AVG: Wanneer mag ik persoonsgegevens verwerken?

 

In een ander blog heb ik uitgelegd wat precies wordt verstaan onder een persoonsgegeven en dat je ‘gewone’ persoonsgegevens hebt en bijzondere of gevoelige persoonsgegevens. In dit blog leg ik uit in welke situaties je persoonsgegevens mag verwerken.

Bepaal je doel

In de eerste plaats heb je een duidelijk doel nodig waarom je persoonsgegeven verwerkt. Dit kan zijn omdat je iemand je nieuwsbrieven wilt sturen of om een product te kunnen leveren dat een klant heeft besteld in je webshop. Denk altijd bij elk doel na welke gegevens je minimaal nodig hebt. Je hebt immers geen geboortedatum nodig als je een logo voor een klant gaat ontwerpen.

Bepaal je grondslag

Als je je doelen hebt bepaald, heb je ook een zogenaamde grondslag nodig op grond waarvan je persoonsgegevens kunt verwerken. In de AVG staan er 6 beschreven. Ik bespreek hier de 4 meest voorkomende voor (kleine) ondernemers: Overeenkomst, Wettelijke plicht, Gerechtvaardigd belang en Toestemming.

 

  1. Overeenkomst

Als iemand een dienst bij je afneemt of een product bij je koopt sluit je met deze klant een overeenkomst. Om de dienst of het product te kunnen leveren heb je (persoons-) gegevens nodig. Welke gegevens dat zijn hangt natuurlijk af van de dienst die je levert. Als je bijvoorbeeld medisch pedicure bent, heb je bepaalde medische informatie nodig van de klant om de voet zo goed mogelijk te behandelen (let op: bij medische gegevens heb je daarnaast expliciete toestemming nodig om deze gegevens te mogen verwerken!). Als je boekhouder bent, kan het bijvoorbeeld zijn dat je voor de aangifte inkomstenbelasting van een zzp-er gegevens nodig hebt over de hypotheek, levensverzekering en andere financiële gegevens.

Bij de medisch pedicure is dan het doel: het behandelen van de voet en op basis van de grondslag overeenkomst. Bij de boekhouder is het doel: het doen van de aangifte inkomstenbelasting op basis van de grondslag overeenkomst.

 

  1. Wettelijke plicht

Het kan ook zijn dat je een wettelijke verplichting hebt om bepaalde persoonsgegevens te verwerken. Denk hierbij aan de loonadministratie of facturen. Je bent wettelijk verplicht om deze gegevens te verwerken en voor een bepaalde tijd te bewaren.

 

  1. Gerechtvaardigd belang

Bij de grondslag gerechtvaardigd belang maak je een belangenafweging tussen jouw bedrijfsbelang en de privacybelangen van de betrokkene. De vraag die je moet beantwoorden is: in hoeverre kan de betrokkene verwachten dat de verwerking van de persoonsgegevens plaats zou vinden en met welk doel? Voorbeelden van gerechtvaardigd belang zijn direct marketing of het bewaren van foto’s door fotografen in een portfolio.

 

  1. Toestemming

De laatste grondslag die ik in dit artikel bespreek is de grondslag toestemming. De toestemming moet altijd op basis van de juiste informatie, ondubbelzinnig en uitdrukkelijk worden gegeven. Toestemming moet een actieve handeling zijn. Stilzwijgende toestemming volstaat dus niet. Bovendien mag toestemming ook weer worden ingetrokken en moet dat net zo gemakkelijk zijn als het geven van de toestemming.

Het is een misvatting (die helaas bij veel ondernemers bestaat) dat je altijd toestemming van de betrokkene nodig hebt om persoonsgegevens te mogen verwerken. Dit klopt dus niet! Je hebt 6 grondslagen en toestemming is er eentje van. En sterker nog, je kunt beter de verwerking van persoonsgegevens baseren op een andere grondslag, omdat toestemming altijd weer kan worden ingetrokken met als gevolg dat je de persoonsgegevens dan niet meer mag verwerken.

Bewaartermijn

Goed, je hebt nu een specifiek doel en de juiste grondslag. Maar hoe lang bewaar je deze gegevens dan precies? De AVG schrijft voor dat je persoonsgegevens niet langer mag bewaren dan strikt noodzakelijk.

De AVG noemt geen concrete bewaartermijn voor persoonsgegevens. Op grond van bepaalde wetgeving (bijvoorbeeld belastingwetgeving) ben je wel gebonden aan strikte bewaartermijnen. Buiten dat bepaal je dus zelf hoe lang jij persoonsgegevens bewaart. Kijk hierbij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. Is de bewaartermijn van persoonsgegevens voorbij of zijn de gegevens niet meer noodzakelijk? Dan moet je de gegevens vernietigen!

Beveiligen

Ten slotte moet je de persoonsgegevens die je verzamelt goed beveiligen! Ook hier schrijft de AVG niet voor welk antivirusprogramma het meest geschikt is of aan welke voorwaarden je wachtwoord moet voldoen. Je bent verplicht om passende technische en organisatorische maatregelen te nemen. Welke maatregelen jij precies moet nemen hangt natuurlijk af van de soort persoonsgegevens die je verwerkt en welk risico jouw klanten lopen als deze gegevens ‘op straat’ komen te liggen. Hoe groter het risico voor betrokkenen, des te zwaarder de beveiligingsmaatregelen die je moet treffen.

 

En nu…

Als het goed is kun je nu je doelen en grondslagen bepalen, ben je aan het nadenken over de juiste bewaartermijnen en weet je welke passende beveiligingsmaatregelen je kunt nemen. Top! Grote kans is bestaat echter dat jij ook persoonsgegevens van jouw klanten deelt met anderen. Zoals Google Analytics, je boekhouder of je websitebeheerder. In het dit (link) artikel bespreek ik hoe je hiermee om moet gaan en welke afspraken je moet maken met deze ‘verwerkers’.

 

 

 

Vragen?

Roept dit blog vragen bij je op? Laat hieronder een berichtje achter of neem vrijblijvend contact met me op.

0 reacties

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

MEESTER LEIJSTRA
Adriaan Coenenstraat 13
2584RE Den Haag
KVK: 59732199

 

CONTACTGEGEVENS 
Mariëlle Leijstra
06 - 4565 9217
info@meesterleijstra.nl

Copyright 2019 Meester Leijstra | algemene voorwaarden | privacyverklaring | ontwerp door Jan & Sien