheid van je data is cruciaal.

Je moet passende technische en organisatorische maatregelen nemen. Denk aan sterke wachtwoorden, versleuteling van bestanden, en regelmatige back-ups.

Als je met software werkt zoals Google Analytics, Microsoft 365 of andere cloud-diensten, zorg er dan voor dat je contracten sluit die voldoen aan de AVG (zoals verwerkersovereenkomsten).

Veel bedrijven gebruiken tools zoals WordPress voor hun website of Mailchimp voor e-mailmarketing. Zorg dat je de privacy-instellingen van deze tools goed configureert. Schakel onnodige tracking uit en zorg dat je geen data deelt met derden zonder dat je dat duidelijk meldt.

Stap 4: Een privacyverklaring opstellen

Je website moet een privacyverklaring hebben. Hierin leg je uit welke rechten betrokkenen hebben, welke gegevens je verzamelt, waarom je dat doet, hoe lang je ze bewaart en met wie je ze deelt.

Wees hierin zo transparant mogelijk. Gebruik heldere taal, zodat iedereen het begrijpt.

Wat als het misgaat?

Er is niemand die je controleert zolang je je aan de regels houdt, maar de Autoriteit Persoonsgegevens (AP) kan handhaven. Bij een datalek – waarbij persoonsgegevens verloren zijn geraakt of in verkeerde handen zijn gevallen – ben je verplicht om dit binnen 72 uur te melden bij de AP.

Als het lek een hoog risico oplevert voor de betrokkenen, moet je ook hen informeren. Boetes voor het niet naleven van de AVG kunnen hoog oplopen: tot wel 20 miljoen euro of 4% van de wereldwijde jaaromzet. Natuurlijk is dat voor de meeste kleine bedrijven niet direct aan de orde, maar als ZZP'er of klein bedrijf laat het wel zien hoe serieus de wet is.

Conclusie

AVG-compliance is geen eenmalige klus, maar een doorlopend proces. Het draait om vertrouwen.

Klanten geven je hun gegevens omdat ze geloven dat je er goed mee omgaat. Door je aan de regels te houden, bouw je aan die betrouwbaarheid.

Begin klein: breng je data in kaart, check je privacyverklaring en zorg voor goede beveiliging. Als je praktische AVG-compliance voor je onderneming op orde hebt, loop je niet alleen voorop, maar geef je je klanten ook het gevoel dat ze bij jou veilig zijn. En dat is uiteindelijk wat telt.

Veelgestelde vragen

Wat is precies de AVG en waarom is het belangrijk voor mijn bedrijf?

De Algemene Verordening Gegevensbescherming (AVG), ook bekend als GDPR, is een Europese wet die ervoor zorgt dat je op een verantwoorde manier omgaat met de persoonlijke gegevens van klanten. Het is belangrijk omdat je hiermee de privacy van je klanten beschermt en tegelijkertijd voorkomt dat je boetes krijgt als je de wet niet naleeft.

Wat houdt GDPR-compliance precies in voor een kleine ondernemer?

GDPR-compliance betekent dat je als bedrijf voldoet aan de regels rondom het verzamelen, gebruiken en bewaren van persoonsgegevens. Dit houdt in dat je transparant moet zijn over hoe je data gebruikt, alleen de noodzakelijke gegevens mag verzamelen en deze veilig moet opslaan. Je moet ook toestemming vragen voor het gebruik van data, zoals het versturen van nieuwsbrieven.

Welke basisprincipes moet ik als bedrijf in acht nemen bij het verwerken van data?

De kern van de AVG draait om een aantal belangrijke principes: je moet gegevens rechtmatig, eerlijk en transparant verwerken, ze alleen voor een specifiek doel gebruiken, en alleen de noodzakelijke hoeveelheid gegevens verzamelen. Het is essentieel om je klanten te informeren over hoe je hun data gebruikt.

Wanneer ben ik als bedrijf verantwoordelijk voor de gegevens van mijn klanten?

Je bent verantwoordelijk voor de gegevens zodra je ze verzamelt, ongeacht of je ze direct van de klant ontvangt of via een derde partij. Denk bijvoorbeeld aan de gegevens die je verzamelt via je webshop, zoals namen, adressen en betaalgegevens. Het is belangrijk om deze gegevens veilig te bewaren en niet zomaar voor andere doeleinden te gebruiken.

Wat gebeurt er als ik de AVG niet naleef?

Als je de AVG niet naleeft, kan dit leiden tot hoge boetes. De Europese Unie kan boetes opleggen van tot 4% van de jaaromzet van je bedrijf. Daarnaast kan je reputatie worden geschaad en verlies van klantvertrouwen ontstaan. Het is dus cruciaal om de wet te begrijpen en te volgen.

Lees ook
I'm now researching "autoriteitpersoongegevens.nl" to understand its history, backlinks, and mentions. The domain name itself strongly suggests it was related to the Dutch Data Protection Authority (Autoriteit Persoonsgegevens). Let me analyze the niche brief provided and determine the optimal sub-sub-niche. Based on the niche brief, this domain was known for privacy law and data protection in the Netherlands. The name "Autoriteit Persoonsgegevens" is literally the Dutch Data Protection Authority (AP). The domain has strong topical authority signals around: Persoonsgegevens (personal data) Privacy rights Data breaches
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Overige privacy vragen

Bekijk alle 19 artikelen in deze categorie.

Naar categorie →
Lees volgende
I'm now researching "autoriteitpersoongegevens.nl" to understand its history, backlinks, and mentions. The domain name itself strongly suggests it was related to the Dutch Data Protection Authority (Autoriteit Persoonsgegevens). Let me analyze the niche brief provided and determine the optimal sub-sub-niche.
Lees verder →