Algemene verordening gegevensbescherming (AVG)
Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).
Middels deze nieuwsbrief willen wij u graag informeren over de mogelijke consequenties die deze nieuwe wetgeving voor u kan hebben en op onze dienstverlening voor u.
Achtergrondinformatie AVG
Door de AVG krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden namelijk versterkt en uitgebreid.
Hoewel de AVG voor alle EU-landen geldt, biedt de AVG op een aantal punten ruimte voor landen om zelf de regels nader te bepalen. Dat geldt bijvoorbeeld voor een aantal uitzonderingen op het ‘verwerkingsverbod van bijzondere persoonsgegevens’ en ‘de beperkingen van de rechten van betrokkene’. Nederland legt de invulling van deze uitzonderingen vooral vast in de zogeheten Uitvoeringswet AVG. Deze wet is nog niet vastgesteld.
De nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor MKB’ers en ZZP’ers die gegevens verwerken. Zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie. Zodra de AVG van toepassing is, gelden dezelfde regels voor het bewaren van persoonsgegevens als nu. Het uitgangspunt blijft dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van uw verwerking.
Verwerking van gegevens AVG
Als ondernemer dient u in kaart te brengen welke gegevens u van uw personeel en relaties verzameld en op basis van welke grondslag u dit doet. Bijvoorbeeld met toestemming van uw klant, op basis van een wettelijke verplichting of op basis van een overeenkomst. U dient vervolgens in kaart te brengen hoe deze gegevens worden verwerkt en bewaard. Mogelijk dient u nog acties te ondernemen op het gebied van informatiebeveiliging. Van belang is hierbij dat uw relaties recht hebben om de gegevens die u van hen bewaard, in te zien, te wijzigen of zelfs te laten verwijderen.
Marketing per e-mail, sms of app
U mag uw eigen bestaande klanten digitale direct marketing sturen met aanbiedingen voor andere, vergelijkbare producten of diensten. Bijvoorbeeld per e-mail, sms of app. Uw klanten hoeven daarvoor niet eerst toestemming te geven. Maar u moet wél een makkelijke, gratis afmeldmogelijkheid bieden bij elk bericht dat u verstuurt.
Is iemand nog geen bestaande klant van u? En wilt u deze persoon mailen, sms-en of appen met aanbiedingen? Dan moet u diegene hiervoor eerst toestemming vragen. Mensen die toestemming hebben gegeven, moeten die kunnen intrekken via elk e-mail, sms of app die u verstuurt. U moet kunnen aantonen dat u daadwerkelijk toestemming heeft gekregen.
Klantgegevens bewaren onder de AVG
Is er wetgeving van toepassing die bepaalde bewaartermijnen voorschrijft? Dan moet u deze termijnen hanteren. Bijvoorbeeld: de belastingwetgeving zegt dat u uw bepaalde gegevens 7 jaar moet bewaren. Denk na over waar u de gegevens van uw klanten precies voor nodig heeft. Ten eerste natuurlijk om aankopen van uw klanten te kunnen afronden. Maar misschien wilt u ook wel contactgegevens van uw klanten gebruiken voor direct marketing. Ga vervolgens bij elk van deze doelen na wanneer u uw doel heeft bereikt. Op het moment dat dit het geval is, heeft u de persoonsgegevens waarschijnlijk niet langer nodig. Zo kunt u voor elk doel waarvoor u klantgegevens bewaart, een bewaartermijn bepalen.
U mag de bewaartermijnen dus zelf vaststellen. Maar u moet wel kunnen beargumenteren hoe lang u uw klantgegevens bewaart. U moet de bewaartermijnen opnemen in uw privacyverklaring. Zodat uw klanten weten hoe lang u hun gegevens bewaart. Is de bewaartermijn verlopen? Dan moet u de klantgegevens vernietigen of anonimiseren. Of eerder, als een klant bezwaar maakt tegen direct marketing of zijn toestemming hiervoor intrekt.
Onze dienstverlening aan u
Ook wij dienen te voldoen aan de vereisten in de AVG. Als financiële dienstverlener dienden wij echter al aan zeer zware eisen op het gebied van gegevensverwerking en privacybescherming te voldoen. De verwerking en archivering van persoonsgegevens vonden reeds op zeer accurate en betrouwbare wijze plaats. De desbetreffende processen en maatregelen hebben wij op basis van de AVG vastgelegd in een verwerkingsregister en een gegevensbeschermingsbeleid. Deze procedures en maatregelen zullen binnenkort met u worden afgestemd door middel van een schriftelijke verwerkersovereenkomst. Hierin leggen wij u duidelijk uit op welke wijze wij uw persoonsgegevens en eventueel die van uw personeel, klanten en leveranciers verwerken en beschermen.
AVG certificering
In de afgelopen periode hebben wij reeds meerdere klanten mogen ondersteunen bij de implementatie van de AVG. Met name ondernemers die zelf veel persoonsgegevens verwerken en bewaren, ervaren veel druk vanuit hun relaties om deze implementatie goed vorm te geven. Desgewenst staan wij u graag bij in de invoering van de AVG, van adviesgesprek tot aan volledige certificering van uw AVG compliance door middel van een audit.
Tot slot
Deze nieuwsbrief hebben wij samengesteld naar aanleiding van de cursussen die een aantal van onze medewerkers hebben gevolgd. Uiteraard betreft dit enkel een uitleg op hoofdlijnen. Hebt u nog andere vragen, opmerkingen of behoefte aan ondersteuning? Neemt u dan gerust contact op met één van onze medewerkers.
Hoogachtend,
Van der Leek Praktijk voor Financiën