SnelStart en Privacy: een introductie

privacy-avg-snelstart
  •   Fleur Biegstraaten (Functionaris Gegevensbescherming)
  •   Gepubliceerd: 15 augustus 2022
  •   Geüpdatet: 3 februari 2023
Sinds mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De AVG bevat regels voor een rechtmatige verwerking (verzameling, gebruik en opslag) van persoonsgegevens. In enkele privacy-blogs vertellen we wat dit inhoudt en hoe SnelStart hiermee omgaat.

Belangrijke begrippen rondom AVG

Voordat we de diepte in gaan, lichten we eerst de meest gebruikte begrippen kort toe:

  • Betrokkene: de persoon op wie de persoonsgegevens betrekking hebben. Dit zijn bijvoorbeeld klanten of medewerkers.
  • Verwerkingsverantwoordelijke: de organisatie die de persoonsgegevens voor eigen doeleinden verwerkt en zelf bepaalt hoe zij dit doet of laat doen. Als werkgever verstrek je bijvoorbeeld gegevens van je werknemers aan het UWV. In de wet staat expliciet dat het UWV deze persoonsgegevens mag verwerken. Het UWV is daarmee een verwerkingsverantwoordelijke. Die verwerkt de persoonsgegevens van werknemers voor eigen doeleinden.
  • Verwerker: de organisatie die persoonsgegevens in opdracht van een andere organisatie verwerkt. Denk hierbij aan een softwareleverancier als SnelStart.
  • Grondslagen: de AVG kent zes grondslagen. De meest gebruikte grondslagen voor commerciële bedrijven zijn: toestemming, uitvoering van de overeenkomst en gerechtvaardigd belang.

De 6 basisbeginselen van AVG

De AVG bestaat uit zes basisbeginselen die bij iedere verwerking van persoonsgegevens moeten worden nageleefd:

1. Rechtmatigheid, behoorlijkheid en transparantie

Het eerste beginsel komt erop neer dat organisaties moeten zorgen dat ze de wet niet overtreden met hun procedures voor het verwerken van gegevens. De verwerking moet altijd op (minimaal) één van de zes grondslagen gebaseerd zijn. Daarnaast moet de verwerkingsverantwoordelijke transparant communiceren over de verwerking van persoonsgegevens. 

Privacyverklaring

Het is voor betrokkenen van belang dat het duidelijk en transparant is wat er met hun persoonsgegevens gebeurt. Het is gebruikelijk om deze informatie in een privacyverklaring te plaatsen die makkelijk te vinden is op de website. In de privacyverklaring staat in makkelijke, toegankelijke en begrijpelijke taal welke gegevens er worden verwerkt en waarom.

2. Doelbinding

De verwerking van persoonsgegevens is alleen toegestaan als er een specifiek en gerechtvaardigd doel aan gekoppeld is. De verwerkingsverantwoordelijke stelt het doel van de verwerking van persoonsgegevens van tevoren vast. Het is van belang dat deze omschrijving makkelijk en concreet wordt gemaakt zodat het voor betrokkenen duidelijk is wat er met hun persoonsgegevens gebeurt en waarom dat nodig is.

3. Minimale gegevensverwerking

Dataminimalisatie houdt in dat er niet meer gegevens worden verzameld en verwerkt dan strikt noodzakelijk is voor het vastgestelde doel. Informatie mag bijvoorbeeld niet verplicht worden uitgevraagd als niet onderbouwd kan worden waarom dit nodig is. Verder is van belang dat de persoonsgegevens worden verwijderd of geanonimiseerd zodra deze niet meer noodzakelijk zijn. Daarbij is het ook belangrijk dat er voldoende persoonsgegevens worden verwerkt. Het gevaar van te weinig persoonsgegevens is dat een onjuist beeld van de betrokkene ontstaat en dat het vastgestelde doel daarmee niet kan worden gehaald. Als een huisbaas de salarisgegevens van zijn huurders bijvoorbeeld niet uitvraagt, dan kan hij/zij geen goede controle doen of de huurder de huur wel kan dragen.

Dataminimalisatie houdt in dat er niet meer gegevens worden verzameld en verwerkt dan strikt noodzakelijk is voor het vastgestelde doel.

4. Juistheid van persoonsgegevens

Persoonsgegevens dienen altijd juist en actueel te zijn. Als de gegevens onjuist zijn, kunnen er negatieve gevolgen ontstaan voor betrokkenen. Betrokkenen hebben daarom ook altijd het recht om de gegevens te (laten) wijzigen. De verwerkingsverantwoordelijke heeft een vergaande inspanningsplicht om de juistheid van de betreffende persoonsgegevens te waarborgen. Het UWV neemt bijvoorbeeld altijd contact op met betrokkenen om gegevens extra te controleren.

5. Opslagbeperking

Het uitgangspunt is dat de persoonsgegevens niet langer bewaard worden dan noodzakelijk is voor het doel. De verwerkingsverantwoordelijke stelt concrete bewaartermijnen vast en verwijdert de gegevens na het verstrijken van de bewaartermijn.

6. Integriteit en vertrouwelijkheid

Implementeer altijd passende beveiligingsmaatregelen. Betrokkenen moeten kunnen vertrouwen op een veilige verwerking van hun persoonsgegevens.

Conclusie

Bij het verwerken van persoonsgegevens is het belangrijk dat organisaties vooraf goed nadenken over waarom en hoe zij persoonsgegevens wensen te verwerken. Vervolgens dienen zij de betrokkene hierover goed te informeren en goede beveiligingsmaatregelen te nemen. Lees ook onze blog over de begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’. Hierin lichten we de rolverdeling tussen jouw organisatie en SnelStart verder toe. In een andere blog lees je meer over de specifieke beveiligingsmaatregelen van SnelStart.

Meer weten over AVG, privacy of informatieveiligheid? Kijk dan eens op onze Zeker veilig-pagina.

Slimmer en sneller boekhouden?

Met SnelStart kies je zelf in hoeverre je je administratie automatiseert. Van razendsnel factureren en optimaal inzicht in je cijfers tot een geautomatiseerd debiteurenbeheer en/of voorraadbeheer. Bekijk nu welk pakket bij jouw bedrijf past. Bekijk meer
Aan dit artikel kunnen geen rechten worden ontleend. De inhoud is met de grootste zorg samengesteld.

Ook interessant voor jou:

Praktische tips van een Grumpy Old Hacker

16.12.2024 | Ondernemen

Cyberweerbaarheid: subsidie om je bedrijf te beschermen

23.09.2024 | Veiligheid

Microsoft: blijf niet hangen in cloudwatervrees

19.03.2024 | Veiligheid