Is jouw bedrijf AVG-proof? Alles over de AVG-wetgeving*

Waar tot voor een paar jaar geleden de AVG-afkorting nog stond voor de oer-Hollandse maaltijd: aardappelen, vlees en groente, betekent AVG sinds een paar jaar heel andere koek, namelijk de Algemene Verordening Gegevensbescherming. In dit artikel leggen we uit wat de AVG-wet precies is, voor wie deze wet geldt en wat je wel en niet mag doen met de AVG. Daarnaast geven we je een lijst met tips om jouw bedrijf of werkplek helemaal AVG-proof te maken.

Wat is de AVG?

De afkorting AVG staat voor Algemene Verordening Gegevensbescherming. Dit is dé privacywetgeving, die sinds mei 2018 in de hele Europese Unie (EU) geldt. Goed om te weten: de AVG is ook bekend onder de Engelse naam: General Data Protection Regulation (GDPR).

Maar wat is de AVG nu precies? Kort gezegd zorgt het invoeren van de AVG voor betere bescherming van jouw persoonsgegevens en heb je als individu meer privacyrechten. Als gevolg hiervan hebben bedrijven en organisaties een grotere verantwoordelijkheid om zorgvuldig en veilig met jouw gegevens om te gaan. De toezichthouder van de AVG, de Autoriteit Persoonsgegevens, heeft op haar beurt weer meer bevoegdheden om te zorgen voor naleving van deze wet.

Voor wie geldt de AVG?

In Artikel 82 AVG is alles vastgelegd rondom deze nieuwe privacywetgeving, hierin staat de volledige AVG-wettekst en de zes grondslagen voor de AVG-wet. Zoals gezegd draait deze wet om persoonlijke privacy en de bescherming van jouw persoonsgegevens. De wet gaat alleen om gegevens die horen bij een natuurlijk persoon, oftewel een mens van vlees en bloed.

Dus wel: de gegevens van medewerkers of klanten van een bedrijf. Maar de AVG gaat niet over bedrijfsgegevens.

Wat mag wel en niet met de AVG?

Zorgvuldiger, kritischer en zeer selectief omgaan met persoonsgegevens, dat is de kern van de AVG-wetgeving. Overheden, bedrijven en personen mogen alleen jouw persoonsgegevens gebruiken wanneer het doel dient en het echt niet anders kan. Ze moeten dus een goede/geldige reden hebben om jouw gegevens te verwerken.

Op basis van de zes grondslagen: toestemming, uitvoering van de overeenkomst, wettelijke verplichting, vitaal belang van betrokkene of andere personen, algemeen belang of gerechtvaardigd belang, sta je in je recht om persoonsgegevens te gebruiken.

Dat klinkt heel streng, maar het zorgt ervoor dat jij als burger meer privacyrechten hebt. Dat is in deze digitale wereld wel zo prettig, toch?!

Meer lezen over de digitale wereld in de eerste twee jaar na invoering van de AVG? Klik dan hier.

Tips om je bedrijf AVG-proof te maken

Nu je weet wat de AVG inhoudt en voor wie deze privacywetgeving geldt, is het tijd om te kijken hoe je deze wetgeving goed toepast. Wij geven je graag vijf tips om je werkplek (als werkgever, werknemer of ondernemer) volledig AVG-proof te maken.

Tip 1: houd je werkplek en computer veilig

Dit klinkt misschien als een open deur, maar houd je werkplek veilig. Dat geldt niet alleen voor je digitale werkplek, zoals je computer of de Cloud, maar ook voor fysieke documenten. Laat geen privacygevoelige informatie op je bureau of bijvoorbeeld bij de printer rondslingeren. En natuurlijk: vergrendel je computer en belangrijke documenten met een sterk wachtwoord en verander dit regelmatig. Let tijdens het e-mailen ook op wat je naar wie mailt en gebruik de bcc als je e-mailadressen wilt afschermen.

Tip 2: houd privé en werk gescheiden en communiceer AVG-proof

Sinds de coronacrisis is thuiswerken heel gewoon. Voor sommigen is dat heel prettig, want het scheelt veel woon-werkverkeer, maar het maakt de kans op een datalek wel veel groter.

Bedenk maar eens: wie heeft er allemaal toegang tot jouw thuiswerkplek? Probeer daarom privé en werk zoveel mogelijk te scheiden.

Nog zo’n addertje onder het gras: communicatie. Zowel thuis, als op een kantoor of op een andere werkplek; telefoneren en videobellen kun je tegenwoordig overal doen. Maar let op dat wanneer je privacygevoelige informatie deelt, het gesprek niet in een openbare ruimte plaatsvindt en dat videocalls goed digitaal versleuteld zijn.

Tip 3 stel een privacyreglement en cookieverklaring op

Nu een meer technische tip. Omdat je als ondernemer door de AVG een informatieplicht hebt, is het belangrijk een duidelijk privacyreglement op te stellen en deze op je website te plaatsen. Deze informatieplicht houdt in dat je nieuwe, maar ook bestaande klanten duidelijk moet laten weten wat je doet met hun persoonsgegevens en waarom.

En als we het dan toch over je bedrijfswebsite hebben: als je cookies verzamelt, bijvoorbeeld voor marketingdoeleinden, dan ben je verplicht een cookieverklaring op te stellen. Hierin leg je uit welke cookies je verzamelt en welk doel je daarmee hebt. Ook geef je bezoekers van jouw website de mogelijkheid om bepaalde cookies te weigeren. 

Tip 4: zorg voor een verwerkingsregister en maak afspraken met verwerkers

Werk je met andere partijen aan wie je persoonsgegevens doorgeeft, bijvoorbeeld aan externe leveranciers of je hostingpartij, dan moet je met hen afspraken maken over de verwerking van deze gegevens. Deze afspraken leg je vast in een verwerkersovereenkomst. Vervolgens houd je in een verwerkingsregister bij welke persoonsgegevens je verwerkt. Hierin staat ook waarom je deze gegevens gebruikt, hoe lang je ze bewaart en hoe je ze beveiligt

Tip 5: weet wat te doen bij een datalek

Nu we het toch over veiligheid hebben: mocht het toch een keer misgaan, want vergissen is menselijk – ook binnen een goed georganiseerd bedrijf, dan is het van belang een datalek-protocol te hebben. Oftewel: dat je als onderneming weet wat je moet doen als er per ongeluk persoonsgegevens lekken. Je bent verplicht datalekken binnen jouw bedrijf te registreren. Is het lek ernstig, dan moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens.

Zorg voor privacy-bewustzijn en creëer zo een AVG-proof werkplek!

Tot slot: eigenlijk is bewustwording het belangrijkste. Als je ervoor zorgt dat jij weet hoe je veilig moet omgaan met persoons- en privacygevoelige gegevens, dan is de eerste en grootste stap al gezet. 

Wees je ervan bewust hoeveel je te maken hebt met privacy in je dagelijkse werkzaamheden of die in je onderneming. Want je kunt al je zaakjes technisch nog zo goed op orde hebben, als je er niet naar handelt, dan heb je zo een datalek.

;