De AVG is de privacywet die bepaalt hoe je als ondernemer met persoonsgegevens omgaat. Veel ondernemers vragen zich af wanneer de AVG geldt, welke gegevens je mag gebruiken en wat je minimaal moet regelen. In dit artikel lees je wat de AVG inhoudt, welke verplichtingen daarbij horen en welke rechten betrokkenen hebben.
AVG in het kort
De AVG geldt voor alle organisaties die persoonsgegevens verwerken
Ook kleine bedrijven en zzp’ers vallen onder de AVG
Je verwerkt al persoonsgegevens bij bijvoorbeeld facturen, contactformulieren of nieuwsbrieven
De AVG bepaalt wanneer je persoonsgegevens mag verwerken en welke grondslag je nodig hebt
Als kleine ondernemer heb je vaak te maken met beperktere AVG-verplichtingen en basismaatregelen
Klanten, opdrachtgevers en medewerkers hebben AVG-rechten, zoals het recht op inzage
Wat is de AVG?
De AVG staat voor Algemene Verordening Gegevensbescherming. Het is een Europese privacywet die regels stelt voor het verzamelen, gebruiken en bewaren van persoonsgegevens. Het doel van de AVG is om de privacy van mensen beter te beschermen en ze meer controle te geven over hun persoonlijke gegevens.
De wet geldt sinds 25 mei 2018 en is van toepassing op alle organisaties die persoonsgegevens verwerken. Dat zijn niet alleen bedrijven en ondernemers, maar ook bijvoorbeeld overheidsinstanties, stichtingen, verenigingen en andere (publieke) organisaties.
De AVG bepaalt onder meer:
wanneer je persoonsgegevens mag verwerken
welke verantwoordelijkheden je daarbij hebt
welke rechten mensen hebben over hun eigen gegevens
Werk je met persoonsgegevens? Bijvoorbeeld van klanten, leveranciers of medewerkers? Dan krijg je vroeg of laat met de AVG te maken.
Wanneer geldt de AVG?
De AVG geldt zodra je persoonsgegevens verwerkt. Dat is het geval als je gegevens verzamelt, opslaat, gebruikt, deelt of verwijdert die herleidbaar zijn tot een persoon. Het maakt daarbij niet uit hoe groot je organisatie is of dat je winst maakt of niet.
Je valt onder de AVG als je bijvoorbeeld:
een klanten- of ledenbestand bijhoudt
facturen verstuurt met naam- en adresgegevens
een contactformulier of offerteaanvraag op je website gebruikt
e-mailadressen opslaat voor een nieuwsbrief
De AVG geldt zowel voor digitale als papieren gegevens en voor verwerkingen die structureel of incidenteel zijn. Ook als het verwerken van persoonsgegevens geen kernactiviteit van je organisatie is, moet je je aan de regels houden.
Verwerk je persoonsgegevens van mensen binnen de Europese Unie? Dan is de AVG in principe van toepassing, ongeacht waar je organisatie is gevestigd.
Geldt de AVG ook voor kleine bedrijven?
De AVG geldt ook voor kleine bedrijven, zzp’ers en eenmanszaken zodra je persoonsgegevens verwerkt. De wet maakt geen onderscheid op basis van het aantal medewerkers of je omzet, maar kijkt naar wat je met persoonsgegevens doet.
Dat betekent dat je als kleine ondernemer al met de AVG te maken krijgt als je bijvoorbeeld:
klantgegevens opslaat
facturen verstuurt
een contactformulier op je website hebt
e-mailadressen bewaart voor een nieuwsbrief
Zijn de regels voor kleine bedrijven net zo streng?
De basisregels van de AVG gelden voor iedereen, maar de verplichtingen zijn voor kleine bedrijven vaak minder uitgebreid dan voor grote organisaties. Zo hoef je in de meeste gevallen:
geen functionaris gegevensbescherming aan te stellen
geen uitgebreide administratie bij te houden zoals grote organisaties
Wanneer ben je volgens de AVG een klein bedrijf?
In de praktijk wordt met een ‘klein bedrijf’ meestal bedoeld: een zzp’er of mkb-bedrijf dat persoonsgegevens alleen gebruikt voor de normale bedrijfsvoering, zoals klantenadministratie, facturatie en communicatie.
Wel moet je kunnen uitleggen:
welke persoonsgegevens je verzamelt
waarom je die gegevens nodig hebt
hoe je ze beveiligt
hoe lang je ze bewaart
Welke basismaatregelen vraagt de AVG van kleine bedrijven?
Verwerk je geen grote hoeveelheden gegevens, geen gevoelige gegevens en is dataverwerking geen kernactiviteit? Dan blijven de AVG-verplichtingen meestal beperkt. Als ‘kleine ondernemer’ hoef je de AVG niet ingewikkelder te maken dan nodig. Met een paar basismaatregelen voldoe je als kleine ondernemer vaak al aan de belangrijkste eisen. Niets doen is geen optie, maar je hoeft ook geen uitgebreide AVG-organisatie op te tuigen. Volg deze 7 basisregels:
Verzamel alleen gegevens die je nodig hebt Vraag niet meer persoonsgegevens dan nodig is voor je dienstverlening of administratie.
