Er is al heel veel gezegd en geschreven over de nieuwe privacywetgeving, ook wel bekend onder de naam “AVG”, Algemene Verordening Gegevensbescherming. Per 25 mei 2018 moet bijna iedereen hieraan voldoen. Bijna iedereen, omdat de AVG van toepassing is als je persoonsgegevens verwerkt van natuurlijke personen. Als uitzondering geldt verwerking voor huishoudelijk of persoonlijk gebruik (zeg maar in de privésfeer). Met behulp van de nieuwe privacywetgeving wil men ervoor zorgen dat er voorzichtig omgesprongen wordt met persoonsgegevens.

Ik zal zo beknopt mogelijk vertellen waaraan je als kleine ondernemer (MKB/ZZP) moet voldoen om in ieder geval 25 mei gereed te zijn. Als je tot nu toe niets hebt gedaan dan vind je in deze blog de “last minute” acties die je vandaag nog kunt uitvoeren.

Wat zijn persoonsgegevens (van natuurlijke personen) precies?
In het algemeen betreft dit alle informatie over een bepaald persoon, zoals adresgegevens, telefoonnummer, geboortedatum, gewicht, e-mailadres, etc. Alles wat je maar kunt herleiden naar een bepaald persoon kan dus een persoonsgegeven zijn. Het moet wel gaan om gegevens van natuurlijke personen. Dit zijn gewoon mensen zoals jij en ik, maar ook de eenmanszaak van de bakker om de hoek. Voor gegevens van bedrijven (niet zijnde de eenmanszaak), organisaties en overheden geldt de nieuwe privacywet niet. Dus als ik het hierna over persoonsgegevens heb dan bedoel ik alleen persoonsgegevens van natuurlijke personen.

Wanneer mag een ondernemer persoonsgegevens verwerken?
Persoonsgegevens mag je alleen gebruiken als daar een goede reden voor is. Als het gaat om een ondernemer dan zijn de voornaamste redenen om deze gegevens te mogen verwerken:
– omdat je een overeenkomst hebt gesloten met een klant of leverancier en de gegevens nodig zijn voor de uitvoering van die overeenkomst;
– omdat je een gerechtvaardigd belang hebt bij het gebruiken van persoonsgegevens voor de bedrijfsvoering (denk aan adresgegevens om een product te kunnen afleveren);
– omdat je uitdrukkelijke toestemming hebt gekregen van de persoon om zijn/haar gegevens te mogen gebruiken (bij deze optie dien je wel te zorgen dat je kunt bewijzen dat toestemming is gegeven);
– soms moet je gegevens gebruiken omdat het nu eenmaal verplicht is, zoals voor de Belastingdienst.

Wat kan je als ondernemer nu concreet doen?
1. Ga na welke persoonsgegevens jij gebruikt in je bedrijf en of je daar wel een goede reden voor hebt.
Noteer welke soort gegevens dit zijn en schrijf ook op waarom je ze gebruikt. Als je toch aan het schrijven bent, noteer dan tevens waarom je denkt die gegevens te mogen gebruiken en hoe je hier voorzichtig mee om zult gaan (welke beveiliging). Als je dit allemaal op papier hebt staan (of in de computer) dan heb je al meteen aan twee eisen voldaan, te weten; je hebt nagedacht over hoe je omgaat met persoonsgegevens en je hebt je gedachten geregistreerd. Die registratie is verplicht.

2. Ga naar veiliginternetten.nl en maak daar gebruik van de generator om een privacyverklaring op te stellen. 
Hiervoor gebruik je de gegevens die je bij de vorige stap allemaal hebt opgeschreven. De privacyverklaring zet je op je website. Hiermee vertel je jouw klanten (en iedereen waarvan je persoonsgegevens verwerkt) wat je bewaart, waarom je dat doet, hoe je ermee omgaat, hoe je de gegevens beveiligt en welke rechten jouw klanten hebben als het gaat om die persoonsgegevens. Zo’n privacyverklaring is verplicht.

3. Zorg voor een goede beveiliging van persoonsgegevens.
In de meeste gevallen betreft dit een goede beveiliging van je computer.

4. Wat te doen bij een datalek?
Mochten bepaalde persoonsgegevens een keer uitlekken, dan moet je nagaan of dit ernstige gevolgen kan hebben voor de betrokken persoon. Zo ja, dan moet je het aan deze persoon en tevens aan de Autoriteit Persoonsgegevens melden. Ook moet je zo’n datalek altijd in jouw bedrijf registreren (wat is er gebeurd, welke actie heb je ondernomen en hoe voorkom je dat het niet nogmaals plaatsvindt).

5. Kijk of je een verwerkersovereenkomst nodig hebt. 
Mocht je persoonsgegevens ook delen met andere bedrijven of instanties (denk aan een webhoster of een direct marketingbureau), dan is het verplicht dat je een “verwerkersovereenkomst” hebt, waarin je die derde verplicht om te voldoen aan de nieuwe privacyvoorwaarden.

6. Licht, indien van toepassing, je personeel in.
Mocht je personeel hebben, bespreek daar dan ook mee hoe jullie (veilig) omgaan met persoonsgegevens.

Kortom, als je deze zes punten (items vijf en zes indien nodig) toepast in jouw bedrijf dan ben je al goed bezig als het gaat om persoonsgegevens. Bovendien loop je minder snel kans op een boete van de Autoriteit Persoonsgegevens.

Natuurlijk kan ik in zo’n kort artikel niet alle ins en outs vermelden en alle uitzonderingen aangeven. Mocht je meer willen weten neem dan contact met mij op of kijk op de website van de Autoriteit Persoonsgegevens. Zorg ervoor dat je op 25 mei 2018 gereed bent voor de nieuwe privacywetgeving!

Contact
Marco Bezoet de Bie is juridisch en fiscaal adviseur bij NBC Eelman & Partners. Wil je meer informatie naar aanleiding van deze blog? Mail dan naar marco.bezoetdebie@nbceelman.nl of bel 0222-314141.

Wekelijks juridisch spreekuur voor ondernemers
Heb je als ondernemer vragen over de AVG, wil je een overeenkomst laten toetsen of heb je advies nodig over algemene voorwaarden, dan kun je bij Marco terecht tijdens het wekelijks juridisch spreekuur. Elke donderdag vindt deze van 09.00 tot 12.00 uur plaats bij ons kantoor in Den Burg, Texel. Het spreekuur is vrijblijvend en een afspraak maken is niet nodig.