Werknemers Login Bel een vestiging zoeken
  • Sinds 1930
  • Eén loket voor uw ondernemerszaken
  • Eerlijke tarifering
  • Certificaat Horizontaal Toezicht

AVG: wat betekent dit voor u?

Op 25 mei 2018 wordt definitief de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG gaat de Wet bescherming persoonsgegevens (Wbp) die per diezelfde datum komt te vervallen, vervangen. De AVG brengt nieuwe verplichtingen en verantwoordelijkheden met zich mee. Alle bedrijven en organisaties die werken met persoonsgegevens moeten zich voorbereiden op deze AVG, dus ook kleine mkb'ers en zzp'ers. Onderstaand geven wij antwoord op de belangrijkste vragen.

Wat verandert er?

De AVG zorgt onder meer voor:

  • versterking en uitbreiding van privacyrechten
  • meer verantwoordelijkheden voor organisaties
  • dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders (om boetes tot 20 miljoen euro op te leggen)

Wat betekent de verantwoordelijkheidsplicht?

Als de AVG van toepassing is, heeft u als organisatie meer verplichtingen bij het verwerken van persoonsgegevens. De AVG legt namelijk meer nadruk op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht. Als organisatie kunt u nu al stappen ondernemen om straks klaar te zijn voor de AVG. Onderzoek alvast of u uw huidige processen, diensten en goederen op bepaalde punten moet aanpassen om te voldoen aan de AVG. De Autoriteit Persoonsgegevens heeft de tien belangrijkste stappen voor u op een rijtje gezet.

Wat zijn voorbeelden van personeelsgegevens binnen de AVG?

In principe is de AVG van toepassing indien er persoonsgegevens worden verwerkt. Met verwerken wordt onder andere al bedoeld het verzamelen, vastleggen, opslaan, opvragen of doorzenden. Voorbeelden van persoonsgegevens zijn:

  • NAW-gegevens
  • IP-adressen
  • telefoonnummers
  • BSN-nummers
  • e-mailadressen
  • WOZ-waarden
  • pasfoto's
  • kentekens
  • geboortedata

Hoe zit het met de verwerking van bijzondere persoonsgegevens?

Naast deze persoonsgegevens zijn er ook bijzondere persoonsgegevens. Van deze gegevens is het zelfs verboden om ze te verwerken. Nieuw onder de AVG is dat ook genetische gegevens en biometrische gegevens hieronder vallen als deze herleidbaar zijn tot een persoon. Op de bijzondere persoonsgegevens zijn een tiental uitzonderingen. Een belangrijke uitzondering is de verwerking die noodzakelijk is in het kader van de uitvoering van regels op het gebied van arbeids- en socialezekerheidsrecht. Onder de vraag 'Wanneer mag u bijzondere gegevens verwerken vindt u alle tien uitzonderingen'. Als de betrokkene toestemming geeft voor het verwerken van deze persoonsgegevens is verwerking ook toegestaan, mits er wordt voldaan aan de overige vereisten die de verordening stelt. Voorbeelden van bijzondere persoonsgegevens zijn:

  • ras of etnische afkomst
  • politieke voorkeur
  • godsdienst
  • lidmaatschap van een vakbond
  • gezondheid
  • seksueel gedrag of seksuele geaardheid;
  • genetische gegevens; zoals DNA
  • biometrische gegevens zoals een vingerafdruk

Hoe weet u of u persoonsgegevens mag verwerken?

Waarbij voor de verwerking van bijzondere persoonsgegevens in beginsel een verbod geldt, betekent dit voor de gewone persoonsgegevens niet dat u deze zonder meer mag verwerken. Om de persoonsgegevens te mogen verwerken moet aan ten minste een van de grondslagen worden voldaan. Er zijn een zestal grondslagen bepaald. De belangrijkste drie zijn:

  • toestemming van de persoon
  • de noodzaak voor het uitvoeren van een overeenkomst
  • de uitvoering van een wettelijke plicht de belangrijkste zijn

Ook voor de verwerking van bijzondere persoonsgegevens is, naast een toepasselijke uitzondering, een rechtmatige grondslag vereist.

Wat moet ik doen als de AVG op mij van toepassing is?

Op basis van bovenstaande weet u nu of de AVG bij u van toepassing is. Dit betekent dat u moet aantonen dat uw organisatie handelt volgens de AVG. Dit doet u onder meer via een register van verwerkingsactiviteiten. Hoewel dit verplicht is voor organisaties met meer dan 250 werknemers, geldt dit ook voor organisaties die persoonsgegevens verwerken waarvan:

  • de verwerking niet incidenteel is
  • de verwerking een hoog risico inhouden
  • sprake is van bijzondere persoonsgegevens

Met name door het eerste punt is de kans groot dat u een register van verwerkingsactiviteiten bij moet houden. Hoewel het register vormvrij is, worden aan de inhoud daarvan wel strenge eisen gesteld. Met name van wie , met wel doel en waarvoor u gegevens verwerkt moet daarin worden opgenomen. Ook de eventuele verstrekking aan derden, bewaartermijnen en de getroffen beveiligingsmaatregelen dienen hierin opgenomen te worden. U vindt onder de vraag 'Wat moet er in het register van verwerking staan' meer informatie. 

Hoe zit het met mijn algemene voorwaarden?

Met de AVG heeft u de verantwoordelijkheid over de persoonsgegevens van bijvoorbeeld uw leveranciers, afnemers en werknemers. Beoordeel in dit kader uw algemene voorwaarden en intern privacy-beleid. Zorg dat duidelijk is hoe u met de verschillende persoonsgegevens om gaat, leg dit vast in uw algemene voorwaarden en communiceer naar de betrokken partijen.