Zorg voor een duidelijke privacyverklaring Leg uit welke persoonsgegevens je verwerkt, waarom je dat doet en hoe mensen contact met je kunnen opnemen.
Ga zorgvuldig om met klant- en contactgegevens Beperk de toegang tot persoonsgegevens en deel ze alleen als dat nodig is.
Beveilig persoonsgegevens passend bij je bedrijf Gebruik bijvoorbeeld sterke wachtwoorden, multifactorauthenticatie en zorg dat apparaten en software up-to-date zijn.
Bewaar gegevens niet langer dan nodig Stel bewaartermijnen vast en verwijder gegevens die je niet meer nodig hebt.
Maak afspraken met partijen die namens jou gegevens verwerken Werk je met boekhoudsoftware, een nieuwsbriefdienst of hostingpartij? Dan heb je vaak een verwerkersovereenkomst nodig.
Weet wat je moet doen bij een datalek Zorg dat je weet wanneer iets een datalek is en wanneer je dit moet melden.
Maak het niet ingewikkelder dan nodig is
Met deze basismaatregelen voldoe je als kleine ondernemer in veel gevallen al aan de kern van de AVG. Je hoeft de AVG niet ingewikkelder te maken dan nodig, maar niets doen is geen optie.
Welke persoonsgegevens mag je verwerken?
Je mag persoonsgegevens verwerken als daar een geldige reden voor is. De AVG noemt dit een grondslag. Zonder zo’n grondslag mag je gegevens niet zomaar verzamelen of gebruiken. In de praktijk gaat het voor veel bedrijven om de volgende situaties:
Persoonsgegevens die je nodig hebt voor je dienstverlening
Je mag persoonsgegevens verwerken als dat nodig is om een overeenkomst uit te voeren. Denk aan:
naam en adres voor facturatie
e-mailadres of telefoonnummer voor contact
betaalgegevens
Zonder deze gegevens kun je je dienst of product vaak niet leveren.
Persoonsgegevens die je wettelijk moet bewaren
Soms ben je wettelijk verplicht om gegevens te verwerken, bijvoorbeeld voor:
In dat geval mag (en moet) je deze gegevens verwerken, zolang je niet meer bewaart dan nodig.
Persoonsgegevens met toestemming
Voor sommige verwerkingen heb je toestemming nodig, zoals bij:
het versturen van een nieuwsbrief
marketing via e-mail
Die toestemming moet vrij, specifiek en duidelijk zijn. Bovendien moet iemand zich eenvoudig weer kunnen afmelden. Denk bijvoorbeeld aan een duidelijke afmeldlink (‘unsubscribe’ of ‘uitschrijven’) in een nieuwsbrief.
Persoonsgegevens op basis van een gerechtvaardigd belang
In sommige gevallen mag je persoonsgegevens verwerken omdat je daar een gerechtvaardigd belang bij hebt, bijvoorbeeld:
het verbeteren van je dienstverlening
het beveiligen van je systemen
Daarbij moet je altijd afwegen of jouw belang niet zwaarder weegt dan de privacy van de betrokkene.
Let op: bijzondere persoonsgegevens
Voor sommige persoonsgegevens gelden strengere regels. Dit zijn onder andere gegevens over:
gezondheid
religie
politieke opvattingen
strafrechtelijk verleden
Als kleine ondernemer verwerk je deze gegevens meestal niet. Doe je dat wel? Dan krijg je te maken met zwaardere AVG-verplichtingen.
Belangrijk om te onthouden
Je mag persoonsgegevens verwerken als je:
een duidelijke reden hebt
niet meer gegevens verzamelt dan nodig
transparant bent over wat je doet
Dat sluit direct aan op de zeven basismaatregelen in dit artikel.
Welke AVG-rechten hebben klanten, opdrachtgevers en medewerkers?
Mensen van wie je persoonsgegevens verwerkt, hebben volgens de AVG verschillende rechten. Deze rechten geven betrokkenen meer controle over hun eigen gegevens en zorgen ervoor dat je organisatie transparant blijft.
De belangrijkste rechten zijn:
recht op inzage in de persoonsgegevens die je verwerkt
recht op correctie van onjuiste gegevens
recht op verwijdering van gegevens (het ‘recht om vergeten te worden’)
recht op bezwaar tegen bepaalde verwerkingen
recht op beperking van de verwerking
Als organisatie moet je deze rechten respecteren en correct afhandelen. Dat betekent onder meer dat je tijdig moet reageren op verzoeken en kunt uitleggen wat je wel en niet kunt doen.
