Op 25 mei 2018 vervangt de Europese Algemene Verordening Gegevensbescherming (AVG) de Nederlandse Wet Bescherming Persoonsgegevens. De nieuwe privacywet roept nog altijd veel vragen op, maar helaas bestaat er geen alles-in-1-oplossing voor alle ondernemers. De AVG is daarvoor simpelweg te complex.

Veel van de bij Anthos aangesloten leden doen niet direct zaken met particulieren. Wel houden zij persoonsgegevens bij van het in dienst zijnde personeel, dan wel van contactpersonen van zakelijke relaties. U moet er rekening mee houden dat in die situatie de AVG wél op u van toepassing is en dat u o.a. de volgende spelregels in acht neemt:

1. U dient een privacyverklaring op te stellen waarin staat hoe met contactgegevens van relaties wordt omgegaan (zie bijgesloten voorbeeld);
2. U bent verplicht om de privacyverklaring aan uw relaties c.q. uw personeel bekend te maken;
3. U moet een zogenaamde verwerkingsovereenkomst afsluiten met partijen die gebruikmaken van de persoonsgegevens of die de systemen met de persoonsgegevens beheren, zoals de salarisadministratie. Vaak worden deze overeenkomsten ongevraagd aan u toegestuurd door de betreffende verwerker;
4. Het opstellen en bijhouden van een verwerkingsregister (zie bijgesloten voorbeeld) is vereist;
5. U moet u er verder voor zorgen dat:
   a. u alleen contactgegevens verwerkt als daar een grondslag voor is die in de AVG is genoemd. Dat is bijvoorbeeld het geval als de verwerking plaatsvindt in het kader van de behartiging van de belangen van u als ondernemer, de verwerking plaatsvindt op grond van de wet of op basis van een overeenkomst;
   b. niet meer gegevens worden opgeslagen dan strikt noodzakelijk is;
   c. gegevens uitsluitend worden gebruikt voor het doel waarvoor ze zijn ‘verzameld’;
   d. alleen mensen bij de gegevens kunnen die ermee moeten werken;
   e. gegevens gecorrigeerd of verwijderd worden als daarom wordt gevraagd, voor zover er geen wettelijke bewaarverplichting is;
   f. gegevens binnen redelijke termijn worden verwijderd als ze niet meer nodig zijn;
   g. uw personeel geïnformeerd is over het belang van naleving van de privacyregels.

Dit zijn een aantal aandachtspunten, maar voor alle duidelijkheid willen wij u erop wijzen dat wij niet kunnen garanderen dat we hiermee volledig zijn. Er is immers nog veel onduidelijk over de nieuwe regelgeving en bovendien is het implementeren van de AVG maatwerk: elke onderneming kan immers verschillende persoonsgegevens verwerken, maar ook kunnen de belangen c.q. de grondslagen voor de gegevensverwerking verschillend zijn. Zo worden door de AVG hogere eisen gesteld aan ondernemingen die zaken doen met particulieren (bijvoorbeeld via een webshop), gevoelige persoonsgegevens opslaan of structureel en op grote schaal persoonsgegevens verwerken. Welke die eisen zijn, kunt u nagaan door het invullen van de Regelhulp Algemene Verordening Gegevensbescherming van RVO (https://rvo.regelhulpenvoorbedrijven.nl/avg/#/welkom). Als u de vragen daaruit heeft beantwoord, krijgt u een praktisch advies op maat over waar u nog aan moet werken om goed voorbereid te zijn op de AVG.