Vergroot contrast

De AVG voor het mkb

De Algemene verordening gegevensbescherming (AVG) zorgt voor grip op persoonsgegevens. En dat betekent ook iets voor u als ondernemer. Het is aan u om ervoor te zorgen dat u netjes omgaat met de gegevens van uw klanten. Zodat uw klanten vertrouwen in u houden en graag bij u terugkomen. En u aan de wet voldoet.

Weet u niet goed waar u moet beginnen? De Autoriteit Persoonsgegevens (AP) helpt u op weg met praktische informatie. U ziet hier een stappenplan. Als u deze 5 stappen volgt, heeft u de basis op orde.

De komende tijd breidt de AP deze informatie uit. Want deze 5 stappen zijn natuurlijk niet alles wat er over de AVG te zeggen is. Hou deze pagina dus in de gaten wanneer u als mkb'er wilt weten hoe u aan de AVG voldoet.

Bekijk binnen het onderwerp De AVG voor het mkb

Alle antwoorden op mijn vragenStap 1: Ga na welke persoonsgegevens u verwerkt en waarom

  • Inleiding

    De allereerste stap is dat u nagaat welke persoonsgegevens u als ondernemer gebruikt. Bijvoorbeeld gegevens van uw klanten. Of van uw werknemers.

    • Vraagt u zich af of bepaalde gegevens persoonsgegevens zijn of niet? Of wat 'persoonsgegevens' eigenlijk precies zijn? Kijk dan bij: Wat zijn persoonsgegevens?
    • In de privacywet, de AVG, staat niet het woord 'gebruiken', maar 'verwerken'. Misschien vraagt u zich af wat 'verwerken' precies betekent. Kijk dan verder bij: Wat is verwerken?
  • Wat zijn persoonsgegevens?

    Als ondernemer verwerkt u vrijwel altijd persoonsgegevens. Bijvoorbeeld van uw klanten. Persoonsgegevens zijn gegevens die direct over iemand gaan óf die naar iemand te herleiden zijn.

    Iemands naam is bijvoorbeeld een persoonsgegeven. Maar ook het IP-adres van een persoon. Je ziet dan niet direct over wie het gaat, maar dit is wel te achterhalen.

    Alle gegevens die informatie geven over een persoon, zijn dus persoonsgegevens. Voor meer informatie, zie: Wat zijn persoonsgegevens?

    Dus: welke persoonsgegevens verwerkt u? Bijvoorbeeld:

    • NAW-gegevens van uw klanten zodra ze een bestelling plaatsen;
    • het e-mailadres van klanten die zich hebben geabonneerd op uw nieuwsbrief.
  • Wat is verwerken?

    Verwerken houdt in: alles wat u met persoonsgegevens kunt doen. Van verzamelen tot en met vernietigen.

    Voor voorbeelden van verwerken, zie: Wat houdt verwerken van persoonsgegevens in?

    Meerdere handelingen

    Een verwerking kan bestaan uit een reeks handelingen. Bijvoorbeeld: u wilt een e-mailnieuwsbrief sturen aan uw klanten. Daarvoor moet u e-mailadressen verzamelen, opslaan, gebruiken voor de verzending en verwijderen zodra klanten zich afmelden. Al deze handelingen vormen samen één gegevensverwerking.

    In stap 2 van dit stappenplan staat dat u een zogeheten grondslag nodig heeft voor uw verwerking. Die grondslag heeft u dan nodig voor het geheel aan handelingen, niet voor elke handeling apart.

    Dus u hoeft geen aparte grondslag te hebben voor alle handelingen die u doet om de nieuwsbrief te versturen (e-mailadressen verzamelen, opslaan etc.).

  • Waarom verwerkt u persoonsgegevens?

    Bedenk waarom u persoonsgegeven verwerkt. Of wilt gaan verwerken. Wat wilt u bereiken? Dat wordt het doel van uw verwerking genoemd.

    Duidelijk en precies doel

    Uw doel moet vanaf het begin duidelijk zijn. En uw doel moet ook heel precies zijn. Dus niet: ‘omdat de gegevens misschien ooit van pas komen’.

    Noodzaak

    Heeft u een duidelijk en precies doel voor ogen? Dan moet u nagaan of het noodzakelijk is om voor dit doel persoonsgegevens te verwerken. U mag namelijk alleen persoonsgegevens verwerken als het echt niet anders kan. Dus als u uw doel niet kunt bereiken zonder persoonsgegevens.

