AVG privacywetgeving

Wat je moet weten over de nieuwe privacywet AVG

Het is je vast niet ontgaan, er is een hoop te doen over de General Data Protection Regulation (GDPR) die op 25 mei 2018 ingaat. De Nederlandse naam voor deze nieuwe privacywetgeving is Algemene Verordening Persoonsgegevens (AVG).

Deze Europese wet vervangt alle nationale wetgeving rond privacy en is in het leven geroepen om de privacy van alle Europese burgers (nog meer) te beschermen. Onderstaand verhaal pretendeert niet compleet te zijn, maar geeft een beeld van wat je te doen staat als kleine ondernemer.

Geldt die AVG ook voor mij?

Zodra je gegevens opslaat van je klanten en prospects (je potentiële klanten) ben je daar als ondernemer verantwoordelijk voor en heb je te maken met AVG.

Het is belangrijk dat je zorgvuldig omgaat met de gegevens van je klanten en prospects (ik noem ze verder relaties). Communiceer helder over waar je deze gegevens vandaan haalt, hoe je ze gebruikt, opslaat en verwijdert. Als je volkomen transparant bent over je (online) bedrijfsprocessen, laat je zien dat je de privacy van je relatie respecteert en dat hij zijn gegevens met een gerust hart aan je kan toevertrouwen.

Als je je niet aan de wet houdt, hangt er een fikse boete boven je hoofd: 4% van je jaaromzet tot een maximum van 20 miljoen EURO. Kleine ondernemingen tot 20 medewerkers hoeven niet aan alle regels te voldoen, maar ook voor hen is het van belang de zaken goed op orde te hebben.

Waar gaat het concreet om?

Het belangrijkste uitgangspunt van de nieuwe privacywetgeving AVG is dat je als burger meer te zeggen krijgt over je gegevens en wat bedrijven en organisaties daar mee doen. Dit is wat je als ondernemer te doen staat.

  1. Je relatie moet weten wat je met zijn gegevens doet
  2. Wat weet je van je relaties en waarom eigenlijk?
  3. Tref technische en organisatorische maatregelen
  4. Laat je relatie de ‘baas’ zijn over zijn gegevens

1. Je relatie moet weten wat je met zijn gegevens doet

Je mag natuurlijk persoonsgegevens verzamelen, maar maak je relaties duidelijk waarom je bepaalde gegevens vraagt en waar je ze voor gebruikt. Wees zo concreet mogelijk. Gebruik alleen de gegevens die je écht nodig hebt. Als iemand zich op je nieuwsbrief inschrijft, vraag dan alleen zijn e-mailadres en voornaam. Zijn geboortedatum heb je echt niet nodig, tenzij je hem een verjaardagskaart wil sturen. Als je dat aangeeft, dan kan je die datum bijvoorbeeld wel vragen. Omschrijf bij je aanmeldformulier duidelijk waarom je welke gegevens vraagt en houdt in je systemen bij wanneer je aanmelder welke toestemming gaf.

2. Wat weet je van je relaties en waarom eigenlijk?

Je staat er vast niet bij stil welke gegevens je van je relaties vraagt en hebt, hoe je ze verwerkt en wat je er vervolgens mee doet (met wie je ze deelt). Ga dat zorgvuldig na en zet het allemaal op een rijtje. Je hebt verantwoordingsplicht en dat betekent dat je moet kunnen bewijzen dat je organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen.

Naar alle waarschijnlijkheid heb je een systeem waar je je relatiegegevens in beheert. Als dat een goed systeem is, zal de leverancier daarvan de juiste maatregelen treffen rond veiligheid en traceerbaarheid van aanmeldingen. Maar dat is natuurlijk niet de enige plek waar je persoonsgegevens hebt. Wat dacht je van je e-mailprogramma? En misschien houd je in een Excelschema bij wie je nog wil benaderen voor je nieuwe product? Het is goed om hier bewust van te worden en goed om dit in een tabel te zetten.

