Terug naar overzicht

8 vragen over de nieuwe privacywetgeving

Vanaf 25 mei wordt de nieuwe privacywet Algemene verordening gegevensbescherming (AVG) van toepassing. Wat betekent dit voor ondernemers? Wij vroegen het aan onze Please payroll juriste Ilse Vermeulen.

1. Wat is de AVG?

“De Algemene verordening gegevensbescherming (AVG) is de Nederlandse benaming voor de Europese General Data Protection Regulation (GDPR). Die is opgesteld om de verschillende wetten en regels binnen de landen van de Europese Unie te harmoniseren. Dat is nodig omdat er steeds meer grensoverschrijdend dataverkeer plaatsvindt. De GDPR moet voor Europese uniforme regelgeving gaan zorgen. De AVG vervangt de huidige Wet bescherming persoonsgegevens (Wbp).”

2. Wat is er nieuw aan de AVG?

“De nieuwe wet gaat strikter om met persoonsgegevens. Die mogen alleen nog worden verwerkt als dat echt noodzakelijk is, en enkel door diegenen die ze daadwerkelijk nodig hebben. Daarnaast krijgen ondernemingen meer verantwoordelijkheden voor de beveiliging van persoonsgegevens.”

3. Wat zijn persoonsgegevens volgens de AVG?

“Een persoonsgegeven is elke informatie die leidt tot directe of indirecte identificatie van een persoon. Hierbij kun je denken aan een naam, adres, burgerservicenummer (BSN), e-mailadres, maar ook bijvoorbeeld iemands kenteken of IP-adres. Kortom, je hebt al snel te maken met een persoonsgegeven, en dus met de AVG.”

4. Wanneer is het opslaan van persoonsgegevens ‘strikt noodzakelijk’?

“Het verwerken van persoonsgegevens moet altijd een grondslag hebben. Soms schrijft de wet voor dat je bepaalde persoonsgegevens dient te verwerken. In andere gevallen is het nodig omdat je anders een overeenkomst niet kunt uitvoeren. Zo zal een pakketbezorger altijd de NAW-gegevens van de betrokkene nodig hebben om een pakket af te kunnen leveren bij de juiste persoon.

Maar voor het bezorgen van een pakketje is het normaal gesproken niet noodzakelijk om de geboortedatum of het geslacht van de koper te vragen. Het opvragen en opslaan van deze gegevens met als reden ‘altijd handig om te hebben’ is dus niet langer toegestaan. Als je geen toestemming hebt van de betrokkene om deze persoonsgegevens te verwerken en het doel hiervan niet duidelijk is, mag je ze niet verwerken.”

5. Dus wel als je expliciete voorafgaande toestemming van iemand hebt om zijn of haar persoonsgegevens te verwerken?

“Ja, dan is het wel toegestaan. Echter, die toestemming moet dan wel uit vrije wil gegeven zijn. Tussen een werkgever en werknemer is bijvoorbeeld sprake van een gezagsverhouding en dan kan de vrijwillige toestemming in twijfel worden getrokken. Dit heeft tot gevolg dat er geen rechtsgeldige grondslag is voor het verwerken van die betreffende gegevens, en dus de AVG wordt overtreden. Dus verwerk echt alleen de gegevens die echt noodzakelijk zijn.”

6. Hoe weet ik nu waar ik mij als ondernemer aan moet houden?

“Het is moeilijk daar iets in algemene zin over te zeggen. De AVG legt verschillende bedrijven verschillende verplichtingen op, afhankelijk van de grootte van de onderneming, de bedrijfsactiviteiten en de mate waarin de organisatie persoonsgegevens verwerkt. Wel hebben wij als Please een handig stappenplan ontwikkeld op basis waarvan een ondernemer kan nagaan aan welke eisen hij moet voldoen:

Stappenplan AVG | Please

We hebben dat stappenplan verder uitgewerkt op www.please.nl/avg. Heb je specifieke vragen met betrekking tot de AVG en de bedrijfsactiviteiten van jouw onderneming, dan raad ik je aan om contact op te nemen met de instantie Autoriteit Persoonsgegevens. Zij kunnen bedrijfsgericht advies geven.”

7. Wat doet Please zelf om aan deze nieuwe wetgeving te voldoen?

“Please verwerkt als juridisch werkgever heel veel persoonsgegevens en bijzondere persoonsgegevens. Voor ons is een correcte naleving van de AVG dus van groot belang. Om op tijd AVG-proof te zijn hebben we al een tijd geleden een projectgroep geformeerd. Daarin zitten zowel deskundigen op het gebied van privacywetgeving als experts op het gebied van ICT en software. Zo hebben we in kaart gebracht welke persoonsgegevens wij verwerken en met welk doel. We hebben speciale functionarissen aangewezen om de AVG goed te kunnen uitvoeren en we hebben onze systemen nóg beter beveiligd. Ook hebben we alle documenten en overeenkomsten beoordeeld en zo nodig aangepast. En last but not least hebben we de interne organisatie bewust gemaakt van de verwerking van persoonsgegevens.”

8. Wat als je niet voldoet aan de AVG?

“We weten nu nog niet hoe de Autoriteit Persoonsgegevens de wet gaat handhaven. Maar wel is duidelijk dat er hoge boetes opgelegd kunnen worden als de AVG niet correct wordt nageleefd. Ik raad iedereen aan geen risico te lopen.”

 

Meer informatie over de nieuwe AVG vind je op autoriteitpersoonsgegevens.nl en de regelhulp AVG (rvo.regelhulpenvoorbedrijven.nl/avg)

Heb je vragen over hoe Please omgaat met de AVG? Neem dan gerust contact met ons op via 0492 388 888 of mail naar info@please.nl