Gemakkelijk online een contractenpakket opstellen?
Klik hier
We zijn nu een aantal jaar verder sinds de vervanging van de Wet bescherming persoonsgegevens (Wbp) en de invoering van de Algemene Verordening Gegevensbescherming (AVG) in de Europese Unie. Op grond van de Algemene Verordening Gegevensbescherming dient vrijwel elke onderneming een aantal documenten op te stellen. Veel ondernemers zien de Algemene Verordening Gegevensbescherming, in Nederland geregeld door de Autoriteit Persoonsgegevens, als een hoofdpijndossier. Wij willen deze hoofdpijn graag een klein beetje verlichten en daarom vind je in deze blog de belangrijkste documenten die je nodig hebt om AVG proof te zijn!
Je hoort dit woord tegenwoordig steeds vaker, privacy. Dit mag je wel doen en dat mag weer niet. Dit komt allemaal door de privacywetgeving die gecontroleerd wordt door de Autoriteit Persoonsgegevens. Aan de privacywet, de AVG, is soms geen touw vast te knopen. De privacywet Algemene Verordening Gegevensbescherming (AVG) is sinds 2018 geldig in Nederland en vervangt de Wet bescherming persoonsgegevens (Wbp). Internationaal staat de Algemene Verordening Gegevensbescherming ook bekend als de General Data Protection Regulation (GDPR). Door deze AVG wetgeving worden door de Autoriteit Persoonsgegevens een aantal verplichtingen gesteld aan jou als ondernemer wanneer je persoonsgegevens verwerkt. Jouw leveranciers, medewerkers en klanten moeten allemaal weten welke gegevens je hebt en ze moeten voor zichzelf kunnen opkomen wanneer het gaat om de verwerking van hun gegevens. Houdt je je niet aan de AVG en wordt je door de Autoriteit Persoonsgegevens betrapt? Dan kan je hele hoge boetes verwachten Je moet er dus voor zorgen dat je AVG complaint wordt én blijft! Maar welke documenten heb je hiervoor nodig?
Is de AVG verplicht? Dat is een goede vraag om mee te beginnen! De AVG geldt voor alle ondernemingen die persoonsgegevens van klanten, personeel of andere personen uit de EU verwerken. Je hebt als ondernemer vaak te maken met privacygevoelige informatie. Ook internationale ondernemingen die zakendoen met de EU zijn verplicht om zich aan de AVG te houden. Het gaat om alle verwerking-verantwoordelijke: onder meer dus ondernemingen, overheidsinstanties, stichtingen en kleine zelfstandigen. Val je onder deze groep? Dan ben je volgens de Autoriteit Persoonsgegevens verplicht om AVG-maatregelen te nemen. Het type werkzaamheden en diensten van je onderneming bepalen om welke AVG maatregelen het gaat. Hierbij kan je denken aan het bijhouden van afspraken en contactgegevens van klanten en medewerkers, het uitsturen van een offerte, maar ook cookies gekoppeld aan IP-adressen.
Wanneer de AVG dus ook voor jou geldt, is het belangrijk dat je een aantal contracten op orde krijgt zodat je uit het zicht blijft van de Autoriteit Persoonsgegevens. De belangrijkste contracten om jouw onderneming AVG-proof te maken, staan hieronder op een rijtje.
Verwerk jij persoonsgegevens? Dan ben je volgens de Autoriteit Persoonsgegevens bijna altijd verplicht om een verwerkings register op te stellen en bij te houden. In het verwerkingsregister staat de belangrijkste informatie over de manier waarop je persoonsgegevens verwerkt. Hierin vermeld je onder meer welke beveiligingsmaatregelen je hebt genomen en wat de grondslag is voor het verzamelen en verwerken van de persoonsgegevens. Een verwerkingsregister is verplicht voor ondernemingen met meer dan 250 werknemers. Als jouw onderneming minder dan 250 werknemers heeft, is een verwerkingsregister alleen verplicht als je structureel persoonsgegevens verzamelt, je met persoonsgegevens werkt met een hoog risico’s of als persoonsgegevens informatie bevatten over religie, politieke voorkeur of gezondheid.
Stelt jouw onderneming de persoonsgegevens (gedeeltelijk) aan derden ter beschikking? Dan verplicht de AVG jou om een verwerkingsovereenkomst op te stellen. Hierbij kun je denken aan een payrollbedrijf dat het salaris van jouw werknemers uitbetaalt. In de verwerkersovereenkomst maak je afspraken over de wijze waarop wordt omgegaan met de persoonsgegevens. Hierin neem je onder andere een geheimhoudingsplicht, beveiligingsmaatregelen en wat algemene voorwaarden op.
