Verwerken van persoonsgegevens

Sinds 25 mei 2018 geldt er een nieuwe wet voor alle EU-landen: de Algemene Verordening Gegevensbescherming (AVG). De nieuwe wet geeft alle zzp'ers en mkb'ers een grotere verantwoordelijkheid om de privacy van personen te beschermen.

Privacyrechten van uw klanten

De AVG versterkt de positie van uw klanten. Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. De nieuwe wet biedt iedereen van wie de persoonsgegevens wordt verwerkt, meer en verbeterde privacyrechten. Iedereen moet eenvoudig inzage krijgen in wat er aan persoonlijke gegevens is vastgelegd. Maar ook moet iedereen de gegevens kunnen laten corrigeren of op verzoek laten verwijderen of beschikbaar kunnen stellen aan een andere organisatie. De privacyregels gelden ook voor uw personeel.

Zo voldoet u aan de AVG

1. Houd een verwerkingsregister bij

U heeft een verantwoordingsplicht. Dit betekent dat u moet kunnen aantonen dat uw bedrijf aan de AVG voldoet. Het registreren van persoonsgegevens in een verwerkingsregister is onderdeel van de verantwoordingsplicht. Al gaat het maar om enkel de naam plus het e-mailadres. Breng de gegevensverwerking van uw bedrijf in kaart. Documenteer welke persoonsgegevens u verwerkt, met welk doel u dit doet, waar deze gegevens vandaan komen, hoe lang u ze bewaart en met wie u ze deelt.

Let op! Het is erg belangrijk dat u alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het doel dat u nastreeft. De gedachte hierbij is dat bezoekers beschermd moeten worden. Bijvoorbeeld het verplicht aanvinken van hokje ‘Ik wil de nieuwsbrief ontvangen’ bij een contactformulier of bestelling mag niet, omdat dit niet noodzakelijk is om een klantvraag te beantwoorden of een bestelling te verwerken.

U kunt op twee manieren een register bijhouden:

2. Vraag op de juiste manier toestemming

U moet kunnen aantonen dat personen toestemming hebben gegeven aan uw bedrijf om hun persoonsgegevens op te slaan. U moet die toestemming netjes vragen, op een duidelijke en ondubbelzinnige manier. Maak inzichtelijk hoe u hiervoor toestemming vraagt en leg vast hoe u die toestemming heeft verkregen. En let op: iedereen moet ook op eenvoudige wijze zijn toestemming tot verwerking van de persoonsgegevens weer kunnen intrekken. Toestemming intrekken moet dus net zo makkelijk zijn als krijgen.

3. Stel een verwerkersovereenkomst op

Heeft u de gegevensverwerking uitbesteed aan andere partijen zoals een administratiekantoor, een payroller die voor u de salarissen uitkeert of een cloudprovider waar u gegevens opslaat? Dat moet u verwerkersovereenkomsten met deze partijen opstellen. Hierin regelt u dat deze partijen netjes omgaan met de persoonsgegevens die u hen heeft verstrekt. U bent zelf verantwoordelijk voor het opstellen van zo'n verwerkersovereenkomst. Daarin staat ten minste:

  • Doel van de verwerking
  • Manier van de verwerking
  • Plicht tot geheimhouding
  • Afspraken over eventuele onderaannemers
  • Beveiligingsmaatregelen
  • Duur van de verwerking
4. Stel een verantwoordelijke aan

Sommige bedrijven zijn verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen een organisatie verantwoordelijk is voor de naleving van de regels rondom persoonsgegevens en privacy. Bekijk in welke gevallen u verplicht een functionaris voor de gegevensbescherming (FG) aan moet stellen binnen uw bedrijf.

Deelt u ­persoonsge­ge­vens met an­de­re bedrijven?
Deelt u ­persoonsge­ge­vens met an­de­re bedrijven?
5. Check uw privacyverklaring

U bent verplicht de bezoekers op uw website te informeren over de gegevens die u van hun bewaart. Dit betekent dat u meer gedetailleerde informatie moet vastleggen in uw privacyverklaring. Daarin staat ten minste:

  • Identiteit van de  verantwoordelijke
  • Doel van de verwerking van gegevens
  • Duur van de opslag
  • Recht op inzage of wissen gegevens
  • Recht om klacht in te dienen
  • Wie de ontvangers zijn van de gegevens
  • De rechten van de betrokkenen
  • Het niveau van beveiliging
  • Een contactpersoon

De verklaring moet verder in duidelijke taal zijn geschreven.


Breng nu uw risico's in kaart: doe de privacyscan

Het is belangrijk dat u vooraf de privacyrisico's van een gegevensverwerking in kaart brengt. Met onze privacyscan ontdekt u in 5 minuten in hoeverre uw bedrijf aan de nieuwe privacywet voldoet. En welke maatregelen u moet nemen om uw bedrijf AVG-proof te maken.

Veelgestelde vragen