Veelgestelde vragen AVG


Op 25 mei 2018 is de nieuwe privacywetgeving ingetreden genaamd de AVG. We begrijpen dat je vragen hebt over de AVG. Daarom hebben we de meest gestelde vragen op een rijtje gezet. Staat jouw antwoord er niet tussen? Bel ons op 088 973 06 08 en we helpen je graag!

Waarom is de AVG nodig, er waren toch al privacyregels?
Er waren inderdaad al privacyregels, vastgelegd in de Wet Bescherming Persoonsgegevens. Deze wet komt nu te vervallen. De AVG scherpt de bescherming van de personen van wie de gegevens worden verwerkt nog verder aan. Je hebt als bedrijf nu meer verplichtingen bij het verwerken van persoonsgegevens. De nadruk ligt vooral op de verantwoordelijkheid die je als bedrijf hebt om aan te tonen dat je je aan de wet houdt. Dit heet de verantwoordingsplicht of documentatieplicht. Het is dus niet voldoende om aan de wet te voldoen, je moet dit ook kunnen aantonen met documenten. Om onze leden te helpen bij het voldoen aan deze verantwoordingsplicht hebben wij een tool laten ontwikkelen: de AVG-tool. Met deze tool breng je stap voor stap al je privacygegevens in kaart en kun je kijken of je voldoet aan de nieuwe wetgeving.

Is een werkmailadres een persoonsgegeven?
Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. De informatie moet gaan over een bepaalde persoon of is naar deze persoon te herleiden. Een e-mailadres met de naam van een persoon erin, leidt naar deze bepaalde persoon en is dus een persoonsgegeven. Een algemeen e-mailadres zoals info@inretail.nl is geen persoonsgegeven, omdat dit niet direct over iemand gaat of naar een persoon te herleiden is.

Geldt de AVG ook voor kleine mkb’ers en zzp’ers?
Ja, de AVG geldt voor alle organisaties die persoonsgegevens verwerken. Zoals het bijhouden van afspraken met klanten, telefoonnummers van klanten of personeelsinformatie.

Mag ik volgens de AVG nieuwsbrieven blijven sturen naar bestaande nieuwsbriefabonnees?
De AVG kent twee grondslagen voor het versturen van nieuwsbrieven: toestemming en het gerechtvaardigd belang. Als iemand in het verleden (aantoonbaar) toestemming heeft gegeven, dan mag je de nieuwsbrief blijven versturen. Volgens de AVG is direct marketing, dus het versturen van een nieuwsbrief, toegestaan wanneer het bestaande klanten betreft en je ze informeert over vergelijkbare/aanverwante producten. Dit is ook van toepassing als iemand na 25 mei een aankoop doet. Bij elk bericht wat je verstuurt in het kader van direct marketing moet je een makkelijke afmeldmogelijkheid bieden. Kan je niet meer herleiden of iemand toestemming heeft gegeven of een bestaande klant is? Dan moet je aan die nieuwsbriefabonnees mogelijk toestemming vragen om ze te kunnen blijven benaderen.

Ik heb camerabewaking in mijn winkel(s), moet ik dit in mijn privacyverklaring vermelden?
Als je gebruik maakt van camerabewaking is het belangrijk dat in de winkel goed wordt aangegeven dat er camera’s geplaatst zijn. Klanten moeten hiervan op de hoogte worden gebracht op het moment dat ze de winkel binnen komen. In de privacyverklaring op de website kun je dit nogmaals benoemen en aangeven wat de reden is voor het plaatsen van camera’s en hoe lang je de camerabeelden bewaart.

Met welke partijen moet ik een verwerkersovereenkomst sluiten?
Je dient een verwerkersovereenkomst te sluiten met iedere partij die voor jou of namens jou persoonsgegevens verwerkt. Lees voor meer informatie dit artikel op de website van INretail.

Ik verstuur mijn nieuwsbrieven via Mailchimp, heb ik een verwerkersovereenkomst nodig?
Als je een andere partij inschakelt om nieuwsbrieven voor je te versturen zijn zij de verwerker en jij bent verwerkingsverantwoordelijke. Jij geeft een opdracht om persoonsgegevens voor jou te verwerken. Hierbij heb je in principe wel een verwerkersovereenkomst nodig. Mailchimp heeft zijn algemene voorwaarden aangepast, het is namelijk ook mogelijk om de onderdelen van een verwerkersovereenkomst onderdeel uit te laten maken van Algemene Voorwaarden.

Hoe lang mag ik gegevens van mijn klanten bewaren?
Gegevens van je klanten mag je bewaren op grond van de koopovereenkomst die je met je klanten gesloten hebt. Je mag deze gegevens in ieder geval bewaren gedurende de looptijd van de overeenkomst. Daarna adviseren wij deze gegevens voor maximaal 7 jaar in je financiële administratie te bewaren. Ondernemers in de woonbranche kunnen over het algemeen een langere bewaartermijn hanteren (bijvoorbeeld 15 of 20 jaar) in verband met de levensduur en service/garantie die zij geven op producten.

