Verwerking persoonsgegevens
Hoe verwerk je de persoonsgegevens van klanten, leveranciers en werknemers? Sinds 25 mei 2018 geldt de privacywet of de Algemene Verordening Gegevensbescherming (AVG) voor alle EU-landen. Deze AVG-wet geeft ondernemers een grotere verantwoordelijkheid om de privacy van personen te beschermen. Lees hier hoe je dat doet.
Wat zijn persoonsgegevens?
Volgens de Autoriteit Persoonsgegevens is een persoonsgegeven informatie die leidt naar een geïdentificeerde of identificeerbare, levende persoon. Hieronder vallen dus niet de gegevens van mensen die zijn overleden. Ook gegevens over organisaties (rechtspersonen) worden niet als persoonsgegevens aangemerkt, tenzij die gegevens iets zeggen over een natuurlijk persoon. Er zijn veel soorten persoonsgegevens. De bekendste gewone persoonsgegevens zijn namen, adressen, woonplaatsen en telefoonnummers.
Wat zijn gevoelige of bijzondere persoonsgegevens?
Bijzondere persoonsgegevens bevatten informatie over iemands godsdienst of levensovertuiging, ras, politieke voorkeur, gezondheid, seksuele leven, lidmaatschap van een vakbond of genetische en biometrische gegevens. Het burgerservicenummer (BSN) is een gevoelig persoonsgegeven. Strafrechtelijke gegevens zijn geen bijzondere of gevoelige persoonsgegevens volgens de privacywet (AVG), maar wel gelden daar speciale regels voor.
Wanneer is sprake van een verwerking van persoonsgegevens?
Met persoonsgegevens wordt alle informatie bedoeld die over een natuurlijk persoon gaat of naar deze persoon te herleiden is. Onder persoonsgegevens vallen ook gegevens die indirect naar een persoon te herleiden zijn, zoals kentekens. Alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, worden beschouwd als verwerking. Denk aan het verzamelen van persoonsgegevens, maar bijvoorbeeld ook aan het opslaan, beschikbaar stellen, verspreiden, raadplegen, vernietigen en samenbrengen ervan.
Gerechtvaardigd belang
Een verwerking van persoonsgegevens moet rechtmatig zijn: voor een verwerking is een wettelijke grondslag (uit de AVG) nodig. In de eerste plaats is het niet toegestaan om persoonsgegevens te verwerken. Behalve als het wettelijk verplicht of noodzakelijk is. In dat laatste geval spreken we van een gerechtvaardigd belang: je hebt een goede reden voor de verwerking van persoonsgegevens. Bijvoorbeeld als je een factuur of pakketje naar je klant stuurt. Bij het versturen van nieuwsbrieven of andere marketingmiddelen moet je kunnen aantonen dat personen je toestemming hebben gegeven om hun persoonsgegevens op te slaan. Je moet die toestemming netjes vragen, op een duidelijke en ondubbelzinnige manier. Leg ook vast hoe, waar en wanneer hoe je die toestemming hebt verkregen. En let op: iedereen moet ook op eenvoudige wijze zijn toestemming tot verwerking van de persoonsgegevens weer kunnen intrekken. Toestemming intrekken moet dus net zo makkelijk zijn als toestemming geven.
Stappenplan verwerking persoonsgegevens
Hoe bescherm je de privacy van je klanten en leveranciers? Met dit stappenplan voor de verwerking van persoonsgegevens sta je niet voor verrassingen.
1. Houd een verwerkingsregister bij.
Je hebt een verantwoordingsplicht. Dat betekent dat je moet kunnen aantonen dat je bedrijf aan de AVG voldoet. Het registreren van persoonsgegevens in een verwerkingsregister is onderdeel van de verantwoordingsplicht. Al gaat het maar om alleen de naam plus het e-mailadres. Breng de gegevensverwerking van je bedrijf in kaart. Documenteer welke persoonsgegevens je verwerkt, met welk doel je dat doet, waar deze gegevens vandaan komen, hoelang je ze bewaart en met wie je ze deelt.
