Privacywet wees voorbereid op de vele regels

Nieuwe wet AVG: krankzinnig hoge privacy-eisen en torenhoge boetes. De belangrijkste elementen van deze nieuwe privacywet voor je op een rijtje.

Laatst geüpdatet op juli 3, 2023

De nieuwe verstrekkende en complexe privacywet (AVG) is in mei 2018 in werking getreden. Wat betekent de AVG voor jou? Noodzakelijke technische aanpassingen, wijziging van je privacy policy, verplichte registratie van bepaalde gegevens, betere beveiliging en in sommige gevallen de plicht om een functionaris Gegevensbescherming aan te stellen.

De AVG in een notendop: burgers hebben met deze wet aanzienlijk meer zeggenschap over hun online gegevens en bedrijven moeten goed kunnen uitleggen wat ze met die gegevens doen. Eén ding is zeker: privacybescherming moet serieus genomen worden en de boetes kunnen hoog oplopen voor bedrijven die de privacy rechten schenden.

We adviseren je om in ieder geval deze wet niet licht op te vatten. Start met het inventariseren van aanpassingen die je misschien moet gaan doorvoeren.

In deze blog bespreken wij belangrijke onderdelen van de AVG. Hierdoor krijg je een beeld van de nieuwe wet en de risico’s die je loopt als jouw bedrijf niet ‘AVG proof’ is.

Ook interessant:

Val ik onder de nieuwe regelgeving?

De activiteiten van je bedrijf vallen al snel onder de AVG. Ben je een bedrijf dat persoonsgegevens “verwerkt” van burgers uit de Europese Unie? Of ben je een bedrijf dat persoonsgegevens verwerkt en gevestigd is in de Europese Unie? Dan is de AVG op jou van toepassing.

Wat zijn persoonsgegevens?

De AVG regels zijn van toepassing op persoonsgegevens. Persoonsgegevens zijn alle gegevens aan de hand waarvan een persoon geïdentificeerd kan worden. Hierbij kun je denken aan naam, geboortedatum, locatiegegevens, maar ook cookies en IP-adressen.

Wat wordt er bedoeld met ‘verwerken’?

Het ‘verwerken’ van persoonsgegevens omvat elke handeling die wordt uitgevoerd met betrekking tot persoonsgegevens, zoals het verzamelen, opslaan, gebruiken, delen, wijzigen of verwijderen van deze gegevens.

Bovendien omvat het ook het automatisch verwerken van persoonsgegevens, zoals het gebruik van algoritmes en profilering. Verwerking van persoonsgegevens moet altijd in overeenstemming zijn met de geldende privacywetgeving, zoals de (AVG) in de Europese Unie.

Hoe voldoe ik aan de informatieverplichting op mijn website?

Transparantie eisen waren er altijd al. De AVG bepaalt echter dat de gegevens verwerkt moeten worden op een manier die transparant is voor de bezoeker van de website.

In de privacy policy moet je de bezoekers laten weten dat het mogelijk is dat zij hun gegevens in kunnen zien zien of kunnen laten aan te passen.

Daarnaast mogen zij vragen of je hun gegevens kan verwijderen (‘recht om vergeten te worden’).

Je legt uit dat zij een dergelijk verzoek kunnen indienen en dat zij dit op een gemakkelijke manier kunnen doen. Worden de gegevens (ook) buiten de EU verwerkt? Dan vermeld je dit in de privacy policy.

Verder dien je de bezoekers in de privacy policy te informeren dat ze een klacht kunnen indienen tegen jou bij de toezichthouder. Stel je daarnaast interesseprofielen op? Dat moet je dit jouw bezoekers ook laten weten.

Let ook op dat het vereist is om de informatie die je verstrekt in een gemakkelijke en begrijpelijke taal te formuleren. Grote lappen tekst vol juridisch jargon zijn dan ook uit den boze. Het is essentieel dat de bezoeker begrijpt wat er met zijn/haar persoonsgegevens wordt gedaan.

Sinds wanneer is de AVG in werking getreden?

Per 25 mei 2018 zijn de nieuwe regels in werking getreden. Als je een nieuw bedrijf start, inventariseer dan direct wat jij moet doen om AVG proof te worden.

Heb je een bestaand bedrijf? Dan kan deze klus tijdrovender en complexer zijn. Het is goed mogelijk dat jouw onderneming vergaande aanpassingen moet doorvoeren in, bijvoorbeeld, de IT- of beveiligingssystemen.

Wie houdt toezicht op de naleving van de privacywet?

Het is de Autoriteit Persoonsgegevens die toezicht houdt op de naleving van de AVG samen met een Europees Comité. Verder onderzoekt deze instantie de tips die binnenkomen en deelt eventuele boetes uit.

Moet ik een functionaris Gegevensbescherming aanstellen?

Wordt de gegevensverwerking verricht door een overheidsinstantie of overheidsorgaan? Of heeft jouw bedrijf als kernactiviteit het verwerken van ‘bijzondere persoonsgegevens’?

Of volgt jouw bedrijf op grote schaal personen om vervolgens deze gegevens te verwerken (bijvoorbeeld middels monitoring)? Dan dien je een onafhankelijke Functionaris Gegevensbescherming aan te stellen.

