Privacywet AVG: dit moet je weten

Bijgewerkt op 27 maart 2023
6 min  leestijd
3.478
Privacywet AVG

De nieuwe privacywet AVG is ingegaan op 25 mei 2018. Wat betekent deze nieuwe wet voor startende ondernemers? De regels omtrent het gebruik van persoonsgegevens zijn een stuk strenger geworden. Lees je goed in en voorkom een boete te voorkomen.

Hoe ga jij als startende ondernemer om met de gegevens van je klanten? Verzamel je hun adressen voor je nieuwsbrief? Of ben je van plan in de toekomst bijvoorbeeld met een kortingspas of andere direct-marketing te werken? Ga sterk van start door vooraf al rekening te houden met de privacywet AVG.

Direct naar de checklist AVG

Wat is de AVG?

De nieuwe privacywet AVG (in het Engels GDPR) geldt sinds 25 mei 2018 in de hele Europese Unie. De we moet consumenten en werknemers meer zeggenschap geven over hun persoonlijke gegevens en wat bedrijven hiermee doen.

Deze Europese wetgeving vervangt de nationale, dus in ons geval de Wet bescherming persoonsgegevens (Wbp). 

Voordeel startende ondernemers

Als startende ondernemer heb je meestal nog geen uitgebreide database met klanten of medewerkers. Je hebt dus een voordeel ten opzichte van gevestigde ondernemers. Je hoeft niet van alles aan te passen of na te lopen, maar kunt het direct goed doen.

Welke persoonsgegevens vallen onder de nieuwe privacywet AVG?

Persoonsgegevens zijn gegevens waarmee je een specifiek persoon kunt identificeren. Dit zijn bijvoorbeeld:

  • Namen,
  • adressen,
  • e-mailadressen,
  • IP-adressen en
  • foto's.

whitepaper administratie cover

Administratie opzetten?

Speciaal voor starters: de basis in 5 minuten. Een overzicht van wat je nodig hebt om aan de slag te gaan met je boekhouding, inclusief tips.

Download gratis PDF

Bijzondere persoonsgegevens

Er is daarnaast nog een categorie 'bijzondere persoonsgegevens'. Dit gaat om gevoelige informatie. Volgens de nieuwe privacywet mag je dit soort gegevens niet verwerken, tenzij er in de wet specifieke toestemming voor is. Het gaat om zaken als:

  • Godsdienst of levensovertuiging,
  • ras,
  • politieke voorkeur,
  • gezondheid,
  • seksuele leven,
  • lidmaatschap van een vakbond,
  • strafrechtelijk verleden en
  • BSN-nummer.

Databeveiliging en een datalek melden

Het is belangrijk om ervoor te zorgen dat de gegevens goed beveiligd zijn tegen cybercrime. Zorg bijvoorbeeld voor een goed antivirusprogramma en geef alleen mensen toegang die het echt nodig hebben. Dit heet 'privacy by design'.

Gaat het toch mis en krijg je een datalek? Onder de AVG moet je alle datalekken documenteren voor de Autoriteit Persoonsgegevens. 

Klantgegevens opslaan als startende ondernemer

Voorkomen is beter dan genezen. Gegevens die je niet hebt, kun je niet verkeerd gebruiken. En er valt dan ook niet veel te hacken of te misbruiken. Bouw je database op met wat je echt nodig hebt.

Veel kappers vragen nu bijvoorbeeld standaard het postadres van klanten, terwijl ze dit nooit gebruiken. Kortingsacties kun je ook per e-mail verzenden.

Kies altijd standaard voor de meest privacy vriendelijke aanpak. Dit wordt ook wel 'privacy by default' genoemd, een onderdeel van privacy by design.

Hieronder gaan we verder in op de basiselementen voor zo’n ‘privacy by default’-aanpak. Je kunt ook direct naar de checklist AVG voor startende startende ondernemers.

Toestemming vragen: wat zijn de AVG-regels?

Besluit je om bepaalde persoonsgegevens wél te bewaren? Vraag dan expliciet toestemming aan je klant. Bijvoorbeeld: een klant mailt je met een vraag over een product. Dan kun je diegene niet zomaar een nieuwsbrief sturen.

Een klant moet weten welke gegevens je bewaart en waarvoor. De toestemming moet volgens de wet 'specifiek' en 'geïnformeerd' zijn. In de praktijk betekent dit dat je uitlegt aan je klant waar je de gegevens precies voor gaat gebruiken. Dit kun je mondeling doen, maar vaker zal het gaan om een extra tekstje naast een (online) inschrijfformulier.

