Laatst geüpdatet op juni 26, 2023
Sinds 25 mei is de AVG in werking getreden, die toeziet op betere bescherming bij het verwerken van persoonsgegevens. Deze wet heeft verstrekkende gevolgen voor jou als ondernemer. Als je je niet aan de AVG houdt, kan hele hoge boetes krijgen.
Deze boetes kunnen oplopen tot maar liefst 20 miljoen euro of 4% van de jaaromzet van je bedrijf. Deze boetes zijn veel hoger dan de boetes op basis van de eerder geldende Wet bescherming persoonsgegevens (Wbp).
Maar hoe ga je dit soort hoge boetes voorkomen? Zorgvuldig persoonsgegevens verwerken: hoe doe je dat? Daar helpt Ligo je bij met onder andere onze AVG Privacy Scan, onze geüpdatete documenten en de onze AVG blogs.
In deze blog gaan we in op de vraag wanneer je precies persoonspersoonsgegevens mag verwerken en hoe het zit met de boetes. Dit mag namelijk lang niet altijd!
Een BV oprichten met gratis advies van de Ligo specialisten?
Meer dan 100.000+ ondernemers kozen voor de oplossing van Ligo
Ook interessant:
- AVG verwerkersovereenkomst: weet jij wat je moet vastleggen?
- De nieuwe privacywet AVG komt eraan
- AVG Checklist: 5 To Do’s onder de nieuwe privacywet
Wanneer mag je persoonsgegevens verwerken zonder een boete te krijgen?
Onder de nieuwe privacywet mag je niet zomaar persoonsgegevens verwerken. Hier dient een goede reden voor zijn. Dit betekent dus dat, als er geen goede reden is om persoonsgegevens te verwerken, je dit niet mag doen.
Dit kan voor jou als ondernemer natuurlijk harstikke vervelend zijn, want jouw onderneming is misschien wel afhankelijk van het kunnen verwerken van persoonsgegevens. Gelukkig zijn in de nieuwe privacywet gronden opgenomen waarom jij als ondernemer wel persoonsgegevens mag verwerken.
Deze gronden zijn:
- Het verwerken van persoonsgegevens is nodig om een overeenkomst uit te voeren. Zoals bijvoorbeeld een arbeidsovereenkomst. Maar dit is bijvoorbeeld ook het geval als iemand op jouw website een product bij jou besteld en jij dit product bij hem thuis moet afleveren. Je moet dan wel weten waar deze persoon woont en hoe hij heet. Om die reden mag je in die situatie dan ook de persoonsgegevens van deze persoon verwerken.
- Het verwerken van persoonsgegevens is ook toegestaan wanneer er een wettelijke verplichting is om dat te doen. Een voorbeeld hiervan is dat jij salarisgegevens van jouw werknemers dient te bewaren, zodat de Belastingdienst kan bepalen hoeveel belasting jouw werknemers moeten betalen.
- Verder mag je persoonsgegevens verwerken wanneer jij daarbij een gerechtvaardigd belang hebt. Van een gerechtvaardigd belang is bijvoorbeeld sprake als jij inloggegevens van gebruikers van jouw website bewaart, zodat zij op jouw website kunnen inloggen. In zo’n situatie heb je een gerechtvaardigd belang bij het verwerken van deze persoonsgegevens, omdat gebruikers van jouw website anders niet van jouw website gebruik kunnen maken.
- Ook mag je persoonsgegevens verwerken, als jij toestemming hebt gekregen van de persoon van wie je persoonsgegevens verwerkt. Als er geen andere reden is waarom je persoonsgegevens mag verwerken, kan je dus altijd nog vragen om toestemming om hun persoonsgegevens te mogen verwerken. Weet wel dat dit de zwakste grond is van alle redenen. Als de persoon zijn toestemming intrekt en je hebt geen andere grond waarop je de verwerking kan baseren, dan mag je die persoonsgegevens niet meer verwerken!
Wanneer heb ik geldig toestemming voor persoonsgegevens verwerken gekregen?