Wie kan ik aanstellen tot functionaris Gegevensbescherming?

Een functionaris Gegevensbescherming, of Data Protection Officer (DPO), moet goede kennis hebben van de privacywetgeving. Indien niemand binnen je bedrijf hier kennis van heeft, kun je iemand aanstellen en op cursus sturen.

Voor een schamele € 1.950,- kun je een tiendaagse cursus tot functionaris Gegevensbescherming regelen. Deze persoon zal verantwoordelijkheid dragen jou te helpen aan de regelgeving te voldoen, als contactpunt fungeren tussen jou en de toezichthoudende instantie en ervoor zorgdragen dat jouw bedrijf voldoet aan de privacywetten.

Echter, het is ook mogelijk om hier een externe partij voor in te schakelen. In dat geval is het essentieel dat je in zee gaat met een partij waarvan je zeker weet dat ze zorgvuldig omgaan met de persoonsgegevens en de privacywet naleven. Als je een derde partij inschakelt, blijf je alsnog zelf eindverantwoordelijk.

Wat zijn bijzondere personengegevens?

Het is verboden om bijzondere persoonsgegevens te verwerken. Dit zijn persoonsgegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond.

Ook genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid behoren tot bijzondere persoonsgegevens.

Dergelijke gegevens mogen alleen verwerkt worden onder bepaalde voorwaarden. Is dit van belang voor je onderneming? Lees dan sectie 7 van dit rapport. Lees ook meer over bijzondere gegevens in ons artikel over ‘wat zijn bijzondere persoonsgegevens?‘

Maak je al gebruik van bewerkersovereenkomsten?

Je bent verplicht om een bewerkersovereenkomst (na ingang AVG: verwerkersovereenkomst) te sluiten wanneer er sprake is van een andere partij die de door jou opgeslagen persoonsgegevens verwerkt.

De belangrijkste verandering hier is dat je toestemming nodig hebt van de persoon wiens gegevens betrokken worden bij de diensten die je uitbesteedt aan de verwerker. Laat je dit na? Dan kun je aansprakelijk worden gesteld.

Download de gratis DGA gids en zie essentiële punten niet over het hoofd.

Waar moet ik verder nog rekening mee houden?

De AVG is een vergaande privacywet die van bedrijven diverse vereisten stelt met betrekking tot de verwerking en bescherming van persoonsgegevens.

Er zijn dan ook nog aantal zaken waar je extra rekening mee moet houden:

Register van verwerkingen: Je dient alle verwerkingen van persoonsgegevens die je verricht bij te houden in een register.
Privacy by design: Gegevensbescherming ‘bij ontwerp’ betekent dat je in een zo vroeg mogelijk stadium, zoals bijvoorbeeld al bij het ontwerpen van je (ICT-) producten en diensten, al verhoogde privacy-maatregelen moet nemen. Denk bijvoorbeeld aan het maken van de afweging of voor een bepaalde dienst gewoon met geanonimiseerde gegevens kan worden gewerkt in plaats van persoonsgegevens.
Datalekken: Heb je een datalek? Op grond van de AVG regelgeving dien je dit (i) intern goed te registreren, (ii) de personen om wie het gaat snel hierover in te lichten, en (iii) binnen 72 uur het voorval te melden aan de Autoriteit Persoonsgegevens.
Databeveiliging: De databeveiligingseisen zijn aangescherpt met de AVG. Elke onderneming dient bijvoorbeeld een beveiligingsbeleid op te stellen waarin wordt uitgestippeld hoe er gehandeld dient te worden ingeval van verlies van persoonsgegevens of onrechtmatige verwerking.
Indirecte gegevens: Heb je gegevens verwerkt die niet rechtstreeks door een bezoeker van je website zelf aan je zijn verstrekt? Dan dien je deze persoon binnen een maand duidelijk te maken via welke bron je aan de persoonsgegevens komt en om welke persoonsgegevens het gaat. De AVG stelt dat dit binnen een maand dient te gebeuren.
Recht op dataportabiliteit: Personen moeten hun persoonlijke gegevens die jij verwerkt, kunnen downloaden in een voor hen begrijpelijk formaat voor hun eigen administratie. Ja, deze wet gaat ver! Privacy Impact Assessments (PIA): De AVG spreekt over het uitvoeren van periodieke PIAs. Met PIAs kan een verwerker controleren of een dienst of product daadwerkelijk privacy-proof is en word je als verwerker in staat gesteld vervolgens de privacy-risico’s die je websitebezoekers lopen te beperken. Een goed moment hiervoor is bijvoorbeeld wanneer de privacy-risico’s van een nieuw project in kaart dienen te worden gebracht.

Kunnen boetes oplopen tot 4% van je jaaromzet?

Houd je bedrijf zich niet aan de AVG regels? De sancties zijn niet voor de poes. Boetes kunnen oplopen tot 20 miljoen euro of tot 4% van de jaaromzet! Aan de hand van verschillende factoren wordt een “passende” straf vastgesteld.

