Persoonsgegevens beschermen (AVG)

Gebruikt u persoonsgegevens van klanten, personeel of andere personen? Of slaat u deze op? U moet extra maatregelen nemen om deze gegevens goed te beschermen, door bijvoorbeeld een privacybeleid. Zo beschermt u de privacy van de mensen van wie de gegevens zijn. U moet zich houden aan de privacywet Algemene verordening gegevensbescherming (AVG).

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens die direct over iemand gaan of die met iemand te maken hebben, bijvoorbeeld:

  • naam, adres en telefoonnummer
  • camerabeelden of geluidsopnames
  • gegevens over de gezondheid
  • burgerservicenummer (BSN)

Wat is verwerken van persoonsgegevens?

De AVG geldt als u persoonsgegevens verwerkt (gegevensverwerking). Gegevensverwerking gebeurt handmatig of automatisch (bijvoorbeeld via een website). U verwerkt bijvoorbeeld persoonsgegevens als u:

  • een foto van iemand op een website plaatst
  • beelden van beveiligingscamera's opslaat
  • e-mailadressen verzamelt om een nieuwsbrief te versturen
  • een ledenadministratie bijhoudt voor een vereniging

Wanneer mag u persoonsgegevens gebruiken?

U moet een goede reden hebben om persoonsgegevens te gebruiken. De AVG noemt 6 van die redenen: de 6 grondslagen. Een reden is bijvoorbeeld dat uw klant of personeel toestemming heeft gegeven. Bijvoorbeeld omdat het noodzakelijk is dat u gegevens verwerkt, om een taak van algemeen belang te kunnen doen.

Bijzondere persoonsgegevens

Naast 'gewone' persoonsgegevens zijn er bijzondere persoonsgegevens. Deze gaan bijvoorbeeld over iemands gezondheid, politieke voorkeur of lidmaatschap van een vakvereniging. Verwerken van bijzondere persoonsgegevens is verboden, behalve als er een wettelijke uitzondering is om bijzondere persoonsgegevens te verwerken.

Strafrechtelijke gegevens

Er zijn speciale regels voor het verwerken van strafrechtelijke persoonsgegevens. Die gelden bijvoorbeeld bij veroordelingen en verdenkingen met een goede reden (gegronde verdenking).

Beveiliging van persoonsgegevens

Werkt u met persoonsgegevens of verwerkt u deze? Dan moet u deze gegevens goed beschermen:

  • U mag niet meer persoonsgegevens verzamelen en gebruiken dan echt nodig is.
  • U moet ervoor zorgen dat niet zomaar iedereen in uw bedrijf bij de persoonsgegevens kan.
  • Bij een hoog privacyrisico moet u een Data Protection Impact Assessment (DPIA) doen. Dit is een uitgebreid onderzoek naar de risico's van gegevensverwerking in uw bedrijf. U moet dan op tijd maatregelen nemen om de risico's zo veel mogelijk weg te nemen.
  • De bewaartermijn voor persoonsgegevens. U mag de gegevens niet langer bewaren dan noodzakelijk is.

Volg de stappen die u helpen om te voldoen aan de AVG.

Vertel hoe u persoonsgegevens gebruikt

U moet van de AVG kunnen uitleggen hoe u persoonsgegevens gebruikt. U moet uw klanten of personeel bijvoorbeeld vertellen:

Deze informatie zet u in een duidelijke en makkelijk te begrijpen privacyverklaring op uw website.

Gegevens delen met landen binnen en buiten de EER

Deelt u persoonsgegevens met een partij uit een ander land? Dat heet doorgifte. Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag alleen als dat land voldoende bescherming biedt. Dit geldt volgens de EU voor 14 landen.

Wisselt u persoonsgegevens uit met een land dat niet op de lijst staat? Dan moet de gegevensverwerker u officieel toezeggen dat deze zich aan de AVG-regels houdt. Dit heet een 'passende waarborg'. U kunt hiervoor een modelcontract gebruiken.

Datalek wel melden

U moet een datalek melden bij de Autoriteit Persoonsgegevens en aan de betrokken personen. Er is sprake van een datalek als gegevens vrijkomen, worden vernietigd of gewijzigd, zonder dat dit de bedoeling is van de organisatie.

Meldt u een datalek niet op tijd? Dan kan de Autoriteit Persoonsgegevens een boete opleggen. U moet van de AVG alle datalekken intern opslaan.

Mogelijk gemaakt door

Deze informatie is geplaatst door: Rijksdienst voor Ondernemend Nederland (RVO)
Terug naar overzicht