Vaak mag je alleen iemands persoonsgegevens verwerken, omdat je daarvoor toestemming hebt gekregen van die persoon. Maar wanneer is een gegeven toestemming nu echt geldig? En wat moet je doen om ervoor te zorgen dat een gegeven toestemming geldig blijft?
Gegevens verwerken omdat je daar toestemming voor hebt gekregen onder de nieuwe privacy wet is in ieder geval niet makkelijk.
Een geldige toestemming van een persoon van wie je gegevens wil verwerken ‘ een betrokkene ‘ moet namelijk aan de volgende vereisten voldoen:
- De toestemming dient vrij te zijn gegeven. Hiermee wordt bedoeld dat iemand vrij moet kunnen beslissen of hij jou toestemming wil geven. Een werknemer is van jou als werkgever afhankelijk en kan daarom niet vrij zijn toestemming geven voor het verwerken van zijn persoonsgegevens. Een toestemming is ook niet vrij gegeven als je iemand vertelt dat je zijn toestemming ergens voor nodig hebt, terwijl dat eigenlijk niet zo is.
- De toestemming dient geïnformeerd te zijn gegeven. Stel dat iemand je toestemming geeft om zijn gegevens door jou te laten verwerken, maar dat hij eigenlijk helemaal niet weet wat je met zijn gegevens gaat doen en waarom je de gegevens nodig hebt. Zo’n toestemming is onder de AVG niet meer rechtsgeldig, omdat iemand eigenlijk niet weet waar die toestemming voor geeft.
- De toestemming dient ondubbelzinnig te zijn gegeven. Stel dat iemand op een webformulier op jouw site zijn gegevens achterlaat, maar hij heeft nergens aangegeven dat hij jou toestemming geeft om die persoonsgegevens te verwerken. Het is dan een beetje onduidelijk wat deze persoon wil. Zo’n onduidelijke toestemming is ook niet rechtsgeldig. Voor de zekerheid is het daarom beter dat je iemand een hokje aan laat klikken waarbij bijvoorbeeld staat: ‘ik geef toestemming dat deze gegevens van mij worden verwerkt.’
- De toestemming moet door een actieve handeling zijn gegeven. Stel dat iemand op jouw website toestemming kan geven voor het verwerken van zijn persoonsgegevens. Als iemand dit moet doen door een hokje aan te vinken, is dat prima. Dit hokje mag dan echter niet al standaard aangevinkt staan. Het is namelijk de bedoeling van de AVG dat iemand door een actieve handeling, bijvoorbeeld door het aanklikken van een hokje, toestemming geeft.
Download de gratis DGA gids en zie essentiële punten niet over het hoofd.
Mag ik persoonsgegevens verwerken via een toestemming in algemene voorwaarden?
Is het verstandig om in jouw algemene voorwaarden op te nemen dat iedereen die met jou een overeenkomst aangaat jou toestemming geeft om persoonsgegevens te verwerken? Het antwoord is nee. Een toestemming die wordt gegeven door akkoord te gaan met algemene voorwaarden, wordt in de nieuwe privacywet namelijk als ongeldig gezien.
Als je toestemming wil krijgen zodat je iemands persoonsgegevens kan gaan verwerken, dien jij als ondernemer een aparte afspraak op te nemen in de overeenkomst die je afsluit met de persoon van wie je persoonsgegevens verwerkt.
Zo weet de persoon met met wie jij de overeenkomst sluit dat jij zijn persoonsgegevens gaat verwerken en gaat hij niet ‘per ongeluk’ akkoord het verwerken van zijn persoonsgegevens. Om boetes te voorkomen, is het dus belangrijk dat je op de juiste plek om toestemming vraagt.
Vind je het moeilijk om op een goede manier om toestemming te vragen? Dan kunnen wij bij Ligo jou verder helpen! Onze specialisten, met wie jij als member gratis kan bellen, hebben namelijk zowel juridische als technische kennis over de AVG. Zo zorgen we ervoor dat jij op een juiste manier om toestemming vraagt.