Hierbij kan je denken:

Schadeloosstelling
Afdragen van verkregen winsten
Berisping
Verbod op verwerking van gegevens
Strafrechtelijke sancties of de bovengenoemde administratieve boetes

We adviseren je om de AVG niet te onderschatten, omdat de hoge boetes een enorme impact kunnen hebben op je bedrijf.

Het gaat om vele regels en onze privacy specialisten kunnen je goed adviseren om een compleet plaatje te krijgen over wat het betekent voor jouw onderneming.

Hoe kan ik mezelf AVG-proof maken?

Als ondernemer heb je drie opties om je onderneming AVG-proof te maken:

Je kan een advocaat inschakelen: Het voordeel van deze optie is dat je verzekerd bent dat je AVG-proof bent, indien je de instructies van de advocaat opvolgt. Het nadeel van deze optie is dat dit honderden dan wel duizenden euro’s kan gaan kosten.
Je kan zelf je onderneming AVG-proof maken: Het voordeel van deze optie is dat dit geheel kosteloos kan. Verder hoef je ook niet je huis te verlaten. Het nadeel is dat je niet verzekerd bent dat wat je doet ook juridisch correct is. Bovendien ben je waarschijnlijk ontzettend veel tijd kwijt aan het uitvogelen en doorvoeren van alle noodzakelijke aanpassingen.
Je kan je via Ligo advies inwinnen en documenten downloaden: Bij Ligo ben je ervan verzekerd dat alle juridische documenten in de database op tijd aan de AVG zullen worden aangepast. Ook zal je hiervan een melding ontvangen in je mailbox, zodat jij precies weet op welk moment de nieuwe documenten online staan. Verder kan je met een Ligo Plan onbeperkt vragen indienen over de AVG bij onze specialistische advocaten.

Vraag nu je een telefonisch consult aan bij Ligo met een van onze privacy advocaten.

Telefonisch overleggen over jouw situatie?

Happy entrepreneuring!

Over
Laatste berichten

Wendy Bogers

CEO bij Ligo

Oprichter & CEO van Ligo. In de dagelijkse bedrijfsvoering streeft zij ernaar hoge kwaliteit juridische diensten toegankelijk te maken voor jonge tot middelgrote bedrijven. Klik op Wendy's naam om al haar artikelen te lezen of neem contact op via LinkedIn.

Laatste berichten van Wendy Bogers (alles zien)

Algemene vergadering van Aandeelhouders (AvA) - februari 28, 2024
Essentiële contracten voor het oprichten van een BV - februari 28, 2024
BTW-aangifte doen - februari 28, 2024

Veel gestelde vragen

Wat is de privacywet en waarom is deze belangrijk?

De privacywet is een set van regels en voorschriften die organisaties en bedrijven moeten volgen om de persoonsgegevens van individuen te beschermen. Het is belangrijk omdat het individuen controle geeft over hun persoonlijke gegevens en voorkomt dat deze worden misbruikt.

Wat zijn de belangrijkste principes van de privacywet?

De belangrijkste principes van de privacywet zijn onder andere dat persoonlijke gegevens eerlijk en rechtmatig moeten worden verwerkt, dat individuen het recht hebben om hun gegevens in te zien en te corrigeren, en dat organisaties de gegevens moeten beschermen tegen ongeoorloofde toegang of gebruik.

Welke rechten hebben individuen onder de privacywet?

Individuen hebben onder de privacywet verschillende rechten, waaronder het recht op toegang tot hun persoonlijke gegevens, het recht op correctie van onjuiste gegevens en het recht om bezwaar te maken tegen het gebruik van hun gegevens. Lees er meer over in het artikel over de rechten van betrokkenen.

Wat is het verschil tussen de privacywet en de AVG?

De privacywet is een algemene term die verwijst naar het bredere kader van wetgeving omtrent gegevensbescherming, terwijl de AVG specifiek is voor Europa en regels bevat voor de bescherming van persoonlijke gegevens van individuen.

Wie is verantwoordelijk voor het handhaven van de privacywet?

De handhaving van de privacywet is afhankelijk van de specifieke wetgeving in een bepaald land of regio. In Nederland is de Autoriteit Persoonsgegevens (AP) verantwoordelijk voor het handhaven van de privacywet en houdt toezicht op bedrijven die te maken hebben met de privacywet.

Waarom kiezen voor Ligo?

Ligo is je partner in legal. Naast je BV, helpen we je met je overige juridische zaken. Je hebt de volgende voordelen:

Tot 50% lagere prijs

Je start jouw BV voor een vaste prijs, al vanaf 299 euro. Onze adviseurs regelen al het lastige papierwerk. Hierdoor bespaar je dagen lang zoeken naar antwoorden.

Je kent ons van:

4,5 | 736 reviews

9,6 | 346 reviews

10 | Dutch Legal Tech

Alleen bij Ligo 7 dagen per week ondersteuning en advies van juridische adviseurs

Kom je er niet helemaal uit? Wij staan voor je klaar.

Een BV of andere rechtsvorm starten met een gratis juridisch adviesgesprek? Plan het meteen in bij je oprichting.