Wat gebeurt er als je je niet aan de AVG houdt?
Als je je niet aan de AVG houdt, kan dat gevolgen hebben. Die gevolgen zijn niet bedoeld om ondernemers af te schrikken, maar om ervoor te zorgen dat organisaties zorgvuldig omgaan met persoonsgegevens.
Toezicht en handhaving AVG
In Nederland houdt de Autoriteit Persoonsgegevens toezicht op de naleving van de AVG. Deze toezichthouder kan ingrijpen als blijkt dat je de regels overtreedt, bijvoorbeeld na een klacht of melding.
Dat kan leiden tot:
een waarschuwing
een verplichting om je werkwijze aan te passen
een boete
AVG-boetes en andere gevolgen
De hoogte van een boete hangt af van de ernst van de overtreding. Voor kleine bedrijven gaat het in de praktijk vaak niet direct om (hoge) boetes. Toch betekent dat niet dat er geen andere nadelige gevolgen kunnen zijn.
Naast een boete kun je te maken krijgen met:
klachten van klanten, opdrachtgevers of medewerkers
reputatieschade
extra werk en kosten om problemen alsnog op te lossen
Boetes zijn geen doel op zich
De toezichthouder kijkt vooral naar hoe je met persoonsgegevens omgaat. Kun je laten zien dat je bewust bezig bent met privacy en redelijke maatregelen hebt genomen? Dan verklein je het risico op handhaving aanzienlijk.
Met andere woorden: iedereen kan een fout maken. Maar als je niets doet om het op te lossen of structureel onzorgvuldig omgaat met persoonsgegevens, vergroot je de kans op serieuze problemen.
Waarom een focus op privacy en AVG ook kansen biedt
De AVG wordt vaak gezien als een verplichting, maar een zorgvuldige omgang met persoonsgegevens kan zeker in het voordeel van je bedrijf werken. Door transparant te zijn over wat je met gegevens doet, laat je zien dat je privacy serieus neemt. Daarmee vergroot je het vertrouwen van je klanten, opdrachtgevers en medewerkers.
Goede privacy-afspraken horen bovendien bij professioneel ondernemerschap. Steeds vaker verwachten samenwerkingspartners dat privacy op orde is. Door hier structureel aandacht aan te besteden, verklein je de kans op problemen en voorkom je dat je achteraf moet bijsturen. Dat maakt je bedrijfsvoering overzichtelijker en toekomstbestendiger.
Veelgestelde vragen
Hoe zit het met facturen en de AVG?
Iedereen die persoonsgegevens verwerkt, krijgt te maken met de Algemene Verordening Gegevensbescherming (AVG). Dus ook kleine bedrijven krijgen te maken met de AVG. Op het moment dat je een administratie bijhoudt en facturen verstuurt, verwerk je persoonsgegevens. Het is daarom goed om te checken of jij voldoet aan de eisen van de AVG. Een van de eisen is bijvoorbeeld dat je toestemming moet vragen voor het verwerken van persoonsgegevens.
Wat zijn de eisen van de Belastingdienst voor een zakelijke administratie?
De volgende zaken moet je opnemen in je administratie (mits van toepassing):
Ontvangen facturen
Kopieën van verzonden facturen
Kasadministratie en kassabonnen
Financiële aantekeningen, zoals het inkoop- en verkoopboek
Tussentijdse controleberekeningen
Bankafschriften
Contracten, overeenkomsten en andere afspraken
Agenda’s of andere afsprakenboeken
Correspondentie (ook zakelijke e-mails)
Software en databestanden
Rittenregistratie zakelijke auto
Urenregistratie voor fiscale voordelen als starters- en zelfstandigenaftrek
Hoe zit het met de informatieplicht?
Als je energiebesparingsplicht hebt, moet je één keer in de 4 jaar laten weten welke energiebesparende maatregelen je hebt genomen. Welke rapportageverplichtingen je hebt, is afhankelijk van het energieverbruik en de omvang van je bedrijf.
Welke gegevens in de boekhouding moet ik 7 jaar bewaren?
De basisgegevens in je administratie:
het grootboek
debiteurenadministratie
crediteurenadministratie
in- en verkoopadministratie
loonadministratie
gegevens die belangrijk zijn voor belastingheffing aan derden
En overige gegevens:
privé-gebruik goederen en diensten
tussentijds gemaakte controleberekeningen - ook kladaantekeningen
bankafschriften
contracten, overeenkomsten en andere afspraken
agenda’s en afsprakenboek
software en databestanden
rittenregistratie en/of kilometerregistratie
Hoe zit het met privacy bij hybride werken?
Ook daar ben jij als werkgever zelf verantwoordelijk voor. Denk hierbij aan het leveren van veilige software en het opstellen van duidelijke regels rondom het werk. Zoals geen gebruik maken van openbare wifi-netwerken en niet in het openbaar vergaderen.
