Persoonsgegevens zijn een aantal jaren geleden ‘heilig’ verklaard. Verwerkt u als ondernemer voor uw organisatie persoonsgegevens? Dan moet u voldoen aan bepaalde wettelijke voorschriften. Hier volgen 5 tips over hoe u als ondernemer kunt voldoen aan de AVG.
Wat is de AVG?
De AVG staat voor de Algemene Verordening Gegevensbescherming (in het Engels: GDPR). Het is een Europese verordening met wetgevende werking, die de verwerking van persoonsgegevens door bedrijven en organisaties in de hele EU uniformeert. Het hoofddoel is om individuen meer controle te geven over hun eigen persoonsgegevens. Deze verordening is sinds mei 2016 in de hele Europese Unie van kracht en sinds 2018 wordt er actief gehandhaafd.
Waarom is de AVG er?
Het doel van de AVG is een veilige verkeer van persoonsgegevens binnen de Europese Unie mogelijk te maken en betrokkenen controle te geven over hun eigen persoonsgegevens. Een voorbeeld van een risico bij verwerking van persoonsgegevens is een datalek, waarbij persoonsgegevens per ongeluk of opzettelijk in verkeerde handen vallen. Denk bijvoorbeeld aan een Excel-bestand met daarin de salarisgegevens en BSN's van alle werknemers dat naar een verkeerd e-mailadres buiten de organisatie wordt gestuurd. Dit kan leiden tot identiteitsfraude t.a.v. de werknemers en vanuit de AVG tot een hoge boete voor de organisatie.
Onze 5 tips over hoe u als ondernemer kunt voldoen aan de AVG
Volg onderstaande tips en zet in 5 stappen de weg naar volledige AVG-Compliance als ondernemer.
Tip 1: Ken je gegevens en je grondslag
Controleer welke persoonsgegevens u verwerkt en classificeer ze als normaal (bijv. naam en adresgegevens), bijzonder (bijv. een medisch dossier, strafrechtelijk of politieke voorkeur). Houd hier vervolgens rekening mee bij de beveiliging.
Denk eraan dat u altijd een geldige reden (grondslag) moet hebben voor de verwerking, zoals toestemming, een overeenkomst of een wettelijke plicht. Zonder wettelijke grondslag mag u de gegevens niet verwerken (onbevoegde verwerking).
Tip 2: Zorg voor ingebouwde privacy
Hanteer 'privacy by design' en 'privacy by default' door al bij het ontwerp van diensten of producten de privacy te waarborgen. Dit betekent dat standaardinstellingen privacyvriendelijk moeten zijn en u standaard alleen de noodzakelijke gegevens verwerkt. Hanteer hierbij het uitgangspunt: “Nice to have, or Need to know”. Gegevens verwerken -alleen omdat het handig kan zijn- is niet toegestaan.
Tip 3: Wees transparant en leg alles vast
Stel een verwerkingsregister op. Dat is een gedetailleerd overzicht van alle verwerkingen, doelen, grondslag en bewaartermijnen van persoonsgegevens.
Zorg bovendien dat u voldoet aan de informatieplicht door een duidelijke, (online) vindbare privacyverklaring te publiceren over wat u met persoonsgegevens doet. In die verklaring moet u gemakkelijk uitleggen wat u bewaart, waarom en hoe lang. En ook hoe betrokkenen hun rechten kunnen uitoefenen (bijvoorbeeld het recht van inzage en vernietiging).
Tip 4: Beveilig de data en maak afspraken
U bent verplicht persoonsgegevens goed te beveiligen om een datalek te voorkomen. Als u andere partijen inschakelt die namens uw organisatie gegevens verwerkt, moet u altijd een verwerkersovereenkomst afsluiten. In deze verwerkersovereenkomst legt u afspraken af over bijvoorbeeld de beveiliging, uitvoering van rechten van betrokkenen en aansprakelijkheid. Uw organisatie blijft echter hoofdverantwoordelijk voor de veiligheid van de gegevens, ook als ze bij een externe partij liggen.
Tip 5: Maak privacyrechten uitoefenbaar en creëer (formeel) toezicht
U moet de mogelijkheid bieden aan personen om hun toestemming in te trekken en hun overige privacyrechten (zoals inzage of correctie) uit te oefenen. Afhankelijk van de aard van uw organisatie of de mate van verwerking van (bijzondere) gegevens, kan het verplicht zijn om een onafhankelijke functionaris gegevensbescherming aan te stellen (intern of extern).
Hut Accountants denkt met u mee
Als accountantskantoor voor het MKB kunnen de accountants, belastingadviseurs en salarisadministrateurs van Hut Accountants bijdragen aan de naleving van de AVG door onze klanten te adviseren over de financiële en organisatorische impact van de AVG-vereisten. Wij kunnen klanten helpen bij het controleren van het verwerkingsregister in relatie tot de administratieve processen en hen wijzen op de fiscale en juridische bewaartermijnen voor klant- en personeelsgegevens (zoals salarisadministratie), wat cruciaal is voor de AVG-naleving.
Wilt u meer weten over onze bijdrage aan uw AVG-compliance? Neem gerust eens contact met ons op.