Dit moeten ondernemers weten over de Algemene Verordening Gegevensbescherming (AVG)

Ondernemers moeten op 25 mei 2018 klaar zijn voor de Algemene Verordening Gegevensbescherming (AVG). Niet voldoen aan deze nieuwe privacywetgeving kan een fikse boete opleveren met sancties tot 20 miljoen euro of 4% van uw wereldwijde omzet. U krijgt er al mee te maken door het uitsturen van een factuur of nieuwsbrief.

Wat is de AVG?
De Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywetgeving, die op 25 mei 2018 de huidige privacywetgeving vervangt. Privacyrechten van klanten of gebruikers worden er mee versterkt en uitgebreid. De Europese Unie kent hiermee één privacywet; de huidige Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Internationaal staat de AVG bekend als General Data Protection Regulation (GDPR). Lees meer over de AVG.

Voor wie is de AVG?
Deze Europese privacywetgeving is er voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de EU. Vrijwel alle ondernemers krijgen ermee te maken, ook zzp'ers en klein mkb. Door het versturen van een offerte, factuur of (digitale) nieuwsbrief. Of het bijhouden van afspraken met klanten, contactgegevens van klanten (zoals adres, e-mailadres of telefoonnummers) of personeelsinformatie. Ook stichtingen en verenigingen en internationale bedrijven die zaken doen met de EU moeten zich houden aan de AVG.

Wat moet ik als aannemersbedrijf met de AVG?
Door de AVG heeft u verantwoordingsplicht. U moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. En u moet kunnen bewijzen dat u geldige toestemming heeft gekregen voor het verwerken van persoonsgegevens. Woningcorporaties en opdrachtnemers wisselen met elkaar persoonsgegevens uit. Denk bijvoorbeeld aan het verstrekken van adresgegevens van huurders van een woningcorporatie richting een aannemer. Dit kunnen gegevens zijn als e-mailadressen van huurders, telefoonnummers, naw-gegevens etc. Deze uitwisseling van persoonsgegevens is aan wettelijke regels gebonden. In opdracht van Bouwend Nederland, Aedes en UNETO-VNI heeft PrivacyCompany de Handreiking persoonsgegevens bij bouw, renovatie en onderhoud ontwikkeld. Een publicatie met wettelijke kaders en praktische vragen en antwoorden.

Verantwoordelijke en bewerker
Bij het uitwisselen van persoonsgegevens spreekt de (Europese) wetgever over twee partijen: de zogeheten ‘verantwoordelijke’ en de ‘bewerker’. De verantwoordelijkheden van deze partijen zijn in de praktijk nog niet altijd goed afgebakend en ook is niet altijd duidelijk welke partij welke rol heeft. De handreiking probeert dit te verduidelijken. De publicatie gaat daarbij in principe uit van de Wbp, maar geeft ook aan wat er onder de AVG verandert.

Corporaties, aannemers, installateurs en andere partijen in de bouw, verbouw en het onderhoud van woningen kunnen de handreiking gebruiken als basis en leidraad voor onderhandelingen en het goed inrichten van hun gegevensuitwisselingen. Behalve de wettelijke kaders komen in de publicatie ook praktijksituaties en daaruit voortvloeiende vragen en antwoorden aan bod.

Modellen
In de Handreiking persoonsgegevens bij bouw, renovatie en onderhoud zijn drie bijlagen opgenomen:

  • Modelbepalingen privacy ten behoeve van algemene voorwaarden
    In de meeste traditionele relaties tussen opdrachtgever en opdrachtnemer volstaat het opnemen van enkele modelbepalingen in de algemene voorwaarden, Overeenkomst of inkoopvoorwaarden. Het gaat dan om situaties waarbij voor het leveren van een dienst het verwerken van persoonsgegevens noodzakelijk is.           
  • Model bewerkersovereenkomst
    De Model bewerkersovereenkomst is bijvoorbeeld bedoeld voor situaties waarin sprake is van het verstrekken van gegevens van werknemers aan een opdrachtgever, zodat werknemers kunnen worden toegelaten op het terrein van de opdrachtgever. In de overeenkomst legt u afspraken vast over onder meer het verwerken, beveiligen en exporteren van persoonsgegevens, geheimhouding, aansprakelijkheid en datalekken.

  • Modelregeling gezamenlijke verantwoordelijkheid
    Deze modelregeling kan door de betrokken partijen gebruikt worden voor het vastleggen van afspraken over welke persoonsgegevens verwerkt worden en over het melden van datalekken.

Voorbereiding op de AVG
Als organisatie krijgt u dan meer verplichtingen. De nadruk ligt - meer dan nu - op uw verantwoordelijkheid om te kunnen aantonen dat u zich aan de wet houdt. Dat vergt een gedegen voorbereiding. De Autoriteit Persoonsgegevens (AP) helpt u graag op weg. Onder meer met de interactieve AVG-regelhulp en het AVG 10-stappenplan.

De AVG-regelhulp
Om u te helpen bij de voorbereiding op de AVG, heeft de AP de interactieve tool 'de AVG-regelhulp' ontwikkeld. Als u de vragen uit de regelhulp beantwoordt, krijgt u een praktisch advies op maat over waar u nog aan moet werken om goed voorbereid te zijn op de AVG. De AVG-regelhulp is ontwikkeld in samenwerking met de Rijksdienst voor Ondernemend Nederland (RVO).

Wat moet ik als ondernemer regelen of doen om aan de AVG te voldoen?
Bereid uw bedrijf goed en tijdig voor op de AVG. De Autoriteit Persoonsgegevens houdt in Nederland toezicht op naleving van de AVG. Ter voorbereiding op de nieuwe wet zijn 10 stappen opgezet.