De afgelopen weken praatten we je bij ten aanzien van de AVG. In eerste instantie ten aanzien van de achtergrond en welke zaken er op je af komen als ondernemer. Vorige week vond je meer informatie ten aanzien van de verplichtingen van je online activiteiten. Deze week: hoe nu verder?
We merken in de praktijk dat menig ondernemer worstelt. Veel gehoorde vraag is: ‘Wat moet ik allemaal doen?’ Vooropgesteld: we helpen je graag verder om diverse zaken op orde te brengen maar… Je moet zelf ook aan de slag!
AVG-regelhulp
Via de Autoriteit Persoonsgegevens kun je via een stappenplan bekijken welke actie er voor jouw bedrijf nodig is. Elke ondernemer moet deze volgen, zie: rvo.regelhulpenvoorbedrijven.nl/avg. In de komende week zullen we telkens een aantal stappen doornemen en spiegelen aan het hoveniersbedrijf. Deze week stap 1 tot en met 4.
AVG Stap 1 – welke persoonsgegevens worden verwerkt?
Bij deze stap staat bewustwording centraal. Het gaat erom te bepalen welke persoonsgegevens worden verwerkt. De mate van privacy-gevoeligheid bepaalt welke verdere stappen moeten worden ondernomen. Elk hoveniersbedrijf verwerkt in ieder geval (basis) persoonsgegevens als naam, adres en woonplaats dus heeft sowieso te maken met de AVG.
Stap 2 – met welke grondslag worden gegevens verwerkt?
Wanneer je als ondernemer persoonsgegevens verzamelt (van bijvoorbeeld klanten of potentiële klanten) dan dient hiervoor een ‘grondslag’ te zijn. In de AVG zijn zes grondslagen te vinden. Hoveniers zullen in de praktijk voornamelijk hebben te maken met de grondslagen ‘toestemming’ en ‘noodzaak voor uitvoering overeenkomst’.
Praktijk
In de praktijk betekent het dat onder andere dat op jouw website bezoekers toestemming moeten geven voor verwerking van gegevens (bijvoorbeeld bij het contactformulier). Maar denk ook aan het inventarisatieformulier: hierop dien je duidelijk te formuleren waarvoor je zijn of haar persoonsgegevens gebruikt (bv. offerte, factuur of nieuwsbrief). Hier moet men expliciet toestemming voor geven. Het alleen vastleggen van toestemming is niet voldoende. Om toestemming aan te tonen moet je als ondernemer kunnen laten zien op basis van welke informatie bijvoorbeeld de bezoeker van je website de toestemming heeft gegeven.
Stap 3 – is een functionaris gegevensbescherming nodig in mijn hoveniersbedrijf?
Normaal gesproken hoeft er bij het hoveniersbedrijf geen functionaris gegevensbescherming te worden aangesteld. Hier is namelijk sprake van als er bijvoorbeeld bijzondere of strafrechtelijke persoonsgegevens worden verwerkt.
Stap 4 – bent ik verplicht om een data protection impact assessment (DPIA) uit te voeren?
Een DPIA is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen om vervolgens maatregelen te nemen om deze risico’s te verkleinen. Een DPIA is alleen verplicht als gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de personen van wie je persoonsgegevens verwerkt. Normaal gesproken is een DPIA voor het hoveniersbedrijf niet van toepassing.
Vervolgstappen
In de komende nieuwsbrief zullen we aandacht besteden aan stappen 5 tot en met 7. Aan de orde komt onder andere het privacybeleid. Wil je zelf alvast het gehele stappenplan doorlopen, klik dan op deze link.
Heb je vragen, neem dan gerust contact met ons op!