    Zo min mogelijk gegevens

    U mag niet meer persoonsgegevens verwerken dan strikt noodzakelijk is voor uw doel. Dit wordt 'dataminimalisatie' genoemd. Dus: verwerk zo min mogelijk gegevens.

    Wilt u bijvoorbeeld een nieuwsbrief versturen aan uw klanten? Bedenk dan welke gegevens u écht nodig heeft. U kunt de nieuwsbrief niet versturen zonder e-mailadres van uw klant. Dus het e-mailadres is noodzakelijk. Maar geldt dat bijvoorbeeld ook voor de geboortedatum van uw klant?

Alle antwoorden op mijn vragenStap 2: Bepaal of u deze gegevens mag gebruiken

  • Inleiding

    Elke keer als een bedrijf of organisatie persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mogen bedrijven en organisaties niet zomaar persoonsgegevens verwerken.

    Dat geldt ook voor u als ondernemer in het mkb. U mag alleen persoonsgegevens verwerken als het echt niet anders kan. Dus: als u zonder deze gegevens uw doel niet kunt bereiken.

    Grondslag nodig

    U moet dus een goede reden hebben om gegevens te verwerken. Maar die reden mag u niet zelf bedenken. Dus bijvoorbeeld niet: ‘omdat het handig is’.

    In de privacywet, de Algemene verordening gegevensbescherming (AVG), staan 6 redenen genoemd om gegevens te verwerken.

    Dit zijn de enige redenen die geldig zijn. De juridische naam voor die redenen is grondslagen.

    U heeft dus een grondslag nodig om persoonsgegevens te mogen verwerken.

    Let op: u heeft voor elk doel waarvoor u gegevens verwerkt een aparte grondslag nodig. Bijvoorbeeld: u verwerkt adresgegevens van uw klanten om bestellingen te leveren. Daarvoor heeft u een grondslag nodig. En u verwerkt e-mailadressen om uw klanten een nieuwsbrief te versturen. Daarvoor heeft u een aparte grondslag nodig. U kunt dus niet al uw verwerkingen op één hoop gooien en daarvoor één grondslag kiezen.

    Van de 6 grondslagen uit de AVG zijn er 4 belangrijk voor u als ondernemer. Lees verder: Hoe weet u welke grondslag van toepassing is?

  • Hoe weet u welke grondslag van toepassing is?

    Van de 6 grondslagen uit de AVG zijn er 4 belangrijk voor u als ondernemer in het mkb. U moet zelf beoordelen welke grondslag voor u van toepassing is. Dat is uw eigen verantwoordelijkheid.  

    U bepaalt de grondslag voordat u begint met gegevens te verwerken. Kunt u geen grondslag vinden die past bij wat u met de gegevens wilt doen? Dan mag u de gegevens niet verwerken.

    Overeenkomst

    De meest voorkomende grondslag zal zijn dat u gegevens nodig heeft om een overeenkomst uit te voeren.

    Bijvoorbeeld als u een webwinkel heeft en een klant iets bij u bestelt. U heeft dan het adres van de klant nodig om het product te kunnen versturen.

    Deze grondslag geldt óók voor de fase voordat u een overeenkomst afsluit. Bijvoorbeeld als u op verzoek een offerte opstelt.

    Zie verder: Wanneer mag u zich baseren op de grondslag uitvoering overeenkomst?

    Wettelijke verplichting

    Soms moet u persoonsgegevens verwerken omdat u dit wettelijk verplicht bent. Bijvoorbeeld: u moet gegevens verstrekken aan de Belastingdienst. 

    Zie verder: Wanneer mag u zich baseren op de grondslag wettelijke verplichting?

    Toestemming

    U mag iemands persoonsgegevens verwerken als diegene daarvoor toestemming heeft gegeven. Maar dat komt minder vaak voor dan u misschien denkt. U hoeft dus zeker niet overal toestemming voor te vragen.

    Zie verder:

    Gerechtvaardigd belang

    U mag persoonsgegevens verwerken als dat noodzakelijk is om uw gerechtvaardigd belang te behartigen. Bijvoorbeeld als u fraude binnen uw bedrijf wilt bestrijden.

    Zie verder: Wanneer mag u zich baseren op de grondslag gerechtvaardigd belang?