Let op! Het is erg belangrijk dat je alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het doel dat je nastreeft. De gedachte hierbij is dat bezoekers beschermd moeten worden. Bijvoorbeeld het verplicht aanvinken van hokje ‘Ik wil de nieuwsbrief ontvangen’ bij een contactformulier of bestelling mag niet, omdat dat niet noodzakelijk is om een klantvraag te beantwoorden of een bestelling te verwerken.
Je kunt op twee manieren een register bijhouden:
- via het register van DAS Privacy Protect;
- via een Excel-bestand dat je zelf bijhoudt.
2. Vraag op de juiste manier toestemming.
Je moet kunnen aantonen dat personen toestemming hebben gegeven aan je bedrijf om hun persoonsgegevens op te slaan. Je moet die toestemming netjes vragen, op een duidelijke en ondubbelzinnige manier. Maak inzichtelijk hoe je hiervoor toestemming vraagt en leg vast hoe je die toestemming hebt verkregen. En let op: iedereen moet ook op eenvoudige wijze zijn toestemming tot verwerking van de persoonsgegevens weer kunnen intrekken. Toestemming intrekken moet dus net zo makkelijk zijn als toestemming geven.
3. Stel een verwerkersovereenkomst op.
Heb je de gegevensverwerking uitbesteed aan andere partijen zoals een administratiekantoor, een payroller die voor jou de salarissen uitkeert of een cloudprovider waar je gegevens opslaat? Dat moet je verwerkersovereenkomsten met deze partijen opstellen. Hierin regel je dat deze partijen netjes omgaan met de persoonsgegevens die je hun hebt verstrekt. Je bent zelf verantwoordelijk voor het opstellen van zo'n verwerkersovereenkomst. Daarin staan ten minste:
- het doel van de verwerking;
- de manier van de verwerking;
- de plicht tot geheimhouding;
- de afspraken over eventuele onderaannemers;
- de beveiligingsmaatregelen;
- de duur van de verwerking.
4. Stel een verantwoordelijke aan.
Sommige bedrijven zijn verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Dat is iemand die binnen een organisatie verantwoordelijk is voor de naleving van de regels over persoonsgegevens en privacy. Bekijk op de website van de Autoriteit Persoonsgegevens in welke gevallen je een functionaris voor de gegevensbescherming (FG) aan moet stellen binnen je bedrijf.
Deel je persoonsgegevens met andere bedrijven?
5. Check je privacyverklaring.
Je bent verplicht de bezoekers op je website te informeren over de gegevens die je van hen bewaart. Dat betekent dat je gedetailleerdere informatie moet vastleggen in je privacyverklaring. Daarin staan ten minste:
- de identiteit van de verantwoordelijke;
- het doel van de verwerking van gegevens;
- de duur van de opslag;
- het recht op inzage of wissen van de gegevens;
- het recht om gegeven toestemming in te mogen trekken;
- het recht om een klacht in te dienen bij de privacytoezichthouder;
- wie de ontvangers zijn van de gegevens;
- of gegevens door worden gegeven buiten de EER of aan internationale organisaties. En zo ja, op welke juridische grondslag dat wordt gedaan;
- of gebruik wordt gemaakt van geautomatiseerde profilering. En zo ja, hoe besluiten dan genomen worden;
- de rechten van de betrokkenen;
- het niveau van beveiliging;
- een contactpersoon (functionaris gegevensbescherming).
De verklaring moet in duidelijke taal zijn geschreven.
Breng nu jouw risico's in kaart: doe de privacyscan
Het is belangrijk dat je vooraf de privacyrisico's van een gegevensverwerking in kaart brengt. Met onze privacyscan ontdek je in 5 minuten in hoeverre jouw bedrijf aan de privacywet voldoet. En welke maatregelen je moet nemen om je bedrijf AVG-proof te maken.
Heb je een vraag over de verwerking van persoonsgegevens?
Je kunt ons altijd bellen voor advies, op telefoonnummer 088 3279 834.
Meer informatie
Veelgestelde vragen
Er zijn veel soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens.
Zo helpen we je
Heeft deze informatie je geholpen?
We horen graag je feedback. Daarmee help je ons om deze informatie verder te verbeteren.