Op 25 mei is het zo ver. Dan is de Algemene Verordening Gegevensbescherming, kortweg AVG, van kracht. Internationaal ook wel bekend als de General Data Protection Regulation. Deze nieuwe Europese wet is bedoeld voor het bedrijfsleven en dient ter bescherming van de privacy van personen.
Natuurlijk waren bedrijven, groot en klein, al verplicht om zorgvuldig met persoonsgegevens om te gaan. Dit staat al in de Wet Bescherming Persoonsgegevens. De AVG gaat alleen nog een stapje verder en raakt iedereen die op welke manier dan ook persoonsgegevens vast legt.
Verder
Denk hierbij niet alleen aan je database met klantgegevens of je bestand met eindgebruikers. Ook de visitekaartjes van je zakenpartners, de mails met CV’s van je sollicitanten, het ledenbestand van je sportvereniging en je salarisadministratie vallen onder de AVG. Het is jouw taak als ondernemer om met al deze gegevens zorgvuldig om te gaan, en ze alleen te bewaren als er sprake is van doelbinding.
Er is bijvoorbeeld geen reden om de CV van een afgewezen sollicitant te bewaren, tenzij je expliciet met deze persoon hebt afgesproken dit te doen. Ook de uitgeprinte CV’s van een afgewezen sollicitant moeten vernietigd worden, tenzij er doelbinding mee is. Een bakje met visitekaartjes hoort niet voor je bezoek bereikbaar te zijn. Immers het doel van de gever was het delen van zijn of haar persoonsgegevens met jou. Persoonlijk. Niet met een toevallige passant.
De AVG voor verenigingen en eenmanszaken
Ook wie in een verenigingsbestuur zit, moet zorgvuldig omgaan met de persoonsgegevens van de leden. Een mailtje sturen naar de hele ledenlijst met alle mailadressen zichtbaar (in plaats van netjes in de BCC) is uit den boze, en gegevens vastleggen waar je geen doelbinding mee hebt eveneens.
Ook de eenmanszaak blijft niet buiten schot. Immers, wie een mailwisseling heeft gehad met een ander, heeft al persoonlijke informatie in zijn bezit. Ook je zakenrelaties, facturen en opdrachten bevatten gevoelige informatie en dienen zorgvuldig te worden behandeld.
Opslaan
Wat ook belangrijk is, is de geldigheid van het opslaan van persoonsgegevens. Wanneer je geen bewijs hebt dat de verstrekker van persoonsgegevens jou heeft toegestaan deze op te slaan, ben je dus in feite in overtreding. Dit maakt het natuurlijk gemakkelijker en haalbaar om verspreiders van junk mail te beboeten, maar ontslaat jou niet van de plicht om na te gaan waarom je bepaalde persoonsgegevens in je administratie hebt opgenomen. Wanneer er geen goede reden te noemen is voor het opslaan van bijvoorbeeld religie of allergieën van je verenigingsleden, zal je dit dus uit het ledenbestand moeten schrappen.
Ook wij houden bij alles wat we doen, maken en opslaan rekening met deze wetgeving en het doelbindingsprincipe. Vaak heb je in je database veel minder informatie nodig dan je denkt. Eens kritisch naar je eigen databases kijken? Wij kijken natuurlijk graag met je mee.
In een notendop? Ga na wat je opslaat, voor wie, over wie en waarom. Zorg er voor dat deze informatie alleen toegankelijk is voor degenen die er iets mee te maken hebben, en neem bewust maatregelen om dit te regelen. Ruim je bureau op, verwijder je oude mails en vernietig je overjarige administratie. Moet jij er iets mee? Grote kans van wel! Je hebt nog precies één maand, want 25 mei is het officieel zo ver!
Meer lezen?
Autoriteit Persoonsgegevens
Rijksoverheid