Switch Language

Wat je moet weten over privacy en persoonsgegevens

Wat je moet weten over privacy en persoonsgegevens

by Diederick Cardon, maart 14, 2017

Ruim één jaar geleden is de Wet bescherming persoonsgegevens (Wbp) gewijzigd. Zo is het verplicht gesteld om een datalek te melden en is het risico op een boete groter bij schending van de privacy. Veel ondernemingen maken gebruik van persoonlijke data van (potentiële) klanten. Deze gegevens worden bijvoorbeeld verzameld door informatie die de persoon invult en cookies. Maar hoe ga je hier als (startende) ondernemer zorgvuldig mee om? Wat mag wel en wat mag absoluut niet?

Wat zijn persoonsgegevens?

We spreken van 2 soorten persoonsgegevens, namelijk indirecte- en directe persoonsgegevens. Directe persoonsgegevens kunnen je meteen en zonder al teveel moeite leiden naar een persoon. Denk hierbij aan een voor- en achternaam of een e-mailadres. Indirecte persoonsgegevens zijn iets ingewikkelder, denk hierbij aan bijvoorbeeld vingerafdrukken of DNA.

Je verwerkt al snel persoonsgegevens: iedere daad die je uitvoert met betrekking tot persoonsgegevens wordt al verwerking genoemd. Deze daden zijn bijvoorbeeld het bewaren, aanpassen en toepassen van persoonsgegevens. Je hoeft dus niet heel veel te doen met persoonsgegevens om al onder de privacywetgeving te vallen.

Wanneer mogen persoonsgegevens verwerkt worden?

Persoonsgegevens mogen enkel gebruikt worden op basis van de grondslag in de wet. De eenvoudigste, snelste en betrouwbaarste optie is om expliciet toestemming te vragen aan je klanten. Stel, ondernemer Hans van LunchBoer wilt een nieuwsbrief sturen aan klanten. Dan kunnen deze klanten zich aanmelden door het vinkje in het bestelproces aan te vinken waarin staat dat zij akkoord gaan met het feit dat hun e-mailadres wordt gebruikt om een nieuwsbrief te versturen. Let op: de vinkjes moeten uitstaan. De gebruiker dient zelf de vinkjes aan te vinken zodat er geen verwarring kan ontstaan.

Lees ook: zo sluit je een totaal onverwachte boete uit: Hoe onwetendheid ondernemer Hans honderden euro’s kostte…

Waar moet ik als ondernemer op letten?

In essentie moet je – als je als ondernemer met persoonsgegevens werkt – 3 dingen goed regelen.

Stel een privacy- en cookieverklaring op
Heb je een website? Dan heb je altijd een privacy- en cookieverklaring nodig. Je bent wettelijk verplicht (potentiële) klanten duidelijk te informeren over welke gegevens je verzamelt en met welk doel. Deze informatie zet je in een privacyverklaring. Als je website met cookies werkt dien je dat ook te vermelden. Dat doe je met een cookieverklaring. Zo weet de klant of bezoeker wat er gebeurt met de gegevens die ze achterlaten en ze geven hier ook toestemming voor. Deze verklaring moet je niet alleen opstellen, maar ook altijd op je website hebben. Op deze manier zijn de klanten en bezoekers van je site op de hoogte over welke persoonsgegevens worden verwerkt én waarom je dit doet. Wanneer je de privacy- en cookieverklaring niet op je website hebt staan, kun je je er ook niet op beroepen.

Sluiten van een bewerkersovereenkomst
Breng je persoonsgegevens onder bij een andere partij, dan heb je een bewerkersovereenkomst nodig. Hier is sneller sprake van dan je denkt. Bijvoorbeeld:

  • Een accountantsbureau gebruikt cloudsoftware om diensten te verlenen aan zijn klanten. De persoonsgegevens van alle klanten worden dan bewerkt via de server van een externe partij: het IT bedrijf dat de cloudsoftware aanbiedt. Het accountantsbureau is nu verplicht om een bewerkersovereenkomst te sluiten met het IT bedrijf.
  • Een bloemkweker laat zijn personeelsadministratie verrichten door een professioneel HR bureau. De persoonsgegevens van de medewerkers van de bloemkweker worden verwerkt via de servers van het HR bureau. De bloemkweker moet een bewerkersovereenkomst sluiten met het HR bureau.
  • Een dokter besluit al zijn patiëntengegevens te digitaliseren en in zijn nieuwe softwaresysteem te zetten. Het softwaresysteem is niet ‘cloud based’ maar draait op zijn eigen computersysteem. Hier is geen sprake van bewerking door een externe partij en er is geen bewerkersovereenkomst nodig.
  • Dezelfde dokter besluit het digitaliseringswerk niet zelf te verrichten, omdat het allemaal teveel werk is. Hij besluit dit als opdracht te gunnen aan zijn ZZP-ende buurman. Hier is wel sprake van een bewerking door een externe persoon. De dokter dient dus een bewerkersovereenkomst met de buurman te sluiten.

Melding bij Autoriteit Persoonsgegevens
Maak je gebruik van gegevens? Dan moet je dit melden bij de Autoriteit Persoonsgegevens. Deze partij registreert alle meldingen en maakt de meldingen bekend in openbaar register. Op deze manier is het voor iedereen transparant welke gegevens gebruikt worden. Natuurlijk zijn er altijd uitzonderingen, zo hoef je bijvoorbeeld het gebruik van de gegevens van je personeel niet te melden.

Hoe kan FIRM24 jou als ondernemer hierin helpen?

Hieronder hebben we een lijstje van contracten en overeenkomsten samengesteld dat relevant kan zijn voor jou als ondernemer:

  • Privacy statement
  • Cookie verklaring
  • Disclaimer
  • Bewerkersovereenkomst

Uiteraard kun je dit soort overeenkomsten op internet vinden. De vraag is echter of het knip, plak en kopieerwerk op overeenkomsten waarvan je de herkomst en toepasbaarheid op jouw specifieke situatie niet kent, slim is. Zeker als je voor een paar tientjes de juiste en 100% correcte overeenkomst digitaal kunt maken.

Voor wie of welk type ondernemers is dit interessant of noodzakelijk?

  • Ondernemer met een webshop of iemand die via het internet onderneemt
  • Ondernemer die NAW-gegevens van (potentiële) klanten verzamelt
  • Ondernemer die via zijn website persoonsgegevens verzamelt

Vragen?

Heb je naar aanleiding van dit artikel nog vragen omtrent het gebruik van persoonsgegevens? Neem dan contact op met onze juristen. Zij helpen je graag met ieder vraagstuk.

Meer lezen?

Reacties zijn gesloten.