U bent via allerlei kanalen regelmatig geconfronteerd en geïnformeerd over de invoering van de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 in werking is getreden.
Niet voldoen aan deze nieuwe privacywetgeving kan een fikse boete opleveren met sancties tot 20 miljoen euro of 4 procent van uw wereldwijde omzet. U krijgt er al mee te maken door het uitsturen van een factuur of nieuwsbrief. Echter lang nog niet alles is duidelijk over welke impact deze wetgeving op uw bedrijf en dan met name de dagelijkse uitvoering heeft. Zonder de illusie te hebben compleet te zijn, trachten we in dit stuk zoveel mogelijk helderheid te scheppen.
De Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywetgeving, die sinds 25 mei 2018 de oude privacywetgeving vervangt. Privacyrechten van klanten of gebruikers worden er mee versterkt en uitgebreid. De Europese Unie kent hiermee één privacywet; de oude Wet bescherming persoonsgegevens (Wbp) geldt niet meer. Internationaal staat de AVG bekend als General Data Protection Regulation (GDPR). Lees meer over de AVG.
Deze Europese privacywetgeving is er voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de EU. Vrijwel alle ondernemers krijgen ermee te maken, ook zzp'ers en klein mkb. Door het versturen van een offerte, factuur of (digitale) nieuwsbrief. Of het bijhouden van afspraken met klanten, contactgegevens van klanten (zoals adres, e-mailadres of telefoonnummers) of personeelsinformatie. Ook stichtingen, verenigingen en internationale bedrijven die zaken doen met de EU moeten zich houden aan de AVG.
Door de AVG heeft u verantwoordingsplicht. U moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. En u moet kunnen bewijzen dat u geldige toestemming heeft gekregen voor het verwerken van persoonsgegevens. Woningcorporaties en opdrachtnemers wisselen bijvoorbeeld met elkaar persoonsgegevens uit. Denk aan het verstrekken van adresgegevens van huurders van een woningcorporatie richting u als afbouwbedrijf. Dit kunnen gegevens zijn als e-mailadressen van huurders, telefoonnummers, naw-gegevens etc. Deze uitwisseling van persoonsgegevens is aan wettelijke regels gebonden.
Bij het uitwisselen van persoonsgegevens spreekt de (Europese) wetgever over twee partijen: de zogeheten ‘verantwoordelijke’ en de ‘verwerker’. De verantwoordelijkheden van deze partijen zijn in de praktijk nog niet altijd goed afgebakend en ook is niet altijd duidelijk welke partij welke rol heeft. Als aparte bijlagen treft u een uiteenzetting aan van de definities van de rollen binnen AVG en een aantal antwoorden op praktijksituaties.
In de praktijk van alledag heeft u niet alleen met uw opdrachtgever te maken waarvoor u aan het werk bent, maar verstrekt u naast gegevens aan bijvoorbeeld de aannemer ook persoonsgegevens aan uw salarisadministrateur, accountant en gebruikt u mogelijk ook speciale software voor projectadministraties. In die gevallen is het belangrijk dat u met deze bedrijven een verwerkersovereenkomst sluit waarbij duidelijk is wat de rol van deze bedrijven zijn en welke gegevens zij verwerken en op welke wijze zij daar AVG-proof mee omgaan. Een voorbeeld van een dergelijke verklaring vindt u in de rechterkolom een download. In veel gevallen hebben deze bedrijven al contact opgenomen met hun klanten om dit te regelen. Mocht dat niet het geval zijn, adviseren wij u hierover contact met hen op te nemen.
Op de bouwplaats gaat het echter dagelijks over het verstrekken (of juist niet) van persoonsgegevens. Voor u als afbouwbedrijf geldt dit vaak in de positie van onderaannemer richting de aannemer, maar ook zeker vanuit de positie van opdrachtgever richting onderaannemers (bijv. ZZP-ers). Voor het doorgeven van deze gegevens aan opdrachtgevers blijft gelden dat daarvoor een wettelijke grondslag nodig is. Met betrekking tot AVG kan dit in de meeste gevallen gedaan worden door in de algemene voorwaarden (kunnen ook de inkoopvoorwaarden van de opdrachtgever zijn) een aantal modelbepalingen op te nemen, waarmee dit geregeld wordt. Voorbeelden van deze bepalingen kunt u downloaden en gebruiken.
In toenemende mate wordt door (hoofd)aannemers gebruik gemaakt van een “pasjessysteem” om medewerkers van onderaannemers toegang te verschaffen via een digitaal toelatingssysteem waarbij u als onderaannemer allerlei gegevens van werknemers e.d. in een systeem moet invoeren. Op zich kan dit wel, maar dan zult u toch een verwerkersovereenkomst moeten sluiten met de opdrachtgever/aannemer, om zo te borgen dat deze de gegevens op een juiste manier verwerkt en alleen gebruikt worden voor het doel waarvoor ze nodig zijn. Download hiervoor direct een voorbeeld van een dergelijke verwerkersovereenkomst.
In de situatie dat er sprake is van de zogenaamde gezamenlijke verantwoordelijkheid dient u dit ook vast te leggen. Ook hiervoor verstrekken we graag een voorbeeld.
Als organisatie heeft u door de wet AVG meer verplichtingen gekregen. De nadruk ligt nu op uw verantwoordelijkheid om te kunnen aantonen dat u zich aan de wet houdt. De Autoriteit Persoonsgegevens (AP) helpt u graag op weg. Onder meer met de interactieve AVG-regelhulp en het AVG 10-stappenplan:
Om u te helpen bij de de AVG, heeft de AP de interactieve tool 'de AVG-regelhulp' ontwikkeld. Als u de vragen uit de regelhulp beantwoordt, krijgt u een praktisch advies op maat over waar u nog aan moet werken om goed voorbereid te zijn op de AVG. De AVG-regelhulp is ontwikkeld in samenwerking met de Rijksdienst voor Ondernemend Nederland (RVO). Ga naar de AVG-regelhulp op de website van de RVO.
Wat moet ik als ondernemer doen om aan de AVG te voldoen? De Autoriteit Persoonsgegevens houdt in Nederland toezicht op naleving van de AVG. Om de AVG correct toe te passen volgt u het 10-stappenplan.
Voor leden hebben we op ons kenniscentrum een aantal veel voorkomende praktijkzaken uiteen gezet. Klik hier voor meer info over uw website en de privacyverklaring, SSL-certificaten en te regelen zaken met uw opdrachtgevers.