Wat is de Algemene Verordening Gegevensbescherming (AVG) en op wie is deze juist van toepassing? Sinds 2018 is dit de basis van de privacywetgeving, maar hoe ben je nu zeker dat je compliant bent? In dit artikel bekijken we dit in detail, zodat je op de hoogte bent en je bedrijf zeker niet in de problemen komt.
Wat is de AVG?
De afkorting AVG staat voor Algemene Verordening Gegevensbescherming. Dit is de basis van de privacywetgeving in de Europese Unie, die op 25 mei 2018 in gang is getreden. Deze wet bevat alle verplichtingen van bedrijven binnen de EU die gegevens van klanten opvragen, gebruiken en opslaan. Met de intrede van deze wet werden er strengere regels ingevoerd qua verwerking van persoonsgegevens. Klanten hebben steeds meer controle over hoe je als bedrijf hun gegevens kan gebruiken.
In het algemeen geldt de regel dat je telkens de uitdrukkelijke toestemming van de klant moet vragen om eender welke persoonlijke gegevens op te slaan of gebruiken als bedrijf. Dit gaat niet enkel om contactgegevens van je klanten, maar ook bijvoorbeeld om de cookies die je op je website gebruikt.
Bij Zendesk, bijvoorbeeld, bespreekt ons team met elke klant persoonlijk de AVG-implicaties van al onze oplossingen zodat je altijd compliant bent met de wetgeving, en er zeker van bent dat je klantengegevens 100% veilig zijn bij al onze software.
Op wie is de AVG van toepassing?
De Algemene Verordening Gegevensbescherming is van toepassing op alle bedrijven en ondernemers die in de EU actief zijn. Dit gaat in de praktijk over bijna elke ondernemer, wat je ook doet – tandarts, sportzaal, webshop, enz. Iedereen die gegevens verzamelt over klanten moet compliant zijn aan de AVG, en dus ook uitdrukkelijke schriftelijke toestemming vragen tot het bewaren en verwerken van de gegevens van de klant. Niet enkel het bewaren van klantgegevens, maar ook alles wat met online klantgedrag (zoals het gebruik van cookies) te maken heeft, moet dus volgens de AVG-regels verwerkt worden.
De toezicht op de naleving van de AVG in Nederland wordt uitgevoerd door de AP (Autoriteit Persoonsgegevens). De AP is een onafhankelijke toezichthouder die ervoor zorgt dat de bescherming van persoonsgegevens wordt nageleefd. Ze behandelen privacy-klachten en geven ook voorlichting over de privacywet.
Hoe zorg je ervoor dat je compliant bent?
In theorie mag je volgens de AVG enkel informatie opslaan die je nodig hebt om je activiteit uit te voeren. Heb je een webshop? Dan heb je natuurlijk de contactgegevens en het adres van je klant nodig om de pakketjes goed te laten aankomen. Je moet sowieso altijd de uitdrukkelijke toestemming van de klant hebben hiervoor.
Houd er rekening mee dat je niet alle informatie over je klant mag opslaan. Informatie over de gezondheid, ras, religie, het strafblad van iemand, enz. mag niet worden gebruikt, tenzij je hiervoor een uitdrukkelijke uitzondering hebt verkregen. Een hospitaal mag natuurlijk wel gegevens over je gezondheid opslaan, maar een webshop zeker niet.
Indien je gegevens verwerkt die een hoog privacy risico hebben, moet je ook verplicht een data protection impact assessment uitvoeren. Aan de hand hiervan kan je het risico bepalen van de privacy van deze gegevens, en eventueel extra middelen ondernemen zodat dit risico omlaag gaat.
De AVG legt ook het bijhouden van een verwerkingsregister op. Hierin worden niet enkel gegevens van klanten, maar ook personeel, leveranciers, partners, enz. opgeslagen. De klant heeft in principe op elk moment het recht om de gegevens die je hebt opgeslagen in te kijken, en te vragen om deze te verwijderen. Hiervoor heb je het verwerkingsregister nodig, zodat je deze gegevens kan verwijderen/aanpassen.
De klanten moeten een privacyverklaring kunnen inkijken met hun rechten, een duidelijke opsomming van alle informatie die je gaat bewaren/verwerken, hoe lang je deze informatie bewaart, enz. Bij online ondernemingen moet deze informatie verplicht op de website gepubliceerd zijn. Bij fysieke bedrijven moet de klant deze informatie ook op elk moment kunnen inzien.
Welke persoonsgegevens bewaart jouw bedrijf?
Om er zeker van te zijn dat je AVG-compliant bent, is het handig om eerst en vooral een overzicht te maken van alle gegevens die je opslaat. Niet enkel gegevens over klanten, maar ook over personeel, leveranciers, business relaties, etc. Dubbelcheck ook zeker of al deze informatie wel degelijk nodig is voor de relatie die je met hen hebt, en of deze informatie niet verboden is om op te slaan (zoals religie of politieke overtuiging).
Mogelijke boetes
De AP heeft het recht om waarschuwingen en berispingen uit te delen, en in een verdere instantie ook boetes op te leggen wanneer de AVG-regelgeving niet voldoende wordt nageleefd. Deze boetes kunnen flink oplopen, maar hangen af van de graad van overtreding en de grootte van je onderneming. In elk geval is het zeker beter om te voorkomen dan te genezen.
Een voorbeeld van een van de hogere boetes die opgelegd werden in het verleden is die van luchtvaartmaatschappij Transavia. Het bedrijf nam niet de nodige maatregelen om de persoonsgegevens van haar passagiers te beveiligen, waardoor in 2019 een hacker de database kon binnendringen. Niet enkel had de hacker hierdoor toegang tot de gegevens van 25 miljoen klanten, ook heeft hij/zij de gegevens van zo’n 83.000 klanten gedownload. De boete bedroeg €400.000.