AVG en privacy: verplichtingen voor elke ondernemer
Stel je voor: je hebt een leuk bedrijf, je verkoopt producten of diensten en je bent druk bezig met groeien. Maar dan is er die ene wet waar je misschien liever niet aan denkt: de AVG.
De Algemene Verordening Gegevensbescherming (of GDPR voor de internationale vrienden) is sinds 25 mei 2018 niet meer weg te denken.
Het is niet alleen een stoffige regel uit Brussel; het is een serieuze zaak die jouw verantwoordelijkheid als ondernemer is. Deze wet is er om de privacy van mensen te beschermen. Simpel gezegd: jij mag niet zomaar met andermans persoonlijke spullen aan de haal gaan, en dat geldt dus ook voor digitale gegevens.
In dit artikel leggen we, zonder ingewikkelde juridische taal, uit wat er van jou verwacht wordt. Want eerlijk is eerdel: een boete van twintig miljoen euro of vier procent van je jaaromzet, dat wil je echt niet op de mat krijgen.
Waarom je de AVG niet kunt negeren
De AVG is de opvolger van de oude Wet bescherming persoonsgegevens (Wbp) en geldt in de hele Europese Unie.
Het kernidee is simpel: verzamel alleen wat echt nodig is en zorg er goed voor. Het is niet alleen een wettelijke plicht, maar ook een kwestie van fatsoen. Je wilt toch ook niet dat jouw eigen gegevens over straat slingeren?
De Autoriteit Persoonsgegevens (AP) houdt toezicht en ze zijn niet mild. Denk aan de boete van 800 miljoen euro die Google kreeg in 2023 vanwege problemen met locatiegegevens op Android.
Of de boetes die sommige bedrijven krijgen voor een te openhartig privacybeleid.
De maximale boete is gigantisch: 20 miljoen euro of 4% van de wereldwijde jaaromzet. Voor kleine ondernemers is dat al snel fataal. Dus, of je nu een eenmanszaak bent of een multinational, de regels gelden voor jou.
Val jij onder de AVG? (Waarschijnlijk wel)
Veel ondernemers denken: "Ach, ik ben maar klein, die wet is voor de grote jongens." Dat is een misvatting. De AVG is niet alleen voor bedrijven in Nederland of de EU. Als je gegevens verwerkt van mensen die in de EU wonen, val je eronder. Punt uit.
Denk aan: Het maakt niet uit of je een groot bedrijf bent of een zzp’er achter je keukentafel.
- Een webshop in Nederland die producten verkoopt aan klanten in Duitsland.
- Een freelancer in Nederland die een website bouwt voor een Belgische klant.
- Een bedrijf in de VS dat diensten aanbiedt aan Europeanen.
Als je persoonsgegevens verwerkt – en dat doe je al als je een naam en e-mailadres van een klant opslaat in je CRM-systeem – ben je verantwoordelijk.
De zeven basisprincipes van de AVG
De AVG rust op zeven pijlers. Deze principes bepalen hoe je met gegevens om moet gaan.
1. Legaliteit, rechtmatigheid en transparantie
Ze klinken formeel, maar ze zijn logisch. Je moet een legale reden hebben om gegevens te verwerken (zoals toestemming of een contract) en je moet duidelijk zijn tegenover je klanten.
2. Doelbinding
Geen verborgen clausules of ingewikkelde taal. Zeg gewoon wat je doet. Je mag gegevens niet zomaar voor iets anders gebruiken.
3. Minimalisatie
Als iemand zijn e-mailadres geeft voor je nieuwsbrief, mag je dat niet ineens gebruiken om hem spam over je nieuwe schoenenlijn te sturen, tenzij je dat duidelijk hebt aangegeven. Vraag alleen wat nodig is.
4. Nauwkeurigheid
Als je een T-shirt verkoopt, heb je het geboortejaar en geslacht van je klant niet nodig. Hou het mager. Zorg dat je gegevens kloppen. Als een klant verhuist, moet je dat kunnen aanpassen. Foutieve data is een risico.
5. Opslagbeperking
Bewaar gegevens niet langer dan nodig. Heb je een klant die al tien jaar niets meer heeft gekocht?
6. Integriteit en vertrouwelijkheid
Dan is het misschien tijd om zijn persoonsgegevens te verwijderen of te anonimiseren. Beveilig je gegevens. Dit betekent dat je moet voorkomen dat onbevoegden toegang krijgen.
7. Verantwoordelijkheid
Denk aan sterke wachtwoorden, versleuteling en goede backups. Jij bent degene die moet kunnen aantonen dat je je aan de regels houdt. "Ik wist het niet" is geen excuus.
Wat zijn jouw verplichtingen als ondernemer?
Oké, de principes zijn duidelijk. Maar wat moet je nu concreet doen?
De privacyverklaring
Hieronder de belangrijkste verplichtingen. Elk bedrijf heeft een privacyverklaring nodig.
De grondslag: waarom mag je gegevens hebben?
Dit is het document waarin je uitlegt welke gegevens je verzamelt, waarom je dat doet en hoe lang je ze bewaart. Zet dit op je website, in je winkel of in je contracten. Zorg dat het in helder Nederlands is geschreven, zodat iedereen het begrijpt.
- Toestemming: De persoon geeft expliciet toestemming (bijvoorbeeld via een checkbox).
- Overeenkomst: De gegevens zijn nodig om een contract uit te voeren (bijvoorbeeld een adres voor bezorging).
- Wettelijke verplichting: Je bent wettelijk verplicht de gegevens te hebben (bijvoorbeeld voor de belastingdienst).
- Vitaal belang: In noodsituaties.
