De nieuwe Algemene Verordening inzake Gegevensbescherming (General Data Protection Regulation) treedt op 25 mei 2018 in werking. De bijbehorende regels zijn van toepassing op alle bedrijven en organisaties die persoonsgegevens verwerken in de EU. Voor jou als ondernemer is het dus belangrijk dat je de juiste processen in werking heeft gesteld zodat jouw persoonlijke gegevens correct verwerkt. In dit artikel geven we je een overzicht van de belangrijkste aspecten van de nieuwe Algemene Verordening Gegevensbescherming en hoe je daar in jouw onderneming mee om moet gaan. Ook is er een korte checklist die je kunt overlopen zodat u voor mei 2018 voldoet aan de wetgeving rondom de AVG.

Vind hier jouw boekhouder

Wat betekent GDPR?

Er zijn verschillende redenen voor het besluit van de EU om de nieuwe Algemene Verordening Gegevensbescherming (GDPR) te implementeren. Zo is het ethisch verantwoord; je wilt natuurlijk de privacy van uw klanten beschermen. Daarnaast speelt ook de economie een grote rol. De EU verwacht namelijk dat het invoeren van deze regelgeving zal leiden tot meer consumentenvertrouwen in de (online) markt. Dit zou dan weer leiden tot de groei van de internationale handel.

Is het belangrijk om de GDPR te volgen?

Als je niet voldoet aan de regels van de GDPR, zul je door de EU op de vingers worden getikt. Hoewel een bedrijf in bepaalde gevallen alleen een waarschuwing kan krijgen, kan een bedrijf ook een boete krijgen in het geval van ernstige en herhaalde niet-naleving van de regelgeving. Deze boete kan oplopen tot €20 miljoen of 4% van de jaarlijkse omzet. Ook kan het resulteren in een geforceerde sluiting van jouw onderneming.

Op wie heeft de GDPR invloed?

De wetgeving heeft betrekking op alle bedrijven - groot, klein, en alles daartussenin. Ook hebben de regels niet alleen te maken met informatie over klanten of zakelijke partners, maar ook werknemers. Dit betekent dus dat alle bedrijven op een of andere manier beïnvloed worden. Wel heeft de verordening vooral invloed op bedrijven die continu gegevens verzamelen of gevoelige gegevens behandelen. Daar komen we later nog op terug.

Aangezien je dus sowieso met deze verordening te maken krijgt, is het belangrijk dat u op de hoogte bent van jouw huidige procedures en zo snel mogelijk de noodzakelijke wijzigingen doorvoert. Hieronder volgt een overzicht van hoe je ervoor kunt zorgen dat jij in jouw bedrijf bent voorbereid op de wijzigingen die horen bij de EU GDPR.

Ageras is een ontmoetingsplaats voor boekhouders, accountants en bedrijven. Ons platform is gebaseerd op uw behoeften als ondernemer en wij vinden graag een geschikte boekhouder of accountant voor je - gratis en vrijblijvend.

Ontvang gratis 3 offertes

Controleer uw huidige database

Bekijk en documenteer welke informatie je al heeft opgeslagen en wat voor soort informatie dit is. De grondslag van de GDPR is namelijk dat het niet meer toegestaan is om persoonlijke gegevens te bewaren. Dit betekent niet dat er absoluut geen gegevensverzameling meer mogelijk is, maar de motieven hiervoor moeten ondersteund worden door de wet. Laten we kijken wat dit inhoudt:

Relevantie van de gegevens

Veel bedrijven hebben historische werknemers- en klantgegevens die alleen stof vangen in het (digitale) archief. Volgens de nieuwe verordening mogen persoonlijke gegevens niet langer dan noodzakelijk bewaard worden, wat betekent dat je informatie over voormalige werknemers en klanten van het bedrijf moet verwijderen. Heb je nog verplichtingen tegenover een betrokken persoon? Dan geldt hierop een uitzondering.

De aard van de gegevens

Het is ook belangrijk om een onderscheid te maken tussen de soort gegevens die opgeslagen en verwerkt worden. Zo maakt de EU GDPR onderscheid tussen “persoonlijke gegevens” en “gevoelige persoonlijke gegevens”. Het verwerken van gevoelige persoonlijke gegevens is verboden, tenzij de behandeling van dit soort gegevens van cruciaal belang is voor jouw bedrijf. Hierbij kun je denken aan een zorgbedrijf dat patiëntendossiers verwerkt.