Wanneer jouw onderneming persoonsgegevens verwerkt, ben je verplicht om aan degene van wie je de gegevens verwerkt te laten weten dat je dit doet. Met een privacyverklaring kan je dit doen. Je legt met een privacyverklaring uit aan de betrokkene welke persoonsgegevens je verzameld, waarom je dit doet, wat je met de gegevens doet en hoe je ze beveiligt. Je privacyverklaring moet aan een aantal vormvereisten voldoen. Je moet de betrokkenen op een beknopte, begrijpelijke, transparante en makkelijk toegankelijke vorm in eenvoudige taal informeren. Je kan de privacyverklaring dus vrij eenvoudig opstellen. De specifieke inhoudt hang weer af van welke type persoonsgegevens jouw organisatie verzameld en verwerkt. Dit komt omdat bepaalde gegevens natuurlijk gevoeliger zijn dan anderen.
Cookies hebben verschillende functies en kunnen handig zijn voor jouw website! Zo zorgen ze ervoor dat je website goed functioneert, kunnen ze bijhouden hoe lang bezoekers op jouw website blijven en volgen ze je bezoekers op andere websites (waardoor reclame beter kan worden toegepast). Als je gebruik maakt van cookies, moet je een cookieverklaring op je website hebben. In de verklaring vermeld je het type cookie, waarvoor je hem gebruikt, vraag je toestemming voor gebruik en geef je een optie waarmee je bezoekers de cookies kunnen afwijzen. Als je dit niet doet, terwijl je wel cookies gebruikt, kun je een hoge boete krijgen!
In de disclaimer informeer je je klanten over de inhoud van je webshop. Dit kan erg uiteenlopend zijn. Je kunt bijvoorbeeld informatie geven over de plaatjes en teksten van de webshop; dat je deze zelf hebt gemaakt of dat jij de enige bent die ze mag gebruiken. Vaak wordt in de disclaimer gezet dat de webshop niet aansprakelijk is voor de getoonde informatie, maar daar schiet je niks mee op. Aansprakelijkheid is namelijk in de wet geregeld en daar kun je je zelf niet zomaar van ontdoen. De disclaimer is dus niet bedoeld om aansprakelijkheid te beperken. Hoewel de disclaimer niet verplicht is, kan het wel duidelijkheid geven.
Ondernemingen hebben volgens de Autoriteit Persoonsgegevens ook de verplichting om een register datalekken bij te houden. Hierin dien je nauwkeurig de datalekken bij te houden die zich binnen de onderneming hebben voorgedaan. Wanneer een inbreuk plaatsvindt op de beveiliging van de persoonsgegevens is sprake van een datalek. Je kan hierbij denken wanneer iemand toegang krijgt tot persoonsgegevens of dat persoonsgegevens openbaar toegankelijk worden terwijl dit niet de bedoeling is. Het is hiervoor niet nodig dat de persoonsgegevens gestolen of gehackt zijn, ook een verkeerd geadresseerde e-mail met klantgegevens of verloren documenten zijn een datalek.
Of te bepalen of jouw onderneming AVG is, is het noodzakelijk om het privacybeleid te beoordelen en te controleren. Alle belangrijkste contracten moeten op de juiste manier zijn opgesteld ! Een externe partij kan dit vaak beter dan de onderneming zelf. Firm24 helpt je dus graag bij het opstellen van de AVG-contracten! Klik hier, om via Firm24 jouw AVG-contracten pakket op te laten stellen.
Al deze zaken omtrent de Algemene Verordening gegevensbescherming kunnen je misschien afleiden van hetgeen je echt wil doen: ondernemen. Het klinkt allemaal als vervelende bijzaak en kan soms ook nog bijzonder ingewikkeld zijn. Wij kunnen voor een scherpe prijs een contractenpakket voor je opstellen, met daarin al jouw belangrijke contracten.
Wil je graag al jouw vragen beantwoord krijgen in een adviesgesprek of een offerte aanvragen? Plan dan een intakegesprek via deze pagina. De specialist neemt binnen 48 uur contact met je op.
Dankzij jarenlange ervaring weten wij ondernemers te helpen met het juiste advies.