    Uitzondering: bijzondere en strafrechtelijke gegevens

    Let op: deze regels gelden alleen voor ‘gewone’ persoonsgegevens. Wilt u bijzondere persoonsgegevens verwerken? Zoals gegevens over iemands gezondheid? Of strafrechtelijke gegevens?

    Dat is verboden. Tenzij u voldoet aan een aantal strenge eisen. Een grondslag hebben is dan dus niet genoeg.

    Zie verder

  • Wat moet u verder doen als u een grondslag heeft?

    Heeft u een grondslag gevonden? Dan bent u al goed op weg. Maar u bent nog niet klaar.

    U moet de grondslag op 2 plekken registreren. Namelijk in uw privacyverklaring en in uw verwerkingsregister.

    Lees verder:

  • Is het niet beter om voor de zekerheid altijd toestemming te vragen?

    Nee. Het is een misverstand dat u voor alle verwerkingen van persoonsgegevens toestemming nodig zou hebben.

    Maak het uzelf dus niet onnodig moeilijk. En val uw klanten niet onnodig lastig.

    Lees verder:

  • Meer informatie

    Wilt u meer weten over wanneer u wel en niet persoonsgegevens mag verwerken? En over de grondslagen uit de AVG?

    Kijk dan in het uitgebreide AVG-dossier: Mag u persoonsgegevens verwerken?

Alle antwoorden op mijn vragenStap 3: Maak een overzicht van alle gegevens die u verwerkt

  • Inleiding

    U heeft stap 1 en 2 van dit stappenplan doorlopen. Dat betekent dat u voor al uw verwerkingen heeft bepaald welke gegevens u verwerkt, voor welk doel en op basis van welke grondslag. Dan is het nu tijd om dat te registreren. Dit doet u in uw verwerkingsregister.

    Het verwerkingsregister geeft informatie over de persoonsgegevens die u verwerkt. Het is bijna altijd verplicht om een verwerkingsregister te hebben.

    Deze verplichting geldt meestal ook voor kleine ondernemers. Maar het voordeel is wel: hoe minder persoonsgegevens u verwerkt, hoe minder tijd het kost om zo’n register te maken.

    Lees verder over wat er in het verwerkingsregister moet staan.

    Het verwerkingsregister helpt u bij uw verantwoordingsplicht. Deze plicht houdt in dat u moet kunnen aantonen dat u aan de AVG voldoet. U moet bijvoorbeeld uw verwerkingsregister aan de Autoriteit Persoonsgegevens (AP) laten zien als de AP dat aan u vraagt. Zorg dus dat uw verwerkingsregister op orde is.

  • Wat moet er in het verwerkingsregister staan?

    U mag zelf weten hoe u het verwerkingsregister opstelt. Wel schrijft de AVG voor welke informatie u in het verwerkingsregister moet zetten.

    Dat is onder meer: de doelen waarvoor u persoonsgegevens verwerkt, van wie u persoonsgegevens verwerkt en om wat voor soort persoonsgegevens het gaat (bijvoorbeeld: NAW-gegevens, e-mailadressen).

    U bent niet verplicht om de grondslagen voor uw verwerkingen te registreren. Maar dat is wel aan te raden.

    In het verwerkingsregister noteert u ook welke maatregelen u heeft genomen om de persoonsgegevens te beveiligen.

    Zie verder: Wat moet er in het verwerkingsregister staan?

Alle antwoorden op mijn vragenStap 4: Maak de beveiliging in orde

  • Inleiding

    Verantwoord omgaan met persoonsgegevens valt of staat met goede beveiliging van de gegevens. Slechte beveiliging kan bijvoorbeeld leiden tot een datalek, met alle gevolgen van dien. Daarom staat in de AVG dat u persoonsgegevens goed moet beveiligen.

    Wat een goede beveiliging is, hangt helemaal af van de situatie. Een ‘one size fits all-oplossing’ bestaat helaas niet. U moet zelf bepalen welke beveiligingsmaatregelen in uw situatie nodig zijn.

    Zie verder: Hoe moet ik mijn verwerkingen beveiligen?

  • Hoe moet ik mijn verwerkingen beveiligen?

    In de vorige stappen van dit stappenplan heeft u in kaart gebracht welke verwerkingen u uitvoert. Dan kunt u nu bepalen welke technische en organisatorische maatregelen nodig zijn om die verwerkingen goed te beveiligen.