Zo moet je ook registreren hoe lang je iemands gegevens bewaart en waarom. Als iemand zich ooit inschreef voor je nieuwsbrief, maar nooit reageert en de afgelopen twee jaar je mails niet meer heeft geopend, kun je hem of haar met een gerust hart uit je systeem verwijderen.

3. Tref technische en organisatorische maatregelen

De bescherming van de persoonsgegevens begint natuurlijk met een goede beveiliging. Van je computer, je netwerk, je website en je CRM-systeem.

Je computer beveilig je met up-to-date virussoftware en zorg er altijd voor dat je software-updates doet. Zo vergroot je de kans dat je computer goed beschermd is. Als je je computer verkoopt of USB-sticks uitleent, zorg er dan voor dat je eventuele persoonsgegevens die daarop staan, onleesbaar maakt. Beveilig je netwerk met een wachtwoord of WPA/WPA2 (Wifi Protected Acces)-encryptie. Je website kun je beveiligen met een SSL-certificaat. Informeer hiervoor bij je host.

Het is raadzaam de gegevens die je verzamelt op één, zeer goed beveiligde, plek op te slaan. Denk bijvoorbeeld aan een CRM-systeem van een betrouwbare leverancier. Of een bestand wat versleuteld op een apart beveiligd netwerk staat.

Als je over een goed CRM-systeem beschikt, informeert je leverancier je over de maatregelen die zij treffen voor de AVG. Als dit niet het geval is, is het een goed moment daar naar te vragen. Ook al bewaren zij de persoonsgegevens van jouw klanten, jij als ondernemer bent verantwoordelijk.

En nog een tip: als je bestanden met persoonsgegevens moet delen, verstuur ze dan liever niet via de mail, maar gebruik een beveiligde server. Als dat niet mogelijk is, versleutel dan in ieder geval je bestand.

4. Laat je klant de ‘baas’ zijn over zijn gegevens

Mensen moeten controle kunnen uitoefenen op welke gegevens je van ze hebt. Je moet altijd aan de volgende verzoeken kunnen voldoen:

  • Als iemand wil dat je al zijn gegevens verwijdert, dan moet je dit binnen een redelijke termijn kunnen doen. Je moet weten en aantonen waar je die gegevens hebt opgeslagen en bewijzen dat je het daadwerkelijk gedaan hebt.
  • Je moet iemand in de gelegenheid stellen bezwaar te maken tegen het gebruik van zijn gegevens voor bepaalde doeleinden.
  • Je moet iemand altijd de gelegenheid geven zijn gegevens te (laten) wijzigen.
  • Je moet iemand altijd inzage geven in welke gegevens je over hem hebt verzameld en hoe. Als iemand daarom vraagt, moet je hem een uitdraai geven van zijn eigen gegevens.
  • Mocht er toch iets misgaan en je wordt gehackt of je hebt een datalek? Dan moet je je relatie daar direct van op de hoogte stellen en een melding van maken bij de Autoriteit Persoonsgegevens.

Je als ondernemer voorbereiden op de AVG is een hele klus, dus neem er de tijd voor. Wil je meer weten? Op de site van de Autoriteit Persoonsgegevens tref je alles over de AVG.

Ben jij nog lang niet klaar voor de AVG? Weet je niet waar je moet beginnen? Heb jij alles op een rijtje, maar kom je er niet aan toe het uit te voeren? Mail me andrea@andreawerkhoven.nl of bel 06 46 03 14 10 om te bespreken wat ik voor je kan betekenen, waardoor je meer ruimte krijgt voor jouw eigen groei en die van je bedrijf.


Ik ben andrea werkhoven en help veeleisende ondernemers die net een paar handen tekortkomen om verder te groeien. Wat elke dag moet gebeuren om je bedrijf draaiende te houden, dat doe ik. Ik signaleer, denk mee en neem initiatief. In mij heb je een allround sparringpartner, een klankbord. Je staat niet meer alleen in je ondernemerschap, want ik sta naast je. Zo heb je meer tijd en ruimte voor de ontwikkeling van jezelf en je bedrijf.


credits foto: Dayne Topkin

De foto's bovenaan alle pagina's zijn van mij. Gebruik ze gerust, maar link wel graag naar mijn website.