Wat mag er het kader van de AVG in een personeelsdossier staan?
In het personeelsdossier moeten alle afspraken die met de medewerker zijn gemaakt overzichtelijk te vinden zijn. Het gaat hierbij om persoonlijke gegevens, contracten en arbeidsvoorwaarden, functioneren en ontwikkelen, ziekteverzuim en overige bijzonderheden. Het is niet toegestaan medische gegevens of gegevens over iemands ras, geloofsovertuiging, lidmaatschap van een vakbond, kerk, milieubeweging of politieke partij, seksuele geaardheid of strafblad in het personeelsdossier op te nemen. Als een medewerker inzage wil in zijn/haar personeelsdossier, hoef je als werkgever geen inzage te geven in je persoonlijke aantekeningen.

Wat kan ik doen als mijn medewerker geen geheimhoudingsverklaring wil tekenen?
Je bent in principe verplicht op grond van de AVG om je medewerkers die met persoonsgegevens werken een geheimhoudingsverklaring te laten ondertekenen. Wij adviseren hierin een boetebeding op te nemen, omdat de boetes voor jou als ondernemer aardig kunnen oplopen bij overtreding van de regels. Communicatie is hierbij belangrijk. Medewerkers zouden niet bang hoeven te zijn voor boetes als ze per ongeluk iets fout doen, bijvoorbeeld een e-mail naar de verkeerde persoon sturen. Die nuance moet de werkgever ook maken en zijn personeel in die zin geruststellen. Wellicht zit het bezwaar van de medewerker hierin.
De geheimhoudingsverklaring die in veel arbeidsovereenkomsten is opgenomen is vrij algemeen geformuleerd en ziet vaak op ‘bedrijfsinformatie’. Daarom is een geheimhoudingsverklaring speciaal voor ‘persoonsgegevens’ als aanvulling daarop toch echt nodig. Als een werknemer weigert te tekenen, ga dan in gesprek met de medewerker. Probeer de reden te achterhalen en probeer eventuele bezwaren weg te nemen. Wil de medewerker vervolgens nog steeds niet tekenen, neem dan contact op de ondernemersservice via 088-9730608.

Hoe lang mag ik gegevens van mijn werknemers bewaren?
Voor sommige gegevens uit het personeelsdossier geldt een fiscale bewaarplicht. Je bent als werkgever verplicht om die gegevens een bepaalde periode te bewaren voor de belastingdienst. Zo moet je een loonbelastingverklaring in ieder geval 5 jaar bewaren nadat iemand uit dienst is. De gegevens die van belang zijn voor het uitbetalen van het salaris van je medewerkers adviseren wij te bewaren gedurende de periode dat iemand in dienst is en daarna alleen in de financiële administratie voor maximaal 7 jaar.

Hoe lang mag ik gegevens van sollicitanten bewaren?
Sollicitatiegegevens dien je 4 weken na het einde van de sollicitatieprocedure te verwijderen. Je kunt de sollicitant toestemming vragen om de gegevens langer te mogen bewaren, bijvoorbeeld als je verwacht dat er later mogelijk een passende functie vrijkomt. Hierbij kun je dan een bewaartermijn van maximaal een jaar overeenkomen.

Mag ik een kopie van het identiteitsbewijs van mijn medewerkers bewaren?
De verwerking van bijzondere persoonsgegevens is verboden, tenzij je je kunt beroepen op een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens én een van de 10 uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. Een van deze uitzonderingen waar je je in dit geval op kunt beroepen is dat de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van jou of de betrokken persoon op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht. Op grond hiervan is het toegestaan een kopie van het identiteitsbewijs van je medewerkers te bewaren. Sterker nog, het is zelfs verplicht om invulling te geven aan deze wettelijke verplichting.

Mogen foto’s van werknemers worden afgedrukt in een smoelenboek of worden geplaatst op intranet?
Foto’s van personen zijn ook persoonsgegevens. Je kunt foto’s alleen gebruiken als de betreffende medewerkers hier toestemming voor geven. De toestemming van de medewerker is pas geldig als deze ‘vrij gegeven’ is. De medewerker moet namelijk de mogelijkheid hebben hier geen toestemming voor te geven. Geef bijvoorbeeld aan dat je graag een foto van de medewerker zou gebruiken voor in het smoelenboek of de website en dat het de medewerker vrij staat een foto te mailen. Dring er vervolgens niet op aan bij de medewerker om de foto aan te leveren, om de medewerker niet onder druk te zetten. Het risico bestaat dan namelijk dat de toestemming niet langer ‘vrij gegeven’ is en dus uiteindelijk niet geldig is.