- Gerechtvaardigd belang: Je hebt een legitiem bedrijfsbelang dat zwaarder weegt dan de privacy van de persoon (maar dit is vaak tricky).
Technische en organisatorische maatregelen (TOM)
Je mag gegevens alleen verwerken als je een van de volgende grondslagen hebt: Je moet passende maatregelen nemen om gegevens te beveiligen.
- Een goed werkende virusscanner.
- Beveiligde verbindingen (HTTPS) op je website.
- Toegangscontrole: wie mag er bij welke gegevens?
- Verdwenen laptops? Zorg dat ze versleuteld zijn.
Verwerkersovereenkomsten
Dit hoeft niet meteen een militair fort te zijn, maar denk aan: Gebruik je derde partijen voor je gegevens? Denk aan een e-mailservice zoals Mailchimp, een boekhoudprogramma of een cloudprovider zoals Google Drive of Microsoft Azure? Dan ben je een ‘verwerker’ en moet je een verwerkersovereenkomst (VOW) met ze sluiten.
Data Protection Officer (DPO)
Dit is een contract waarin staat dat zij net zo zorgvuldig met je data omgaan als jij zelf.
Heb je een groot bedrijf of verwerk je op grote schaal gevoelige data (zoals medische gegevens)? Dan moet je een Functionaris Gegevensbescherming (DPO) aanwijzen. Dit hoeft niet per se een extern persoon te zijn; een medewerker mag dit doen, mits hij onafhankelijk kan werken.
Privacy Impact Assessment (PIA)
Voor de meeste kleine bedrijven is dit niet verplicht, maar het is goed om te weten dat het bestaat. Voordat je een nieuw project start dat veel persoonsgegevens verwerkt (zoals een app die locaties trackt), moet je een risicoanalyse doen.
Dit heet een PIA. Je bekijkt de risico’s en bedenkt hoe je ze vermindert.
De rechten van je klanten (en medewerkers)
De AVG geeft burgers veel macht. Als ondernemer moet je hieraan voldoen.
Recht op inzage
Hier zijn de belangrijkste rechten die je moet respecteren: Iemand kan je vragen: "Welke gegevens heb je van mij?" Je moet dan binnen een maand een overzicht geven. Dit mag geen kostbare service zijn; het is gratis.
Recht op correctie
Als iemand ziet dat jij een verkeerd e-mailadres of een foutieve naam hebt opgeslagen, mag hij vragen dit te corrigeren. Als iemand zijn toestemming intrekt en er is geen andere reden meer om de gegevens te bewaren, moet je ze wissen.
Recht op verwijdering (het 'recht om vergeten te worden')
Denk aan een klant die zijn account opzegt. Op verzoek moet je persoonsgegevens in een gestructureerd, gangbaar formaat (zoals een Excel-bestand of JSON) aan de persoon overdragen, zodat hij ze kan meenemen naar een andere dienstverlener.
Recht op dataportabiliteit
Mensen kunnen bezwaar maken tegen de verwerking van hun gegevens, bijvoorbeeld voor direct marketing. Als iemand bezwaar maakt, moet je hier onmiddellijk mee stoppen. In sommige gevallen mag je gegevens tijdelijk niet meer verwerken, maar hoef je ze nog niet te verwijderen (bijvoorbeeld als er een geschil is over de juistheid van de gegevens).
Recht van bezwaar
Recht op beperking
Hoe start je? Een stappenplan
De AVG voelt misschien als een berg, maar je kunt hem beklimmen. Begin klein en bouw het uit.
Stap 1: De gegevensinventarisatie
Maak een lijst van alle persoonsgegevens die je hebt. Waar zijn ze? In je e-mail, in je boekhoudsoftware, in Excel-bestanden op je laptop? Je moet weten wat je hebt om het te kunnen beschermen.
Stap 2: De privacyverklaring
Neem de tijd om een goede privacyverklaring voor je website te schrijven. Gebruik geen standaardteksten van internet zonder ze aan te passen.
Stap 3: Beveiliging checken
Zorg dat het klopt met wat je echt doet. Loop je systemen na. Gebruik je nog steeds 'wachtwoord123'? Verander dat meteen.
Stap 4: Medewerkers informeren
Schakel tweestapsverificatie in waar mogelijk. Zorg dat je website HTTPS gebruikt (het slotje in de browser).
Stap 5: Meldplicht datalekken
Als je personeel hebt, zorg dan dat zij weten hoe ze met gegevens om moeten gaan.
Een medewerker die per ongeluk een klantlijst naar de verkeerde persoon mailt, is een groot risico. Train ze. Er is een speciale meldplicht. Als er sprake is van een datalek (dus: persoonsgegevens zijn kwijt, gestolen of onbedoeld vrijgegeven) en er is een risico voor de privacy van betrokkenen, moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Wacht niet af; wees voorbereid.
Conclusie
De AVG is geen vijand, maar een hulpmiddel om beter en zorgvuldiger met klantgegevens om te gaan.
Het bouwt vertrouwen op. Klanten geven hun data niet graag aan bedrijven die er slordig mee omgaan.
Je hoeft geen jurist te zijn om aan de slag te gaan. Begin met de basics: een inventarisatie, een goede beveiliging en een heldere privacyverklaring. Gebruik tools die je al hebt, zoals de AVG-check van de Autoriteit Persoonsgegevens of sjablonen van betrouwbare juridische partijen (zoals het Juridisch Loket). De wereld wordt digitaler en de data stroomt door.
Als ondernemer ben je de hoeder van die data. Zorg dat je je zaakjes op orde hebt, dan kun je met een gerust hart ondernemen.
En mocht je er echt niet uitkomen? Schakel dan hulp in van een specialist. Een investering in privacy is een investering in je toekomst.