Terug naar overzicht
Kennisbank

Bescherming persoonsgegevens

Vanaf 25 mei 2018 geldt er nog maar één privacywet in de EU: de Algemene Verordening Gegevensbescherming. Ook wel beter bekend als de AVG). Het uitgangspunt in deze wet is dat persoonsgegevens alleen nog verwerkt mogen worden wanneer dat strikt noodzakelijk is en enkel door personen die hier daadwerkelijk toegang toe dienen te hebben. Zodra je gegevens van klanten, personeel of andere personen bewaart ben je verplicht om deze goed te beschermen. Als werkgever is het zaak om extra maatregelen te nemen bij het vastleggen, bewaren en gebruiken van persoonsgegevens.

Ondanks de AVG is het voor veel ondernemers nog niet altijd duidelijk welke gegevens nu verplicht beschermd moeten worden en welke niet. Wij zetten daarom op een rij wat persoonsgegevens zijn, welke je als werkgever verplicht dient te beschermen en wat er van je verwacht wordt bij een eventueel datalek.

Wat zijn persoonsgegevens?

Bij persoonsgegevens gaat het om informatie die direct of indirect leidt tot het identificeren van een persoon. Voorbeelden van persoonsgegevens die jij, als werkgever, vaak in het bezit hebt zijn:

 • Naam
 • Adres
 • BSN-nummer
 • E-mailadres
 • Kenteken(s)
 • Bankrekeningnummer
 • IP-adres

Naast de standaard persoonsgegevens zoals hierboven beschreven, zijn er ook nog gevoelige gegevens. Deze worden de bijzondere persoonsgegevens genoemd. Dit gaat bijvoorbeeld over iemands gezondheidssituatie, strafrechtelijk verleden of godsdienst. Deze persoonsgegevens mag je als werkgever niet gebruiken tenzij je daar een wettelijke uitzondering voor hebt.

Ondernemers en de AVG

Je hebt dus al gauw te maken met de AVG. Ondernemingen krijgen meer verantwoordelijkheden voor de beveiliging van de persoonsgegevens die zij in bezit hebben. Het is ook belangrijk om aan te tonen dat een onderneming zich aan de privacyregels houdt. Het is mogelijk dat een ondernemer aanvullende verplichtingen opgelegd krijgt vanuit de AVG. Dit is afhankelijk van de grootte van de onderneming, de bedrijfsactiviteiten en de mate waarin persoonsgegevens worden verwerkt.

Verwerken van persoonsgegevens

Het verwerken van persoonsgegevens mag met invoering van de AVG niet meer zomaar. Organisaties mogen persoonsgegevens alleen verzamelen als dat noodzakelijk is voor een bepaald doel. Of als de persoon in kwestie zelf toestemming heeft gegeven. Als werkgever heb je een goede reden, ook wel grondslag, nodig voor het verzamelen van persoonsgegevens.

Breng het volgende in kaart om te bepalen welke stappen er nodig zijn om aan de eisen van de AVG te voldoen.

 • Welke persoonsgegevens verwerkt jouw bedrijf?
 • Van welke personen verwerkt jouw bedrijf persoonsgegevens?
 • Wie verwerkt de persoonsgegevens?
 • Wie hebben toegang tot de persoonsgegevens?
 • Met wie worden de persoonsgegevens gedeeld en met welk doel worden deze gedeeld?
 • Met welk doel verwerk je de persoonsgegevens?
 • Wat is de grondslag van verwerking?

Benieuwd aan welke eisen je moet voldoen om AVG-proof te zijn? Lees dan ons artikel het stappenplan rondom de privacywetgeving.

Privacybeleid

Een privacybeleid stel je op als dat in verhouding staat tot je verwerkingsactiviteiten. Ook als je niet verplicht bent om een privacybeleid op te stellen raden wij aan om dit wel te doen. Door een beleid op te stellen is het gemakkelijker om aan te tonen dat jouw organisatie zich aan de wet houdt. Stel het privacybeleid in een eenvoudige taal op die voor iedereen te begrijpen is. En zorg dat het privacybeleid in ieder geval de volgende onderdelen bevat:

 • Naam en contactgegevens van de onderneming.
 • Contactgegevens van de Functionaris voor de Gegevensbescherming (indien van toepassing).
 • Doel van de verwerking van de persoonsgegevens.
 • De bewaartermijn van persoonsgegevens.
 • Beschrijven welke beveiligingsmaatregelen worden getroffen.
 • Beschrijven hoe wordt omgegaan met een datalek.
 • De betrokkene erop wijzen dat hij/zij recht heeft op:
  – inzage, wissen en rectificatie van de persoonsgegevens;
  – dataportabiliteit (het recht om je persoonsgegevens te kunnen meenemen);
  – het intrekken van eerder gegeven toestemming;
  – klacht indienen bij de Autoriteit Persoonsgegevens.

Datalek melden

Ondanks dat je de persoonsgegevens goed beschermt kan het alsnog gebeuren dat er een datalek ontstaat. Om ervoor te zorgen dat je dan weet wat je moet doen is het verstandig om een draaiboek op te stellen. Op deze manier weet je wat er van jou verwacht wordt bij een datalek. Het is verplicht om melding te maken van het datalek bij de Autoriteit Persoonsgegevens. Ook het eventueel inlichten van de betrokkenen kan hierbij horen. Je dient een datalek binnen 72 uur te melden aan de Autoriteit Persoonsgegevens? De AVG verplicht je tevens om datalekken intern vast te leggen en te documenteren.