De AVG: wat moet u als ondernemer doen voor 25 mei?

AVG GDPR

Over iets meer dan een week is het zover. Op 25 mei 2018 zal de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG) of in het Engels de General Data Protection Regulation (GDPR), in werking treden en deze zal in de gehele Europese Unie (EU) van toepassing zijn. Dat betekent voor veel ondernemers een hoop veranderingen op het gebied van privacy en gegevensbescherming.

Op wie is de AVG van toepassing?

De AVG is van toepassing op organisaties binnen de EU die persoonsgegevens verwerken. Persoonsgegevens zijn onder andere: NAW-gegevens, e-mailadressen, telefoonnummers, IP-adressen of bijvoorbeeld bankrekeningnummers. Voor de verwerking van persoonsgegevens maakt het niet uit hoe groot je onderneming is. Zodra je persoonsgegevens verwerkt, val je onder het toepassingsbereik van de AVG. Houd je als kleine ondernemer of zzp’er bijvoorbeeld je klantafspraken bij of bewaar je telefoonnummers van je klanten, dan verwerk je persoonsgegevens.

Daarnaast geldt de AVG ook voor organisaties die buiten de EU zijn gevestigd, maar persoonsgegevens verwerken van betrokkenen die zich binnen de EU bevinden. Denk bijvoorbeeld aan een Amerikaanse webshop, die zich richt op de Europese markt. Doordat deze webshop gegevens van de Europese burger verwerkt (bijvoorbeeld NAW-gegevens om zo het product naar de koper te zenden) dient deze webshop zich te houden aan de regels van de AVG.

Het verwerken van persoonsgegevens

Niet alleen bedrijven zoals webshops vallen onder de AVG. Ook als blogger kun je te maken hebben met de AVG. Bied je als blogger de mogelijkheid om een reactie te geven op je post door middel van een naam? In dat geval verzamel je persoonsgegevens, te weten naam en IP-adres. En wat te denken van een internetplatform? Zodra het platform gebruikmaakt van een contactformulier worden er persoonsgegevens verwerkt. Dan geldt dat het internetplatform zich dient te houden aan de regels van de AVG.

Kortom; zodra je als organisatie persoonsgegevens verwerkt, of dat nou op kleine schaal is of niet, geldt dat de AVG van toepassing is. Verzamel je echt geen persoonsgegevens, dan hoef je dus ook niet te voldoen aan de AVG. Let er wel op dat dit zelden het geval is.

Stappenplan om te voldoen aan de AVG

Ben je benieuwd welke stappen je moet nemen als de AVG op jouw onderneming van toepassing is? Lees dan onderstaand stappenplan:

  • Inventariseer welke persoonsgegevens in jouw organisatie worden gebruikt en waarvoor. Dat gaat niet alleen om de ‘grote’ verwerkingen zoals het klantenbestand of personeelsdossiers, maar ook om kleine zaken zoals social media monitoring, het tijdschrift voor relaties en de registratie van bezoekers aan de deur.
  • Werk iedere verwerking uit tot een registratie: wie is verantwoordelijk, waarom doen we dit, welke grondslag hebben we en hoe lang bewaren we deze gegevens. Je zal hierbij open vragen tegenkomen, die vervolgstappen opleveren. Denk aan hoe gegevens vernietigd worden of hoe er toestemming gevraagd wordt.
  • Introduceer beveiligingsbeleid en koppel dit aan de verwerkingen. Je kunt daarbij verwerkingen bijvoorbeeld onderverdelen in licht, middel en zwaar en daar verschillende regels voor stellen.
  • Blijkt dat verwerkingen door derden worden gedaan, sluit dan een AVG-compliant verwerkersovereenkomst met deze partijen. Achterhaal ook in welke landen zij gegevens opslaan of verwerken, en neem maatregelen als dat buiten de EU blijkt te zijn.
  • Maak bij iedere verwerking een inschatting van het risico. Als je dit als relatief hoog inschat, voer dan een privacy impact assessment uit.
  • Bepaal of je een privacy officer nodig hebt en ga er dan naar op zoek.
  • Vertaal iedere verwerking naar een privacyverklaring en zorg dat mensen deze tijdig kunnen lezen.
  • Introduceer beleid voor datalekken. Aan wie moet dat intern worden gemeld, en welke personen beslissen over melden bij de toezichthouder en/of aan betrokken personen.

Deze expertblog is geschreven door Daniëlle van Ginkel (juridisch adviseur bij ICTRecht) – in samenwerking met PrivacyBlox. ICTRecht is kennispartner van PrivacyBlox. PrivacyBlox ondersteunt u met tooling en kennis om te voldoen aan de administratieve verplichtingen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). Daarnaast genereert u met PrivacyBlox diverse privacydocumenten en adviezen op maat. Lees hier meer over de oplossingen van PrivacyBlox.

Gerelateerde publicaties over Wet- en Regelgeving voor webwinkels:

Bent u op zoek naar de juiste documentatie om uw webshop te optimaliseren of willen weten hoe u de voorwaarden juist toepast? In samenwerking met ICTRecht en JuriDox bieden wij u toegang tot de juiste documenten en voorwaarden voor de webwinkel!


Een Expert Blogger is een bijdrage geschreven door een specialist uit de branche. Dit kan iemand zijn met expertise op Online Betalen, FinTech, Wet en Regelgeving of PSD2, maar ook op het gebied van online marketing of e-commerce in het algemeen! Kortom; actueel en informatief, gericht op de online ondernemer. Heb jij expertise en wil jij die delen met de achterban van Internetkassa.nu? Pitch jouw idee op redactie@internetkassa.nu

Onze business partners