PRIVACYWETGEVING (AVG) - 28.01.2020

Wanneer mag u persoonsgegevens verwerken?

Inmiddels is de AVG een begrip waar iedere ondernemer rekening mee moet houden. Als u ‘iets’ doet met persoonsgegevens, is de AVG namelijk van toepassing. Hoe zit het ook alweer met het verwerken van persoonsgegevens?

Soorten en maten persoonsgegevens. U heeft gegevens van uw klanten, van uw leveranciers en van uw medewerkers. Denk daarbij bijv. ook aan de stapel visitekaartjes die u heeft ontvangen tijdens het zakendoen. Mag u deze gegevens gewoon in een Excelsheet zetten? En mag u deze Excelsheet vervolgens naar een collega-ondernemer sturen, zodat ook hij deze mensen kan benaderen voor een eventuele deal? Welke regels gelden er?

Stap 1: bepaal een doel

Bedenk al bij het verzamelen van de gegevens waarom en voor welk doel u de persoonsgegevens wilt verzamelen en verwerken. In het voorbeeld van de visitekaartjes mag u deze dus niet verzamelen, omdat ze misschien ooit van pas komen. Uw doel moet van meet af aan precies duidelijk zijn.

Stap 2: alleen noodzakelijke gegevens

Vraag uzelf af of het noodzakelijk is voor dit doel om deze gegevens te verzamelen. U mag bijv. van uw werknemers weten wat hun BSN is. Dit heeft u immers nodig voor uw loonadministratie. Van uw klanten heeft u deze gegevens echter niet nodig.

Stap 3: zorg voor een grondslag

U moet een goede reden, oftewel een grondslag zoals genoemd in de AVG, hebben om persoonsgegevens te verwerken. De AVG-grondslagen zijn de hiernavolgende.

  1. Uitvoering van een overeenkomst. Deze zal het vaakst voorkomen. U heeft persoonsgegevens nodig om de overeenkomst uit te voeren, bijv. voor de levering van uw producten heeft u een huisadres nodig.
  2. Wettelijke verplichting. Soms bent u bij wet verplicht om persoonsgegevens te verwerken. Denk daarbij bijv. aan de loonadministratie en de daaraan verbonden loonbelasting.
  3. Gerechtvaardigd belang. Als u een gerechtvaardigd belang heeft, mag u persoonsgegevens verwerken, bijv. bij het opsporen van fraude binnen uw bedrijf. Dit is echter geen grondslag waarop u zich makkelijk kan beroepen.
  4. Toestemming. Als u toestemming heeft voor de verwerking van persoonsgegevens, mag u de persoonsgegevens verwerken.

Stap 4: informeer de betrokkene

Als u op basis van het voorstaande de persoonsgegevens mag verwerken, dan is het van groot belang dat u ook de betrokkene informeert, bijv. door een privacyverklaring op uw website. Daarin geeft u aan dat u persoonsgegevens verwerkt en wat u met de gegevens doet.

Stap 5: registreer

Als laatste stap moet u de verwerkingen van persoonsgegevens die u doet in uw verwerkingsregister opnemen. Schrijf daarnaast ook op, op basis van welke grondslag u verwerkt en wat het doel is van de verwerking. Mocht er dan ooit een probleem zijn met de verwerkte persoonsgegevens, dan kunt u in ieder geval aangeven welke keuzes u ten tijde van het starten van het verwerken heeft gemaakt. Dat kan boeteverlagend werken.

Download het model Verwerkingsregister van http://tipsenadvies.nl/download (TA 26.12.05).

Zorg dat u alleen maar persoonsgegevens verwerkt als u dat ook echt mag. Zo voorkomt u flinke boetes. Registreer de persoonsgegevens die u verwerkt in een verwerkingsregister. Download ons model.

Contactgegevens

Indicator BV | Schootense Dreef 31 | Postbus 794 | 5700 AT Helmond

Tel.: 0492 - 59 31 31 | Fax: 040 - 711 17 00

klantenservice@indicator.nl | www.indicator.nl

 

KvK-nummer: 17085336 | Btw-nummer: NL-803026468B01