Wanneer is een privacybeleid volgens de AVG verplicht? U bent alleen verplicht om een privacybeleid (gegevensbeschermingsbeleid) op te stellen als dat in verhouding staat tot uw verwerkingsactiviteiten. Of u verplicht bent om een privacybeleid op te stellen, hangt af van de concrete omstandigheden.
De Algemene Verordening Gegevensbescherming (AVG) is een Europese Privacywet. De AVG regelt dat bedrijven en organisaties persoonsgegevens zorgvuldig verwerken. U moet bijvoorbeeld een goede reden hebben om persoonsgegevens te verwerken. En u mag niet meer persoonsgegevens verzamelen en gebruiken dan echt nodig is.
De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Deze bevoegdheid heeft de AP sinds 25 mei 2018, de datum dat de AVG van toepassing werd.
Voor wie geldt de AVG? De Europese privacywet geldt voor alle bedrijven en organisaties die persoonsgegevens verwerken van klanten, personeel of andere personen uit de EU. Vrijwel alle ondernemers hebben te maken met privacygevoelige informatie, ook zzp'ers en kleine mkb'ers.
Gegevens over organisaties, zoals rechtspersonen, verenigingen en stichtingen, zijn geen persoonsgegevens. Ook gegevens van overleden mensen vallen buiten de reikwijdte van de AVG. De AVG regelt wat er allemaal wel en niet mag met de persoonsgegevens van mensen.
De Algemene verordening gegevensbescherming (AVG) geeft aan dat een persoonsgegeven alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.
De AVG kent zes grondslagen: toestemming, uitvoering van de overeenkomst, wettelijke verplichting, vitaal belang van betrokkene of andere personen, algemeen belang of gerechtvaardigd belang.
Denk aan voornaam, achternaam, geslacht, geboortedatum, geboorteplaats, straatnaam, postcode, woonplaats, telefoonnummer (mobiel en vast), en e-mailadres. Een BSN mag alleen door overheidsinstanties gebruikt worden en door organisaties buiten de organisatie als dat in een wet staat.
Op schending van het privacyrecht staat nu boetes tot 820.000 euro of 10% van de jaaromzet. Die boete kan echter alleen worden opgelegd bij opzet of ernstig verwijtbare nalatigheid.
De service “Have I been pwned”, zie: https://haveibeenpwned.com/ maakt het mogelijk jouw gegevens te checken tegen deze (grote) datalekken.
Belangrijkste bepalingen AVG
De AVG gaat over het rechtmatig omgaan met persoonsgegevens. De belangrijkste bepalingen uit de AVG zijn als volgt samen te vatten: Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet.
Het recht om de persoonsgegevens die u verwerkt te laten wijzigen. Het recht op dataportabiliteit. Het recht om persoonsgegevens over te laten dragen aan een andere partij. Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
Dit zijn gegevens over iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gezondheidsgegevens en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Hoe vraagt u om toestemming? De AVG schrijft niet voor hoe en in welke vorm u toestemming moet vragen. U mag dus in principe zelf weten hoe u toestemming vraagt, als u maar kunt aantonen dat u op de juiste manier toestemming heeft gevraagd én gekregen.
Er is op grond van de Algemene verordening gegevensbescherming (AVG) geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.
In de Algemene verordening gegevensbescherming (AVG) zijn de belangrijkste regels voor de omgang met persoonsgegevens in Nederland vastgelegd. Voorheen was dat in de Wet bescherming persoonsgegevens (Wbp). Vanaf 25 mei 2018 is de AVG van toepassing.
Volgens de wet hebt u de volgende rechten als het gaat om uw persoonsgegevens: Recht van inzage. Recht op rectificatie. Recht van bezwaar.
Een inzageverzoek kan tot meer inzicht leiden in welke gegevens bedrijven en instellingen van jou hebben en wat ze ermee doen. Het inzagerecht is een recht dat je nodig hebt om ándere rechten uit te oefenen. Zoals je recht op correctie of verwijdering van je persoonlijke gegevens.
Mensen hebben meer en sterkere privacyrechten
Die rechten zijn nu uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als je erom vraagt.
Een onderneming/organisatie mag niet zomaar persoonsgegevens verzamelen voor ongedefinieerde doeleinden („doelbinding”); de onderneming/organisatie mag alleen de persoonsgegevens verzamelen en verwerken die nodig zijn om dat doel te bereiken („minimale gegevensverwerking”);
Kortom: informatie die of direct over een persoon gaat, of informatie die naar een persoon te herleiden is. Naam en adres zijn voor de hand liggende persoonsgegevens, maar ook een kenteken of een IP-adres is een persoonsgegeven. Gegevens van overleden personen zijn geen persoonsgegevens volgens de AVG.
Sollicitatiebrieven, - formulieren, correspondentie over de sollicitatie, getuigschriften en verklaring omtrent gedrag (VOG's) mag je maximaal 4 weken bewaren na beëindiging van de sollicitatieprocedure. Heb je toestemming van de sollicitant? Dan mag je de set maximaal 1 jaar bewaren.