Alles wat ondernemers moeten weten over de AVG-wet

17 augustus 2021 - ABN AMRO

Leestijd: ca. 7 minuten

Alle ondernemingen die persoonsgegevens verwerken, moeten zich houden aan de privacywet Algemene Verordening Gegevensbescherming (AVG). De wet verbetert de privacy en gegevensbescherming voor natuurlijke personen zoals klanten en medewerkers. Ontdek in dit artikel hoe dit van invloed is op uw onderneming, wat u moet weten en hoe u voldoet aan de regels en richtlijnen die er gelden.

Wat betekent AVG?

AVG staat voor Algemene Verordening Gegevensbescherming. De AVG-wet, die sinds 25 mei 2018 geldt, gaat over privacy en gegevensbescherming van klanten en andere gebruikers van iedere onderneming die persoonsgegevens verwerkt. Het is Europese wetgeving, die internationaal bekendstaat als de wet General Data Protection Regulation (GDPR).

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens over geïdentificeerde of identificeerbare (natuurlijke) personen. Dit betekent dat persoonsgegevens (i) direct over iemand gaan of naar deze persoon te herleiden zijn (ook wel: directe en indirecte identificatie). Voorbeelden van persoonsgegevens zijn:

  • Namen (voor- en achternamen);

  • Woonadressen;

  • E-mailadressen;

  • IP-adressen;

  • Foto’s van personen.

De privacywet schrijft voor hoe ondernemingen de bovenstaande persoonsgegevens mogen verwerken. Het is bijvoorbeeld noodzakelijk om aan uw klanten of bezoekers aan te geven dát dit gebeurt en hoe de onderneming omgaat met deze gegevens.

Let op: de AVG-wet verbiedt het om bijzondere persoonsgegevens te verwerken als de wet daar geen specifieke toestemming voor geeft, tenzij specifiek is aangegeven dat de gegevens voor een specifiek doel moeten worden gebruikt. Het gaat om bijvoorbeeld informatie over:

  • Godsdienst of levensovertuiging;

  • Ras;

  • Politieke voorkeur;

  • Gezondheid;

  • Seksuele geaardheid;

  • Lidmaatschap van een vakbond.

Is er een verschil tussen de AVG en GDPR?

AVG en GPDR worden vaak door elkaar gebruikt. Het gaat om dezelfde wetgeving, die zowel een Nederlandse als een internationale benaming heeft. AVG is de Nederlandse afkorting voor de wet, GDPR is de internationale afkorting en staat voor General Data Protection Regulation. De Europese wetgeving geldt zowel in Nederland als in alle andere lidstaten.

Omdat de GDPR een regulation is, heeft het directe werking in alle Europese lidstaten. In de uitvoeringswetten per lidstaat, zitten hele kleine nuances. Denk hierbij aan de leeftijd van een minderjarige, die in de privacywetgeving extra beschermd zijn. Verder bestaan er inhoudelijk geen grote verschillen tussen de AVG en GDPR.

Wat zijn de AVG-regels?

De AVG-wetgeving bevat veel verschillende regels, waaronder:

  • Voorwaarden om gegevens te mogen verwerken

De AVG-wetgeving kent een zestal grondslagen op basis waarvan u persoonsgegevens mag verwerken. Als van deze grondslagen geen enkele van toepassing is op uw situatie, dan bent u niet bevoegd persoonsgegevens te verwerken. In de praktijk berust de vraag of u persoonsgegevens mag verwerken vaak op een van de onderstaande grondslagen: 1. Het is noodzakelijk gegevens te verwerken, omdat u dit wettelijk verplicht bent; 2. Het is noodzakelijk gegevens te verwerken om een overeenkomst uit te voeren; 3. Het is noodzakelijk gegevens te verwerken om uw gerechtvaardigde belang te behartigen; 4. U heeft toestemming van de persoon om wie het gaat. Het kan soms echter lastig zijn te bepalen of u gegevens mag verwerken of niet. Om te achterhalen of u persoonsgegevens mag verwerken, is het verstandig om de Autoriteit Persoonsgegevens te raadplegen.

