AVG

Anderhalve week geleden is de Algemene Verordening Persoonsgegevens (AVG) officieel in werking getreden. Uit de hoeveelheid vragen en opmerkingen die ons sindsdien bereikt heeft, is op te maken dat er nog steeds veel onduidelijkheid is bij ondernemers. Gelukkig hebben zowel de minister van Rechtsbescherming als de Autoriteit Persoonsgegevens (AP) recentelijk laten weten dat kleine organisaties nog niet meteen hoeven te vrezen dat de AP bij ze op de stoep staat. Hoewel dat een opluchting is voor bezorgde ondernemers, betekent dit niet dat voor kleine ondernemers de nieuwe wet niet geldt. Daarom besteden we vandaag nog eens extra aandacht aan de AVG met een handige checklist.

De uitgangspunten van de AVG
Alle regels die vastgelegd zijn in de AVG, gaan uit van een aantal principes die de basis vormen voor de nieuwe wetgeving. Deze basisbeginselen zijn:

 • De verwerking van persoonsgegevens is rechtmatig, transparant en behoorlijk.
 • Elke verwerking van persoonsgegevens heeft een doel.
 • Je verwerkt niet meer persoonsgegevens dan nodig is om het doel te vervullen.
 • Alle persoonsgegevens die je verwerkt en bewaart moeten juist zijn.
 • Je bewaart persoonsgegevens niet langer dan dat je ze nodig hebt.
 • Je gaat integer en vertrouwelijk met persoonsgegevens om.
 • Je hebt een verantwoordingsplicht voor het verwerken en bewaren van persoonsgegevens.

Voor de specifiekere eisen hebben we een kleine checklist gemaakt, aan de hand daarvan kun je checken of een elke verwerking van persoonsgegevens binnen je organisatie voldoet aan de regels van de AVG.

Grondslagen
Je verwerking moet voldoen aan een van de zes grondslagen voor het verwerken van persoonsgegevens:

 1. Toestemming van de betrokken persoon.
 2. Het is noodzakelijk voor de uitvoering van een overeenkomst.
 3. Het is noodzakelijk voor het nakomen van een wettelijke verplichting.
 4. Het is noodzakelijk voor het beschermen van de vitale belangen.
 5. Het is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
 6. Het is noodzakelijk voor de behartigen van gerechtvaardigde belangen.

Interne maatregelen
Als verwerkingsverantwoordelijke moet je bepaalde maatregelen nemen om aan de beginselen van de AVG te voldoen. Sommige van deze maatregelen zijn niet voor iedereen noodzakelijk, om te weten of jij aan een maatregel moet voldoen, kun je de website van de Autoriteit Persoonsgegevens raadplegen. Ook kun je daar meer informatie vinden over hoe je deze maatregelen moet implementeren.

 • Je verwerkt persoonsgegevens altijd volgens de richtlijnen van Privacy by Design en Privacy by Default.
 • Je hebt passende veiligheidsmaatregelen genomen om gegevensmisbruik te voorkomen.
 • Je hebt procedures voor als er een datalek plaatsvindt.
 • Je hebt procedures om mee te werken met de Autoriteit Persoonsgegevens als zij daar om vragen.
 • Als je gebruik maakt van een verwerker, heb je daar een verwerkersovereenkomst over gesloten.
 • Indien noodzakelijk, voer je een data protection impact assessment uit. Informeer bij de AP of dit voor jou noodzakelijk is.
 • Indien noodzakelijk, wijs je een functionaris voor gegevensbescherming aan. Informeer bij de AP of dit voor jou noodzakelijk is.

Verantwoordingsplicht
Behalve dat je je aan de regels houdt, moet je ook kunnen bewijzen dat je eraan voldoet. De Autoriteit Persoonsgegevens kan hier om vragen, dus dit moet goed op orde zijn. Wederom zijn sommige van deze maatregelen niet voor iedereen van toepassing, voor meer informatie daarover kun je de website van de Autoriteit Persoonsgegevens raadplegen.

 • Je kunt laten zien hoe je aan richtlijnen van Privacy by Design en Privacy by Default voldoet.
 • Je hebt vastgelegd hoe je toestemming vraagt om persoonsgegevens te verwerken en je kunt per klant bewijzen dat je deze toestemming gekregen hebt.
 • Je hebt vastgelegd voor welk gerechtvaardigd belang je gegevensverwerking plaatsvindt.
 • Je hebt vastgelegd welke rechten klanten hebben en hoe ze deze in de praktijk kunnen uitoefenen.
 • Je documenteert alle verwerkersovereenkomsten die je aangegaan bent.
 • Je hebt vastgelegd hoe je met datalekken omgaat.
 • Je hebt vastgelegd welke datalekken hebben plaatsgevonden.
 • Indien noodzakelijk, leg je een register van verwerkingsactiviteiten aan. Informeer bij de AP of dit voor jou noodzakelijk is.
 • Indien noodzakelijk, heb je een gegevensbeschermingsbeleid opgesteld. Informeer bij de AP of dit voor jou noodzakelijk is.
 • Indien uitgevoerd, beschik je over documentatie van je data protection impact assessment.
 • Indien je persoonsgegevens overdraagt naar partijen buiten de EU, kun je aantonen dat er passende waarborgen getroffen zijn.

