Iedereen heeft recht op privacy. Dat betekent dat je gegevens niet zomaar gedeeld of gebruikt mogen worden. Om dat recht te beschermen, is er in Nederland een speciale wet. Die heet de Algemene verordening gegevensbescherming, of kort: de AVG. Deze wet geldt sinds 2018 in heel Europa. In dit artikel lees je wat deze wet inhoudt, waarom hij belangrijk is en wat jij of je bedrijf ermee moet doen.
Wat is de AVG
De AVG is een privacywet. Deze wet zegt dat bedrijven en organisaties zorgvuldig met persoonsgegevens moeten omgaan. Persoonsgegevens zijn alle gegevens die iets zeggen over een persoon. Denk aan:
- Voor- en achternaam
- Adres en telefoonnummer
- E-mailadres
- Geboortedatum
- IP-adres
- Bankgegevens
- Medische gegevens
- Foto’s of video’s
Als je als organisatie zulke gegevens gebruikt, moet je daar goede afspraken over maken. Je moet ook uitleggen wat je ermee doet en waarom.
Voor wie geldt de AVG
De AVG geldt voor iedereen die persoonsgegevens verwerkt. Dit zijn vooral:
- Bedrijven
- Scholen
- Overheidsinstellingen
- Zorginstellingen
- Sportverenigingen
- Webshops
- ZZP’ers
Dus ook als je een kleine onderneming hebt, moet je je aan de regels houden. Het maakt niet uit of je alleen werkt of met honderd collega’s. Zodra je gegevens opslaat van klanten, medewerkers of bezoekers, geldt de AVG.
Wat zijn de belangrijkste regels
De AVG heeft een aantal belangrijke regels. Als je persoonsgegevens verwerkt, moet je:
- Duidelijk uitleggen wat je met de gegevens doet
- Alleen gegevens verzamelen die je echt nodig hebt
- De gegevens veilig bewaren
- De gegevens niet langer bewaren dan nodig is
- Mensen laten weten wat hun rechten zijn
- Zorgen dat mensen hun gegevens kunnen aanpassen of verwijderen
- Een verwerkersovereenkomst afsluiten met andere partijen die voor jou met gegevens werken
Je moet dus goed nadenken over wat je bewaart en waarom. Het gaat niet alleen om de regels, maar ook om respect voor iemands privacy.
Wat zijn de rechten van mensen onder de AVG
Mensen hebben onder de AVG verschillende rechten. Als organisatie moet je deze rechten respecteren. Iedereen heeft recht op:
- Inzage: mensen mogen hun gegevens opvragen
- Correctie: mensen mogen fouten laten aanpassen
- Verwijdering: mensen mogen vragen om hun gegevens te verwijderen
- Beperking: mensen mogen vragen om minder gegevens te gebruiken
- Overdraagbaarheid: mensen mogen vragen om hun gegevens door te sturen
- Bezwaar: mensen mogen bezwaar maken tegen het gebruik van hun gegevens
Als iemand een verzoek doet, moet je daar meestal binnen één maand op reageren.
Wat gebeurt er als je je niet aan de AVG houdt
De Autoriteit Persoonsgegevens (AP) controleert of organisaties zich aan de regels houden. Als je je niet aan de AVG houdt, kun je een waarschuwing of boete krijgen. Die boetes kunnen hoog zijn, soms wel tienduizenden euro’s. Vooral als je gegevens lekt of niets hebt geregeld. Maar vaak krijg je eerst een kans om dingen aan te passen. Het doel van de wet is niet straffen, maar zorgen dat iedereen netjes met gegevens omgaat.
Wat moet je als organisatie regelen
Als je persoonsgegevens verwerkt, moet je goed voorbereid zijn. Dat begint met een paar stappen:
1. Maak een overzicht van je gegevens
Noteer welke persoonsgegevens je verzamelt, waarom en waar je ze opslaat. Denk ook aan hoe lang je ze bewaart.
2. Schrijf een privacyverklaring
Leg in duidelijke taal uit wat je met de gegevens doet. Deze verklaring zet je bijvoorbeeld op je website.
3. Sluit verwerkers overeenkomsten af
Werk je met andere partijen, zoals een boekhouder of IT-bedrijf? Dan moet je een overeenkomst hebben waarin staat hoe zij met gegevens omgaan.
4. Zorg voor beveiliging
Beveilig je systemen met wachtwoorden, virusscanners en eventueel versleuteling. Werk je met papieren dossiers? Berg deze dan goed op.
5. Geef je personeel uitleg
Als je met collega’s werkt, moeten zij ook weten wat de regels zijn. Geef uitleg over veilig omgaan met gegevens.
6. Meld datalekken als dat nodig is
Gaat er iets mis, bijvoorbeeld een gestolen laptop of fout verzonden e-mail? Dan moet je dit soms melden bij de Autoriteit Persoonsgegevens.
Voorbeelden van situaties waarin de AVG geldt
De AVG geldt vaker dan je denkt. Hier zijn een paar voorbeelden:
- Je hebt een webshop en verzamelt e-mails en adressen
- Je stuurt nieuwsbrieven naar klanten
- Je bewaart de telefoonnummers van leden van je sportclub
- Je gebruikt camerabeelden in je winkel
- Je houdt klantinformatie bij in een Excel-bestand
In al deze gevallen moet je goed weten wat je doet met de gegevens. En je moet het netjes regelen volgens de wet.
Hoe lang mag je gegevens bewaren
Je mag persoonsgegevens niet voor altijd bewaren. Hoe lang je ze mag bewaren, hangt af van het doel. Voor sommige gegevens gelden vaste termijnen. Voor anderen moet je zelf een redelijke tijd kiezen.
Voorbeelden:
- Sollicitatiegegevens: meestal 4 weken tot 1 jaar
- Facturen: 7 jaar (vanwege de Belastingdienst)
- Klantinformatie: zolang als nodig voor de dienstverlening
Zodra je de gegevens niet meer nodig hebt, moet je ze veilig verwijderen.
Waarom is de AVG belangrijk
De AVG zorgt ervoor dat mensen grip houden op hun eigen gegevens. In een tijd waarin bijna alles digitaal is, is dat belangrijk. De wet beschermt mensen tegen misbruik van hun informatie. Denk aan spam, reclame zonder toestemming of diefstal van gegevens. Voor bedrijven is het ook een kans om te laten zien dat ze netjes en veilig werken. Als klanten weten dat hun gegevens goed worden behandeld, geeft dat vertrouwen.
Iedereen moet zich aan de regels houden
De wet AVG geldt voor iedereen die werkt met persoonsgegevens. Of je nu een groot bedrijf bent of een eenmanszaak. Door goed na te denken over wat je bewaart, hoe je het bewaart en waarom, voorkom je problemen. De regels zijn soms best veel, maar ze zorgen voor duidelijkheid en bescherming. Zo help je jezelf én de mensen met wie je werkt.