Gegevens gebruiken voor ander doeleinden

Je mag vervolgens de gegevens ook alleen maar gebruiken op de manier waar je klant toestemming voor heeft gegeven. Bijvoorbeeld: je klant zet een vinkje dat hij of zij de maandelijkse informatieve nieuwsbrief wil ontvangen. Dan kun je niet ineens wekelijks een e-mail met actiekortingen sturen.

Autorisatiematrix

Met een autorisatiematrix regel je de toegangsrechten. Oftewel: wie heeft toegang tot welke informatie in jouw bedrijf en vanaf welk device? Waarvoor is een autorisatiematrix nodig en hoe stel je er een op? Dat lees je hier.

Hoog risico: starten met een datagedreven bedrijf

Is jouw product of dienst afhankelijk van data van klanten? Bijvoorbeeld omdat je een hardloopapp maakt? Of omdat je het gedrag van klanten online wilt volgen om ze bijvoorbeeld met ‘marketing automation’ heel specifiek producten aan te bieden?

Dan is het handig om een Data Protection Impact Assessment (DPIA) uit te voeren. Met een DPIA breng je in kaart waar de risico's liggen en hoe je hierop kunt inspelen.

Functionaris voor de Gegevensbescherming

In sommige gevallen moet je zelfs een Functionaris voor de Gegevensbescherming aanstellen (FG). De FG houdt binnen je onderneming toezicht op het naleven van de AVG. Je mag als ondernemer niet zelf als FG optreden vanwege het risico op belangenverstrengeling.

Een FG is bijvoorbeeld nodig als je kernactiviteit het verzamelen van persoonsgegevens is.

Rechten, klachten en boetes

Je klanten en medewerkers kunnen jou als ondernemer vragen om hun eigen gegevens of om deze door te sturen aan een andere organisatie. Dit heet het recht op dataportabiliteit.

Ook kunnen ze hun toestemming om de gegevens te gebruiken in te trekken. Zij hebben met de AVG het 'recht om vergeten te worden'.

Klacht bij Autoriteit Persoonsgegevens

Een klant kan een klacht indienen bij de Autoriteit Persoonsgegevens als hij of zij ontevreden is over hoe jij met hun gegevens omgaat. Handel je in strijd met de AVG? Dan kun je in 2023 een boete krijgen van maximaal € 20 miljoen of 4% van je omzet.

Snelle checklist AVG voor startende ondernemers

  • Kies wat je wilt verzamelen
    Welke persoonsgegevens van mijn klanten wil ik opslaan?
  • Omschrijf je doel: is het echt nodig?
    Waarom wil je deze data opslaan? Waar ga je ze voor gebruiken? Is het echt nodig?
  • Vraag toestemming aan je klanten
    Als je besloten hebt om gegevens te gaan verzamelen, vraag dan toestemming aan je klanten voor je gegevens opslaat. Voor de AVG is het belangrijk dat je daarbij duidelijk aan je klant vertelt waarvoor je precies toestemming vraagt.

    De toestemming moet ‘specifiek en geinformeerd’ zijn. Ofwel: je klant moet precies weten waar hij of zij 'ja' tegen zegt. Waarom sla je de gegevens op? Wat ga je ermee doen? En deel je de data bijvoorbeeld met andere bedrijven?
  • Houd bij hoe je met data omgaat
    Voor de AVG moet je bijhouden hoe je aan data komt, dat je toestemming hebt en of je de data hebt gedeeld.
  • Zorg voor een goede beveiliging van data
    Investeer in veiligheid, zodat hackers niet bij de gegevens van je klanten kunnen. Worden gegevens gehackt of is ineens je intekenlijst met e-mailadressen voor de nieuwsbrief zoek? Dat kan gelden als een datalek, dat je moet melden bij de Autoriteit Persoonsgegevens.

zakelijke rekening afbeelding

Zakelijke rekening: 6 voordelen!

Zakelijke rekening nodig of twijfel je nog?

Bekijk de 6 voordelen

Meer over juridisch

Meer over juridisch
Ondernemingsplan

Gratis ondernemingsplan voorbeelden!

Kun je wel wat hulp gebruiken bij het maken van je ondernemingsplan? Download gratis de voorbeeld ondernemingsplannen, ieder gericht op een bepaalde branche. Zo ga jij sterker van start!

Sluiten