  • De verplichting om klanten te vertellen wat hun rechten zijn

Ondernemers moeten klanten vertellen wat hun rechten zijn, bijvoorbeeld door dit op te nemen in hun privacyverklaring. Klanten hebben veel rechten op het gebied van privacy. Dat betekent dat klanten bijvoorbeeld hun gegevens mogen inzien, eerder gegeven toestemmingen mogen intrekken en gegevens mogen meenemen om over te stappen naar een ander bedrijf.

  • Aangeven hoe de onderneming gegevens verwerkt

Voor veel ondernemers is het verplicht om in een register vast te leggen welke persoonsgegevens de onderneming verwerkt en waarom dat gebeurt. Registreer bovendien waar de gegevens vandaan komen en met wie die eventueel worden gedeeld.

Tip: ontdek met de AVG-regelhulp van de Autoriteit Persoonsgegevens welke AVG-regels er gelden voor uw onderneming. De online tool geeft in een aantal stappen antwoord.

Gelden er boetes bij AVG-overtredingen?

De Autoriteit Persoonsgegevens (AP) controleert of ondernemingen zich houden aan de AVG-wet. Bij overtredingen kan de AP boetes uitdelen. In principe kan een boete oplopen tot maximaal 20 miljoen euro óf 4 procent van de globale jaaromzet, zonder dat daar een maximum aan zit. Zo ontving multinational Amazon onlangs een boete van 746 miljoen euro. (Ze gaan overigens wel in hoger beroep.)

Ook het Amsterdamse ziekenhuis OLVG nam tussen 2018 en 2020 te weinig maatregelen om onbevoegde medewerkers toegang tot medische dossiers te ontzeggen. Het ziekenhuis kreeg daarvoor een boete van 440.000 euro.

Let op: ontstaat er ondanks alle AVG-maatregelen een datalek? Iedere onderneming is verplicht om dit in specifieke situaties te melden bij de Autoriteit Persoonsgegevens en aan de getroffen klanten, bezoekers of medewerkers.

In vijf stappen voldoen aan de AVG-wet

Vijf stappen helpen ondernemingen in de basis te voldoen aan de AVG-wet:

  • Bepaal welke gegevens u minimaal nodig hebt: stel vast welke persoonsgegevens van klanten belangrijk zijn voor de bedrijfsvoering.

  • Omschrijf het doel van dataverzameling: beschrijf waarom het belangrijk is om die gegevens te verzamelen en op te slaan.

  • Vraag toestemming aan klanten en gebruikers (als een andere grondslag niet van toepassing is): geef klanten en gebruikers aan welke data u verzamelt en waarom u dat doet. Het is belangrijk dat klanten ‘specifiek en geïnformeerd’ toestemming geven. Wees duidelijk in wat u vraagt en waar u de gegevens voor nodig heeft.

  • Leg vast hoe u omgaat met de data: registreer welke data u verzamelt, waar de data vandaan komt, dat u toestemming heeft om dit te verzamelen en hoe u de data eventueel deelt.

  • Beveilig de data: investeer in beveiliging van de data en voorkom dat deze per ongeluk kan uitlekken door de data te versleutelen (encryptie) of door bijvoorbeeld te anonimiseren. Vergeet ook de back-up te beveiligen.

Cyber Veilig & Zeker

1 op de 5 ondernemers krijgt te maken met cybercrime. Cyber Veilig & Zeker is dé cybersecurity-oplossing die voorkomt, versterkt, verhelpt en vergoedt.

Lees meer
Lees meer ondernemersverhalen en tips over Cybersecurity
Bekijk alle artikelen
Er zijn helaas geen artikelen beschikbaar over dit onderwerp.
Benieuwd hoe uw onderneming scoort op cyberveiligheid?

Door de snelle ontwikkelingen op het gebied van cybercriminaliteit, kan het lastig zijn te achterhalen welke risico's uw onderneming loopt. Benieuwd hoe uw onderneming scoort op cybersecurity en welke verbetertips er zijn? Doe de Cyberrisicoscan en ontdek het meteen.

Lees meer