In 9 eenvoudige stappen je bedrijf AVG-proof

In mijn vorige blog heb ik uitgelegd wat de wet AVG inhoudt. Daaruit bleek dat de wet AVG voor alle ondernemers geldt, dus ook voor jou. Niet alleen als je informatie wilt sturen. Stuur jij een offerte of een factuur, dan verwerk jij al persoonsgegevens. Nu hoor ik je denken: Ja leuk, maar nu weet ik nog niet wat wel en niet mag. De omvang van je bedrijf en de aard van de activiteiten bepalen welke AVG-maatregelen jij moet nemen. Doorloop de volgende 9 vragen, ontdek welke acties voor jou van toepassing zijn, pas die acties toe in je bedrijf en jouw bedrijf is AVG-proof.


TIP: De belangrijkste vraag die jij jezelf continu kunt stellen: heb ik deze gegevens echt nodig? En mag ik deze gegevens zomaar gebruiken of moet ik om toestemming vragen?


1. Welke persoonsgegevens verwerk je?

Persoonsgegevens zijn alle gegevens die direct over iemand gaan of die naar iemand te herleiden zijn, zoals naam, adres, telefoonnummer, e-mailadres en Burgerservicenummer. Maar ook gegevens die gekoppeld zijn aan IP-adressen en cookies.

Naast de ‘gewone’ persoonsgegevens zijn er ook bijzondere persoonsgegevens. Dit zijn gegevens die gaan over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.


2. Waarom heb jij deze gegevens nodig?

Je mag alleen persoonsgegevens verwerken als je deze nodig hebt om je doel te bereiken en het echt niet anders kan. Je moet dus een goede reden hebben en die kunnen uitleggen. In de wet AVG wordt gesproken over 6 grondslagen:

  • U heeft toestemming van de persoon waar het omgaat.
  • Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
  • Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
  • Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
  • Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
  • Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.


3. Heb je een functionaris gegevensbescherming nodig?

Er zijn organisaties die verplicht zijn een functionaris voor de gegevensbescherming aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Deze functionaris is verplicht bij:

  • overheden en publieke organisaties.
  • organisaties en bedrijven die vanuit hun hoofdactiviteiten personen volgen. Denk hierbij aan cameratoezicht en monitoring van iemands gezondheid via wearables (smartwatches, sporthorloges en activity trackers).
  • organisaties en bedrijven die bijzondere persoonsgegevens verwerken en voor wie dit een hoofdactiviteit is. Bijzondere persoonsgegevens zijn gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.


4. Ben je verplicht een verwerkingsregister te hebben?

In een verwerkingsregister neem je op welke persoonsgegevens je gebruikt, voor welk doel, waar je ze opslaat en met wie je ze eventueel deelt. Je bent verplicht om met een register te werken als jouw organisatie:

  • persoonsgegevens verwerkt waarvan de verwerking meer dan incidenteel is.
  • risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen.
  • meer dan 250 medewerkers heeft.


5. Werk je volgens ‘privacy by design’ en ‘privacy by default’?

Privacy by design betekent letterlijk: gegevensbescherming door ontwerp. Het houdt in dat er al bij de ontwikkeling van producten en diensten nagedacht wordt over privacy. Je kunt je bijvoorbeeld afvragen of het voor het product of de dienst écht nodig is om persoonsgegevens te verwerken (bijvoorbeeld het vragen naar de geboortedatum) of misschien kan er wel gewerkt worden met volledig anonieme gegevens.

Privacy by default betekent dat de standaardinstellingen altijd zo privacy vriendelijk mogelijk zijn. Je moet er bijvoorbeeld voor zorgen [MC3] dat persoonsgegevens nooit standaard openbaar zichtbaar zijn.

Waar vaak verwarring over is, is het volgende voorbeeld. Je hebt een weggever die aangevraagd kan worden. Door het invullen van een (web)formulier geeft die persoon zijn naam en emailadres. Je wilt hem/haar ook de mogelijkheid geven om zich meteen in te schrijven voor je nieuwsbrief. Jij mag dan niet vooraf dit vakje al aangevinkt hebben.


6. Moet je een data protection impact assessment (DPIA) uitvoeren?

Wanneer je een nieuw systeem implementeert of aanpast, kun je een DPIA uitvoeren. Met een DPIA beoordeel je of er mogelijke risico’s zijn in dit systeem bij het bewaren van persoonsgegevens. Een DPIA is verplicht als:

  • bijzondere persoonsgegevens als ras, godsdienst, gezondheid, politieke opvattingen, genetische of biometrische gegevens worden verwerkt.
  • op grote schaal en systematisch mensen worden gevolgd in openbare gebieden, bijvoorbeeld met cameratoezicht.
  • gegevens zo gecombineerd worden, dat iemand in een bepaalde categorie of groep is in te delen en daardoor zo kan worden benaderd of beoordeeld (profilering).


7. Zijn de persoonsgegevens veilig bij jouw bedrijf?

In de AVG staat dat je persoonsgegevens goed moet beveiligen. Bepaal welke technische en organisatorische maatregelen je nodig hebt om ervoor te zorgen dat de persoonsgegevens veilig zijn bij jouw bedrijf. Denk aan goede wachtwoordbeveiliging op je verschillende devices. Zorg dat je software up to date is. Laat je laptop, telefoon, e.d. nooit onbeheerd achter. Maak regelmatig back-ups.


8. Heb jij een goede verwerkersovereenkomst?

Sluit een verwerkersovereenkomst af met partijen die persoonsgegevensverwerking voor jou uitvoeren, dus ook je boekhouder of een Virtual Assistant. Je moet als ondernemer zeker zijn dat de data die gebruikt wordt veilig is. In een verwerkersovereenkomst regel je dat die derde partij zorgvuldig met de persoonsgegevens omgaat. En zich bovendien netjes houdt aan de afspraken die jij met de betrokkenen daarover maakt.


9. Heb je al een privacyverklaring in eenvoudige taal?

Je klanten hebben veel rechten op het gebied van privacy. Zorg ervoor dat zij gemakkelijk van die rechten gebruik kunnen maken. Maak een privacyverklaring in eenvoudige taal. Zet daarin wat je doet met persoonlijke gegevens. Waarvoor je de gegevens gebruikt. Waarom dat belangrijk is voor je klanten. En hoe lang je de gegevens bewaart. Zorg dat deze verklaring makkelijk te vinden is op je website.


Door deze 9 vragen te beantwoorden en uiteraard ook uit te voeren in je bedrijf, als dat nodig is, zijn jij en je bedrijf AVG-proof. Wees je er altijd van bewust dat je met gevoelige data werkt als het om persoonsgegevens gaat.


Denk je nog niet genoeg te weten over de AVG? Via deze link kom je op de website van Autoriteit Persoonsgegevens. Daar kun je nog veel meer informatie vinden.


Wil je hulp bij het AVG-proof maken van jouw bedrijf? Stuur mij e-mail of neem contact op via het contactformulier op mijn website. We maken een vrijblijvende afspraak om te bespreken waar ik je bij kan helpen.