Geldt de wet AVG ook voor kleine bedrijven?
Ook MKB bedrijven moeten klantgegevens goed beschermen
De Algemene Verordening Gegevensbescherming (AVG) heeft gezorgd voor een flinke uitbreiding van de privacybescherming. Jouw onderneming krijgt te maken met de AVG als je voor zakelijke activiteiten persoonsgegevens 'verwerkt’ dus: verzamelt, opslaat, raadpleegt enzovoort. Dat geldt dus ook voor kleine bedrijven.
Wat zijn persoonsgegevens?
Alle gegevens die op natuurlijke personen betrekking hebben. Denk hierbij aan bijvoorbeeld:
telefoonnummers van klanten;
email-adressen en email;
(beveiligings- en)camerabeelden;
IP-adressen van computers van gebruikers;
informatie over personeel.
De AVG
De Algemene Verordening Gegevensbescherming (AVG) heeft sinds 2018 de Wet Bescherming Persoonsgegevens vervangen. Het is een Europese verordening (lees: wet) die strenge regels oplegt aan o.a. ondernemers in de EU. Het zijn vooral de torenhoge boetes bij overtreding van deze wet, die veel ondernemers schrik aanjagen. Bedrijven die niet aan de eisen voldoen en nalatig zijn, kunnen een boete opgelegd krijgen.
Toestemming
Een voorbeeld van de regelgeving in de AVG is dat je voor het verwerken van persoonsgegevens vaak expliciet de toestemming nodig hebt van bijvoorbeeld een klant of werknemer. Doe je dat niet, dan ben je mogelijk nalatig. Toestemming is een van de voorwaarden (zogenaamde 'grondslagen’) voor het verwerken van gegevens. Een ándere grondslag, ook belangrijk voor het mkb, is dat je alleen de persoonsgegevens mag verwerken die absoluut nodig zijn voor het uitvoeren van een contract. Denk aan een klant die iets koopt bij je webwinkel: dat kan alleen als de klant zijn noodzakelijke gegevens invoert.
AVG eisen voor toestemming
Aan het krijgen van toestemming voor het verwerken van sommige persoonsgegevens worden door de AVG strikte eisen gesteld. Zo moet iemand vrijwillig toestemming geven. Dit is al de vraag bij bijvoorbeeld een bank ten opzichte van een klant die een rekening wil openen. Er moet verder sprake zijn van een concrete handeling die duidelijk is. Bijvoorbeeld op papier of in digitale vorm. Stilzwijgend toestemming geven is niet voldoende. Ook niet als je die toestemming opneemt in je Algemene voorwaarden.
Toestemming en je webformulier
Op je webformulier van tevoren vakjes aanvinken mag in de meeste gevallen niet meer. Voorbeeld: voor het versturen van nieuwsbrieven is een concrete en aantoonbare handeling nodig waarmee toestemming wordt geven. En die geldt dan alleen voor dat type nieuwsbrief. Je klant moet het dus zelf aanvinken. De AVG eist ook dat het net zo makkelijk moet zijn om je toestemming in te trekken als dat je toestemming hebt gegeven. Last but not least: als ondernemer moet je kunnen bewijzen dat een klant jouw toestemming heeft gegeven.
Tips: Waar moet ik op letten?
Wij kunnen je helpen met de verplichtingen vanuit de AVG. Hieronder vind je vier tips:
Laat een scan uitvoeren, dan weet je waar je staat.
Laat een jurist een privacy verklaring opstellen met betrekking tot je privacy beleid conform de AVG. Wij helpen je graag als je Lid van MKB Servicedesk bent;
Doorloop het stappenplan op de website van de Autoriteit Persoonsgegevens, zodat je zelf aan de slag kunt.
Aangezien de regels omtrent privacy soms oneindig lijken en het vaak niet helemaal duidelijk is wat er precies verwacht wordt van een ondernemer hebben wij samen met mkb.law deze helpdesk opgezet. Zo kan de ondernemer zich door het privacy-oerwoud navigeren met hulp van specialisten die al jaren ervaring hebben op dit gebied.