Verzoeken omtrent privacyrechten
Klanten hebben vergaande rechten binnen de AVG, zo kunnen ze verschillende verzoeken indienen met betrekking tot hun persoonsgegevens. Je moet binnen een maand kosteloos kunnen voldoen aan een verzoek omtrent de volgende privacyrechten:

 • Recht op inzage
 • Recht op rectificatie
 • Recht op verwijdering
 • Recht op vergetelheid
 • Recht op dataportabiliteit
 • Recht op beperking van verwerking
 • Recht op bezwaar
 • Recht op een menselijke blik bij besluiten
 • Recht op duidelijke informatie

Privacy- en cookieverklaring
Een onderdeel van het recht op duidelijk informatie, is de informatie over privacy en cookies op je website. Deze zaken worden opgenomen in een privacyverklaring en een cookieverklaring die te lezen zijn op je website.
Een privacyverklaring bevat:

 • Welke persoonsgegevens je verwerkt.
 • Jouw contactgegevens en die van een eventuele functionaris van gegevensbescherming.
 • De doelen voor verwerking van persoonsgegevens.
 • De grondslagen waarop je de verwerking baseert.
 • Eventuele ontvangers van persoonsgegevens die je verstuurt.
 • De bewaartermijn van persoonsgegevens.
 • Welke rechten klanten hebben.
 • Informatie over de klachtenregeling van de Autoriteit Persoonsgegevens.
 • Of je persoonsgegevens naar landen buiten de EU verstuurt.
 • Of je geautomatiseerde besluitvorming toepast, en eventueel waarom.
 • Eventuele bronnen van persoonsgegevens, als deze niet van de klant zelf komen.

Als je op je website werkt met cookies, heb je ook een cookieverklaring nodig. Hierin moet staan:

 • Welke informatie je verzamelt.
 • Welk doel hebben je cookies.
 • Welke rechtsgrondslagen heb je hiervoor.
 • Welke (categorieën van) ontvangers van de verzamelde gegevens er zijn.
 • Wat de bewaartermijn van die informatie is.

Bijzondere persoonsgegevens
Bijzondere persoonsgegevens verwerken mag in principe niet, tenzij je voldoet aan een van de uitzonderingen. Bijzondere persoonsgegevens zijn:

 • Gegevens waaruit ras of etniciteit blijkt
 • Gegevens over politieke opvattingen
 • Gegevens waaruit religieuze of levensbeschouwelijke opvattingen blijken
 • Gegevens waaruit vakbondslidmaatschap blijkt
 • Gegevens over iemands gezondheid
 • Gegevens over seksuele geaardheid en seksueel gedrag
 • Genetische gegevens
 • Biometrische gegevens die kunnen leiden tot de unieke identificatie van een persoon

Verwerk je die gegevens wel, dan mag dat alleen op basis van deze tien uitzonderingen:

 1. Toestemming van de betrokken persoon.
 2. Het is noodzakelijk voor de uitvoering van verplichtingen en de uitvoering van specifieke rechten van jou of de betrokken persoon.
 3. Het is noodzakelijk voor de vitale belangen van de betrokken persoon of een ander en dit geldt alleen als diegene niet in staat is toestemming te geven.
 4. Het is voor een gerechtvaardigde activiteit van een vakbond, een levensbeschouwelijke of politieke instantie zonder winstoogmerk.
 5. De verwerkte gegevens zijn openbaar gemaakt door de betrokken persoon.
 6. Het is noodzakelijk voor een rechtsvordering.
 7. Het is noodzakelijk vanwege een zwaarwegend algemeen belang.
 8. Het is noodzakelijk voor doeleinden van preventieve of geneeskundige aard.
 9. Het is noodzakelijk voor de algemene volksgezondheid.
 10. Het is noodzakelijk voor de archivering voor het algemeen belang, statistische doeleinden, wetenschappelijk of historisch onderzoek.

Zoals meerdere keren vermeld, kun je je voor extra duidelijkheid omtrent de AVG of de begrippen in deze checklist richten naar de website van de Autoriteit Persoonsgegevens.