Wanneer moet u verwerkersovereenkomsten opstellen?

Als verantwoordelijke van de persoonsgegevens die u verwerkt dient u overeenkomsten af te sluiten met de partijen die voor u bepaalde verwerkingsactiviteiten verrichten. Denk hier bijvoorbeeld aan uw salarisadministratie of financiële administratie, maar ook aan uw IT-leverancier en de (locatie) van de opslag van uw data en back-ups. Deze overeenkomsten worden verwerkersovereenkomsten genoemd.

Belangrijk!
Binnen Omnyacc bieden wij verschillende typen dienstverlening, die in het kader van de AVG verschillend worden behandeld. Op korte termijn informeren wij u hier meer over en in welke gevallen (aanvullende) overeenkomsten noodzakelijk zijn.

Moet ik een functionaris voor de gegevensbescherming aanstellen?

Op grond van de AVG dient u een functionaris voor de gegevensbescherming aan te stellen indien u aan een aantal voorwaarden voldoet. Hoewel in veel gevallen dit niet bij u van toepassing zal zijn is het aan te raden om één persoon binnen uw organisatie als vast aanspreekpunt aan te stellen.

Hoe zit het met de meldplicht datalekken?

De Wet meldplicht datalekken, ingegaan op 1 januari 2016, is een van de 10 stappen van de AVG. De AVG stelt strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. Niet alleen moet u een datalek binnen 72 uur melden bij het meldloket van de Autoriteit Persoonsgegevens, ze moeten ook worden gedocumenteerd. Op die manier kan de Autoriteit Persoonsgegevens controleren of u aan de meldplicht heeft voldaan, de wijze waarop de afhandeling van het datalek heeft plaatsgevonden en welke (aanvullende) maatregelen er zijn getroffen.

Wanneer is er sprake van een datalek?

Er is sprake van een datalek als zich een beveiligingsincident heeft voorgedaan, waarbij persoonsgegevens verloren zijn gegaan (falende back-up procedures), of als onrechtmatige verwerking van persoonsgegevens niet kan worden uitgesloten (verloren telefoon of laptop). Wanneer een datalek waarschijnlijk ongunstige gevolgen heeft voor de betrokkene, dient diegene per direct op de hoogte gesteld te worden.

Hoe zit het met de privacyverklaring?

Onder de AVG krijgen betrokkenen (de mensen van wie u persoonsgegevens verwerkt) meer en verbeterde privacyrechten: de privacyverklaring. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. In een privacyverklaring legt de eigenaar van een website uit waarom hij persoonsgegevens verzamelt en hoe er wordt omgegaan met de verzamelde persoonsgegevens. In de meeste gevallen kunt u niet kiezen of u wel of geen privacyverklaring op uw website moet zetten. Als een website persoonsgegevens verzamelt dan is het verplicht om ook een privacyverklaring op de website te zetten. Ook als bezoekers zich kunnen inschrijven voor een nieuwsbrief moet er op de website een privacyverklaring staan. In een privacyverklaring staat in ieder geval de bedrijfsnaam, het doel van de verwerking, de rechten van d e betrokkenen, de contactpersoon van de onderneming en, de ontvangers van de gegevens.

Wat moet ik nog meer weten?

Naast bovenstaande wijzigingen komen binnen de AVG nog enkele belangrijke thema's aan bod zoals privacy by design, privacy by default en data privacy impact assessment (DPIA). Hier willen wij u in een later stadium over informeren.

Heeft u vragen?

Vanaf 25 mei 2018 gaat er flink wat veranderen. Zorg dat u er klaar voor bent! Voor de volledigheid melden wij nogmaals dat bovenstaande een samenvatting betreft, en geen volledige opsomming van de AVG is. Voor meer informatie en de volledige wet- en regelgeving kunt u terecht op: www.autoriteitpersoonsgegevens.nl (dossier AVG), en bij onze AVG contactpersonen:

  • Gerard de Graaf: 0223-688600
  • Patrick Blankenzee: 072-5720626
  • Jos de Lange: 0228-561010
  • Xander Müller: 0229-271994

Meer lezen over de AVG

  • Lees hier hoe u een register van verwerkingen maakt.
  • Lees hier hoe lang u persoonsgegevens mag bewaren. 

Uw contactpersonen

Jos de Lange
Heemstede/Zwaagdijk
023 - 5283254

Patrick Blankenzee
Heerhugowaard
072 - 5720626

Xander Müller
Hoorn
0229 - 271994

Gerard de Graaf
Den Helder
0223 - 688600

Laatste nieuws

22 mei

Ondernemers die stoppen met hun bedrijf of dit overdragen, ontvangen een brief van de Belastingdienst dat zij voor de laatste keer btw-aangifte...

Agendapunten

23 mei

Op woensdag 23 mei 2018 verzorgen wij een avond met actuele ontwikkelingen en nuttige tips rondom arbeidsrecht, uitzendrecht, uitruilen van...

X

Al op de hoogte van de belangrijkste wijzigingen op personeels- en salarisgebied voor 2018?

Download de gratis Lonenspecial en ontdek o.a.:

  • Loonkostenvoordelen (LKV) om dit jaar van te profiteren
  • De nieuwe wet DBA
  • Andere belangrijke wijzigingen vanaf 2018

U krijgt ook maandelijks tips en nieuws die voor u als ondernemer van belang zijn.

Download de gratis Lonenspecial en ontdek o.a.:

  • Loonkostenvoordelen (LKV) om dit jaar van te profiteren
  • De nieuwe wet DBA
  • Andere belangrijke wijzigingen vanaf 2018

U krijgt ook maandelijks tips en nieuws die voor u als ondernemer van belang zijn.