Gegevens met betrekking tot de volgende zaken worden als gevoelig beschouwd:

  • Afkomst
  • Religie
  • Lidmaatschap van vakbonden
  • Politieke overtuigingen
  • Gezondheid
  • Seksualiteit

Als jouw bedrijf gevoelige gegevens verwerkt die in één of meer van de bovenstaande categorieën vallen, is een strengere privacy vereist. Gevoelige gegevens die niet relevant zijn voor jouw bedrijf mogen niet langer worden bewaard.

Vergelijk nu 3 boekhouders

Wanneer is het legaal om persoonlijke informatie te verwerken?

Toestemming

Je kunt persoonsgegevens verwerken als de betrokken persoon hiervoor toestemming heeft gegeven. Om ervoor te zorgen dat toestemming als geldig wordt beschouwd, moet je de persoon duidelijk informeren welke informatie wordt verzameld, welke informatie wordt verwerkt, en waarvoor de informatie wordt gebruikt. Ook moet het mogelijk zijn om na het instemmen van mening te veranderen en de toestemming terug te draaien. Je moet de persoon dan ook informeren hoe hij of zij dit moet doen.

De EU geeft geen nauwkeurige beschrijvingen van de manier waarop toestemming moet worden verleend, maar het belangrijkste is dat het op een duidelijke manier wordt gedaan waardoor geen misverstanden kunnen ontstaan. Alleen door een tekst scrollen die deze informatie geeft is niet meer voldoende. Een knop waarmee je expliciet om toestemming vraagt daarentegen, is genoeg. Ook moet je ervoor zorgen dat de informatie die tot goedkeuring leidt, direct beschikbaar is én makkelijk te begrijpen is - complexe begrippen moeten dus worden vermeden.

Het is niet genoeg dat een persoon ermee instemt om de gegevens op te slaan. Je moet ook een bewijs van toestemming opslaan. De EU geeft wel vrijheid in het ontwerpen van systemen die dit als functie hebben. De belangrijkste richtlijn hier is dat het opslaan van de toestemming niet leidt tot meer gegevensopslag voor jou.

Overeenkomst

Een andere geldige reden voor het verwerken van persoonlijke gegevens is als je een overeenkomst heeft met de persoon. Denk je hierbij aan een arbeidsrelatie of facturering. De regels van de GDPR bepalen opnieuw dat alleen de informatie die nodig is om aan de afspraken te voldoen opgeslagen mag worden.

Vind hier jouw boekhouder

Wettelijke verplichting

In sommige gevallen is een bedrijf wettelijk verplicht om bepaalde gegevens te verwerken. Een voorbeeld hiervan is de betaling van belastingen of werkgeverskosten. In dit geval heb je als werkgever dus informatie nodig zoals thuisadressen.

Bescherming van vitale informatie

Sommige gegevens zijn vereist om de veiligheid van een persoon te waarborgen. In dit geval kun je toestemming hebben om persoonlijke gegevens op te slaan of te verwerken. Dit kan bijv. als je een medewerker heeft met een levensbedreigende allergie.

De belangenafweging

Weegt het belang van de organisatie om gegevens te verzamelen zwaarder door dan het belang van een individu om anoniem te blijven? In een dergelijke situatie kan de verzameling van persoonlijke gegevens gerechtvaardigd zijn. Dit is gebaseerd op de zogenaamde belangenafweging. Hoe dit te werk gaat is enigszins vaag en om die reden kun je het beste een expert inschakelen om te kijken of je in “compliance” bent met de GDPR.

Maak een register voor de algemene verordening gegevensbescherming

De nieuwe wet AVG vereist dat bedrijven die continu gegevens verzamelen een register aanmaken voor de verwerking van de gegevens. In een dergelijk register moet je de doeleinden van de verwerking vermelden, de categorieën persoonsgegevens die je verzamelt en mogelijke termijnen voor het wissen van de verzamelde gegevens. Ook moet je hier externe ontvangers van de gegevens registreren en het land waarin zij zich bevinden.

Voor de volledige regel- en wetgeving verwijzen wij je graag door naar de handleiding algemene verordening gegevensbescherming van het ministerie van Justitie en Veiligheid.

Checklist AVG GDPR

Inhoud