Persoonsgegevens verwerken nadat je toestemming hebt gekregen
Als je eenmaal toestemming hebt gekregen om de persoonsgegevens van iemand te verwerken, mag je in principe met het persoonsgegevens verwerken gaan beginnen. Het is wel heel belangrijk om op de volgende te letten:
- Je mag alleen de persoonsgegevens verwerken waarvoor je toestemming hebt gekregen om die persoonsgegevens te verwerken. Als iemand jouw toestemming heeft gegevens om je adresgegevens te registreren, mag je dat dus doen. Als iemand je echter geen toestemming heeft gegeven om hierbij ook zijn naam te registreren, mag je die naam niet zomaar ergens bewaren;
- De Autoriteit Persoonsgegevens (AP) controleert of jouw bedrijf zich aan de privacywet houdt. Maar hoe doet de AP dit? De AP gaat dit onder andere doen door te aan jou te vragen waarom jij persoonsgegevens verwerkt. Als jij zegt dat je toestemming hebt gekregen voor het persoonsgegevens verwerken, gaat de Autoriteit Persoonsgegevens van jou vragen te laten zien dat je die toestemming geldig hebt gekregen. Het is dan ook heel belangrijk om ergens op te slaan hoe iemand jou toestemming heeft gegeven.
- Het is goed mogelijk dat iemand jou toestemming heeft gegeven om zijn persoonsgegevens te verwerken, maar dat deze persoon wil dat er een eind komt aan het verwerken van persoonsgegevens van hem. Als dit gebeurt, mag je geen nieuwe gegevens meer van deze persoon verzamelen en dien je de gegevens die je van deze persoon al hebt te wissen. Om deze reden is het heel belangrijk dat je een goed overzicht hebt van welke persoonsgegevens je van iemand hebt en waarom je die hebt. Zo voorkom je dat je gegevens verzamelt of bewaart terwijl dit niet mag en je hier later boetes voor krijgt.
Hoe zorg ik dat ik persoonsgegevens verwerk om de juiste reden en geen boetes krijg?
De AVG is een heel ingrijpende nieuwe privacywet. Als je bij het persoonsgegevens verwerken geen goede reden kan aanvoeren waarom je persoonsgegevens verwerkt, kan je torenhoge boetes krijgen. Het is dus heel belangrijk dat je om de juiste reden persoonsgegevens verwerkt. Maar hoe kan je dit doen?
- Je kan een advocaat inschakelen. Het voordeel van deze optie is dat je verzekerd bent dat je AVG-proof bent, indien je de instructies van de advocaat opvolgt. Het nadeel van deze optie is dat dit honderden dan wel duizenden euro’s kan gaan kosten.
- Je kan zelf je onderneming AVG-proof maken. Het voordeel van deze optie is dat dit geheel kosteloos kan. Verder hoef je ook niet je huis te verlaten. Het nadeel is dat je niet verzekerd bent dat wat je doet ook juridisch correct is. Bovendien ben je waarschijnlijk ontzettend veel tijd kwijt aan het uitvogelen en doorvoeren van alle noodzakelijke aanpassingen.
- Je kan je bij Ligo aansluiten. Bij Ligo ben je ervan verzekerd dat alle juridische documenten in de database op tijd aan de AVG zullen worden aangepast. Hiernaast helpen we je met een AVG Privacy Scan Verder kan je als member onbeperkt vragen indienen over de AVG bij onze specialistische advocaten. Hierdoor weet jij straks ruim voor 25 mei welke persoonsgegevens jij om welke reden mag verwerken!
Happy entrepreneuring!
Telefonisch overleggen over jouw situatie?
- Het recht op privacy in de AVG: waar hebben betrokken personen recht op? - maart 5, 2023
- Bijzondere persoonsgegevens: wat zijn het en waar moet je op letten? - maart 4, 2023
- Wanneer mag je persoonsgegevens verwerken? - maart 2, 2023