    Technische maatregelen houdt in dat u moderne (niet verouderde) techniek gebruikt om persoonsgegevens te beveiligen.

    Organisatorische maatregelen houdt in dat u niet alleen naar de techniek kijkt, maar ook naar hoe uw onderneming met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?

    Uw beveiligingsniveau moet zijn afgestemd op de risico’s die de gegevensverwerking met zich meebrengt. Dus: bij een hoger risico heeft u strengere maatregelen nodig.

    Zie verder:

  • Hoe voorkom ik datalekken?

    Een datalek zit in een klein hoekje. Het kan iedere organisatie gebeuren. Maar als u een goed beveiligingsplan heeft, kunt u datalekken wel zo veel mogelijk voorkomen. Ook is het belangrijk dat u snel handelt als u toch een datalek heeft. 

    Zie verder:

  • Moet ik altijd https gebruiken voor mijn website?

    Als u persoonsgegevens verzamelt via uw website, moet u in ieder geval https gebruiken. Zo voorkomt u dat onbevoegde derden mee kunnen lezen met het verkeer naar uw website.

    Er zijn organisaties waarbij u een https-certificaat kunt aanvragen. Tip: vraag advies aan uw webhost.

    Website controleren

    Wilt u weten of uw website voldoet aan moderne internetstandaarden, zoals https? Dat kunt u zelf controleren via Internet.nl.

    Voer uw website-adres in op deze site. U krijgt onmiddellijk een analyse van de verbeterpunten.

    Zo kunt u eenvoudig controleren of uw internetverbinding, e-mail en website wel voldoen aan moderne internetstandaarden.

    Internet.nl is een initiatief van de Internetgemeenschap en de Nederlandse overheid.

  • Mag ik persoonsgegevens delen via e-mail, app of de cloud?

    In de Algemene verordening gegevensbescherming (AVG) staat niet expliciet dat het gebruik van deze diensten verboden is. Wel kan het in sommige gevallen als een ‘gebrek aan beveiliging’ worden gezien.

    Bijvoorbeeld wanneer u gevoelige persoonsgegevens opslaat in een gratis clouddienst. En deze dienst gratis is omdat de aanbieder uw gegevens verkoopt aan onbekende derden voor marketingdoeleinden.

    U moet zelf bepalen of het gebruik van deze diensten in uw situatie passend is. Dit hangt af van de risico's in uw situatie.

    Deelt u gevoelige persoonsgegevens, dan levert dat bijvoorbeeld een groter risico op dan dat u 'gewone' persoonsgegeven deelt.

    Ook hangt het af van uw totale beveiligingsplan.

    Zie ook: Hoe kan ik veilig persoonsgegevens via e-mail versturen?

  • Hoe kan ik veilig persoonsgegevens via e-mail versturen?

    Aan het verzenden van informatie via e-mail zitten risico’s. Dus wilt u persoonsgegevens via e-mail versturen? Bijvoorbeeld gegevens over uw klanten of andere relaties? Dan bent u er verantwoordelijk voor dat u die gegevens veilig verstuurt.

    U moet voor e-mail maatregelen treffen om te voorkomen dat onbevoegden toegang krijgen tot de informatie. In de wet staat niet precies omschreven welke maatregelen u moet treffen. Wel dat deze passend moeten zijn.

    Wij geven u 2 voorbeelden van passende maatregelen:

    • Het versleutelen van de persoonsgegevens in een e-mailbijlage.
    • Het versleutelen van het e-mailverkeer tussen mailservers met een of meerdere moderne internetstandaard(en). Voorbeelden van moderne internetstandaarden zijn DANE, DKIM, PGP, S/MIME, SPF en STARTTLS.

    Meer informatie van het NCSC

    Meer informatie over veilige internetstandaarden vindt u op de website van het Nationaal Cyber Security Centrum (NCSC):

    E-mailtest

    Wilt u weten of uw e-mailvoorziening de moderne internetstandaarden ondersteunt? Doe dan de e-mailtest op Internet.nl.

  • Meer informatie

    Wilt u meer weten over beveiliging van persoonsgegevens? Of over datalekken? Kijk dan eens bij:

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Alle antwoorden op mijn vragenStap 5: Ga goed om met privacyrechten