Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden. Alle organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De AVG is dus niet alleen van toepassing op grote bedrijven en organisaties, maar ook op jou als zelfstandig ondernemer. Uitgangspunt van de wetgeving is dat je op een juiste manier omgaat met persoonsgegevens. Wij hebben een stappenplan opgesteld, waardoor je aan de AVG kunt voldoen.
- Bewustwording Bijna iedere ondernemer verwerkt persoonsgegevens. Je verwerkt namelijk al persoonsgegevens bij het versturen van een offerte of factuur. Het is dus belangrijk om bewust na te denken welke persoonsgegevens je als ondernemer verwerkt.
- Voldoe je aan een van de zes grondslagen? Om persoonsgegevens te verwerken moet je je kunnen beroepen op één van de zes grondslagen die zijn opgesteld door de Autoriteit Persoonsgegevens. Deze staan onderaan in de afbeelding weergegeven.
- Informeer je klanten Informeer je klanten dat je persoonsgegevens verwerkt en op welke wijze je dat doet. Dit kan door middel van een privacy statement. De informatie over het doel van de verwerking kun je overigens niet opnemen in de algemene voorwaarden, maar dient te worden verstrekt via een aparte toestemmingsclausule, waarin de betrokkene expliciet bevestigt dat hij of zij hiermee akkoord gaat. Personen waarvan je gegevens verwerkt hebben het recht om de gegevens te laten aanpassen of verwijderen.
- Maak een register Documenteer welke persoonsgegevens je verwerkt en met welk doel, waar deze gegevens vandaan komen en met wie je ze deelt. Belangrijk is de wijze waarop je de toestemming van je klanten vraagt, krijgt en registreert.
- Sluit verwerkersovereenkomsten Als je andere partijen inschakelt om persoonsgegevens voor jou te verwerken, moet je met deze organisaties een verwerkersovereenkomst afsluiten. Met een verwerkersovereenkomst sluit je uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken.
- Nieuwsbrief Maak bij de aanmelding voor de nieuwsbrief voor alles wat je wilt doen een apart vinkje. Wil je ook een jaarlijkse mailing per post sturen? Vraag daar dan apart toestemming voor. Je mag geen vinkjes automatisch aanzetten.
- Cookiemelding Vertel klanten precies waar je cookies voor gebruikt. Is het bijvoorbeeld om formulieren te kunnen opslaan of bezoeker ingelogd te houden? Of volg je klanten ook om gerichte advertenties aan te bieden? Bezoekers moeten die ook apart kunnen zien en aan- of uitzetten.
- Rapporteer datalekken De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan je eigen registratie van de datalekken die zich in jouw organisatie hebben voorgedaan. Je moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of je aan de meldplicht hebt voldaan.