Inmiddels is de AVG een begrip waar iedere ondernemer rekening mee moet houden. Als u iets doet met persoonsgegevens, is de AVG namelijk van toepassing. Hoe zit het ook alweer met het verwerken van persoonsgegevens?
Soorten en maten persoonsgegevens.
U heeft gegevens van uw klanten, van uw leveranciers en van uw medewerkers. Denk daarbij bijvoorbeeld ook aan de stapel visitekaartjes die u heeft ontvangen tijdens het zakendoen. Mag u deze gegevens gewoon in een Excelsheet zetten? En mag u deze Excelsheet vervolgens naar een collega-ondernemer sturen, zodat ook hij deze mensen kan benaderen voor een eventuele deal? Welke regels gelden er?
1. Bepaal een doel
Bedenk al bij het verzamelen van de gegevens waarom en voor welk doel u de persoonsgegevens wilt verzamelen en verwerken. In het voorbeeld van de visitekaartjes mag u deze dus niet verzamelen, omdat ze misschien ooit van pas komen. Uw doel moet van meet af aan precies duidelijk zijn.
2. Alleen noodzakelijke gegevens
Vraag uzelf af of het noodzakelijk is voor dit doel om deze gegevens te verzamelen. U mag bijvoorbeeld van uw werknemers weten wat hun BSN is. Dit heeft u immers nodig voor uw loonadministratie. Van uw klanten heeft u deze gegevens echter niet nodig.
3. Zorg voor een grondslag
U moet een goede reden, oftewel een grondslag zoals genoemd in de AVG, hebben om persoonsgegevens te verwerken. De AVG-grondslagen zijn:
- U heeft persoonsgegevens nodig om de overeenkomst uit te voeren, bijvoorbeeld voor de levering van uw producten heeft u een huisadres nodig.
- Soms bent u bij wet verplicht om persoonsgegevens te verwerken. Denk daarbij aan de loonadministratie en de daaraan verbonden loonbelasting.
- Als u een gerechtvaardigd belang heeft, mag u persoonsgegevens verwerken, bijvoorbeeld bij het opsporen van fraude binnen uw bedrijf. Dit is echter geen grondslag waarop u zich makkelijk kan beroepen.
- Als u toestemming heeft voor de verwerking van persoonsgegevens, mag u de persoonsgegevens verwerken.
4. Informeer de betrokkene
Als u op basis van het voorstaande de persoonsgegevens mag verwerken, dan is het van groot belang dat u ook de betrokkene informeert. Dit kan bijvoorbeeld door een privacyverklaring op uw website. Daarin geeft u aan dat u persoonsgegevens verwerkt en wat u met de gegevens doet.
5. Registreer
U moet de verwerkingen van persoonsgegevens die u doet in uw verwerkingsregister opnemen. Schrijf daarnaast ook op, op basis van welke grondslag u verwerkt en wat het doel is van de verwerking. Mocht er dan ooit een probleem zijn met de verwerkte persoonsgegevens, dan kunt u in ieder geval aangeven welke keuzes u ten tijde van het starten van het verwerken heeft gemaakt. Dat kan boeteverlagend werken.
U kunt meer over de AVG lezen op de website van de Rijksoverheid (klik hier). Als u lid bent van een branchevereniging kunt u daar meer informatie vinden voor uw sector.