Persoonsgegevens zijn een aantal jaren geleden ‘heilig’ verklaard. Verwerkt u als ondernemer voor uw organisatie persoonsgegevens? Dan moet u voldoen aan bepaalde wettelijke voorschriften. Hier volgen 5 tips over hoe u als ondernemer kunt voldoen aan de AVG.
Wat is de AVG?
De AVG staat voor de Algemene Verordening Gegevensbescherming (in het Engels: GDPR). Het is een Europese wet die de regels voor de verwerking van persoonsgegevens door bedrijven en organisaties in de hele EU uniformeert en versterkt. Het hoofddoel is om individuen meer controle te geven over hun eigen persoonsgegevens. Deze wet is sinds 2018 in de hele Europese Unie van toepassing.
Waarom is de AVG er?
Het doel van de AVG is het beschermen van de privacy van personen binnen de Europese Unie door hen meer controle te geven over hun eigen persoonsgegevens. Een voorbeeld van een risico bij verkeerd gegevensbeheer is een datalek, waarbij persoonsgegevens per ongeluk of opzettelijk in verkeerde handen vallen. Denk bijvoorbeeld aan een Excel-bestand met daarin de salarisgegevens en BSN's van alle werknemers dat naar een verkeerd e-mailadres buiten de organisatie wordt gestuurd. Dit kan leiden tot identiteitsfraude t.a.v. de werknemers en vanuit de AVG tot een hoge boete voor de organisatie.
Onze 5 tips over hoe u als ondernemer kunt voldoen aan de AVG
Volg onderstaande tips en zet in 5 stappen de weg naar volledige AVG-Compliance als ondernemer.
Tip 1: Ken je gegevens en je grondslag
Controleer welke persoonsgegevens u verwerkt en classificeer ze als normaal (bijv. naam en adresgegevens), bijzonder (bijv. een medisch dossier), gevoelig (bijv. gegevens van strafrechtelijke en financiële aard). Houd hier vervolgens rekening mee bij de beveiliging.
Denk eraan dat u altijd een geldige reden (grondslag) moet hebben voor de verwerking, zoals toestemming, een overeenkomst of een wettelijke plicht. Zonder een duidelijke grondslag mag u de gegevens niet verwerken en moet u ze verwijderen (recht op vergetelheid).
Tip 2: Zorg voor ingebouwde privacy
Hanteer 'privacy by design' en 'privacy by default' door al bij het ontwerp van diensten of producten de privacy te waarborgen. Dit betekent dat standaardinstellingen privacyvriendelijk moeten zijn en u standaard alleen de strikt noodzakelijke gegevens vraagt.
Tip 3: Wees transparant en leg alles vast
Stel een verwerkingsregister op. Dat is een gedetailleerd overzicht van alle verwerkingen, doelen en bewaartermijnen van persoonsgegevens.
Zorg bovendien dat u voldoet aan de informatieplicht door een duidelijke, (online) vindbare privacyverklaring te publiceren over wat u met persoonsgegevens doet. In die verklaring moet u gemakkelijk uitleggen wat u bewaart, waarom en hoe lang. En ook hoe betrokkenen hun rechten kunnen uitoefenen (bijvoorbeeld het recht van inzage).
Tip 4: Beveilig de data en maak afspraken
U bent verplicht persoonsgegevens goed te beveiligen om een datalek en misbruik te voorkomen. Als u andere partijen inschakelt die namens uw organisatie gegevens verwerken, moet u altijd een verwerkersovereenkomst afsluiten om de beveiliging te garanderen. Uw organisatie blijft echter hoofdverantwoordelijk voor de veiligheid van de gegevens, ook als ze bij een externe partij liggen.
Tip 5: Maak privacyrechten uitoefenbaar en creëer (formeel) toezicht
U moet de mogelijkheid bieden aan personen om hun toestemming in te trekken en hun overige privacyrechten (zoals inzage of correctie) uit te oefenen. Afhankelijk van de aard van uw organisatie of de hoeveelheid verwerkte bijzondere gegevens, kan het verplicht zijn om een onafhankelijke functionaris gegevensbescherming aan te stellen (intern of extern).
Hut Accountants denkt met u mee
Als accountantskantoor voor het MKB kunnen de accountants, belastingadviseurs en salarisadministrateurs van Hut Accountants bijdragen aan de naleving van de AVG door onze klanten te adviseren over de financiële en organisatorische impact van de AVG-vereisten. Wij kunnen klanten helpen bij het controleren van het verwerkingsregister in relatie tot de administratieve processen en hen wijzen op de fiscale en juridische bewaartermijnen voor klant- en personeelsgegevens (zoals salarisadministratie), wat cruciaal is voor de AVG-naleving.
Wilt u meer weten over onze bijdrage aan uw AVG-compliance? Neem gerust eens contact met ons op.