In Europa geldt de Algemene Verordening Gegevensbescherming (AVG, of in het Engels: “GDPR”). Deze verordening is in de plaats gekomen van de Wet bescherming persoonsgegevens. De AVG regelt hoe u met persoonsgegevens moet omgaan. Alle bedrijven die persoonsgegevens verzamelen en gebruiken moeten aan deze verordening voldoen. In dit artikel zullen wij een aantal in het oog springende verplichtingen uit de AVG behandelen en aangeven wat u van Metaalunie kunt verwachten.
Inventariseren
Om erachter te komen wat u moet doen om aan de AVG te voldoen, moet u eerst inzicht krijgen in hoe u met persoonsgegevens omgaat. Maar wat zijn persoonsgegevens nu precies? Persoonsgegevens zijn gegevens over mensen. Een naam geeft meteen informatie over de identiteit van een persoon. Maar ook een burgerservicenummer of een 06-nummer is een persoonsgegeven. Alhoewel daaruit niet in één oogopslag iemands identiteit volgt, kan het wel indirect tot identificatie leiden.
Bij het inventariseren van de verzamelingen persoonsgegevens is het handig uw bedrijf in verschillende administraties/onderdelen in te delen. Begint u bijvoorbeeld met de verkoop- en inkoopadministratie. U zult zich moeten afvragen welke persoonsgegevens u van klanten en toeleveranciers verzamelt en wat u met die gegevens doet.
Informeren en andere AVG-verplichtingen
Eén van de belangrijkste verplichtingen die op u rust is dat u uw klanten en toeleveranciers moet informeren over wat u met hun persoonsgegevens doet en waarom. Ook moet u bijvoorbeeld aangeven of u de gegevens aan derden doorgeeft, hoe lang u ze gaat bewaren en wat de rechten zijn van de personen die hun gegevens aan u verstrekken. Dit kunt u doen in een privacyverklaring, die u op uw website publiceert. Bij schriftelijk zaken doen, doet u er verstandig aan een schriftelijk exemplaar van deze verklaring aan uw klant of toeleverancier toe te sturen.
Het verzamelen en gebruiken van persoonsgegevens mag niet ‘zomaar’, u moet daarvoor een goede reden hebben. De AVG bepaalt welke redenen aan verwerking ten grondslag mogen liggen. Bij de verkoop- en inkoopadministratie is één van de toegestane redenen dat u de overeenkomst met de klant/toeleverancier moet kunnen uitvoeren. Dat lukt natuurlijk niet goed als u niet over bepaalde persoonsgegevens beschikt. Denk aan het woonadres van een consument aan wie zaken afgeleverd moeten worden. Als u de gegevens van uw klanten en toeleveranciers alleen gebruikt om de overeenkomsten met hen uit te voeren, hoeft u hen geen toestemming te vragen voor het verzamelen en gebruiken van hun persoonsgegevens.
Houdt u zich bij het verwerken van persoonsgegevens verder altijd aan de volgende regels: verzamel en gebruik persoonsgegevens alleen voor vooraf bepaalde en aan de betrokkenen gecommuniceerde doelen, verzamel en gebruik niet meer persoonsgegevens dan noodzakelijk om uw doel te bereiken, bewaar persoonsgegevens niet langer dan nodig, probeer vastlegging van onjuiste gegevens zo veel mogelijk te voorkomen en beveilig de persoonsgegevens met behulp van organisatorische en technische maatregelen.
Ondersteuning door Metaalunie
Metaalunie brengt drie checklists uit die u helpen uw bedrijf AVG-proof te maken. In de eerste checklist staat de klant- en leveranciersadministratie centraal, in de tweede de personeels- en loonadministratie. In de derde checklist gaat het over het verzamelen en gebruiken van gegevens van personen die geen klant, leverancier of werknemer zijn, maar die toch van enig belang zijn voor uw bedrijf. In dit laatste deel komt o.a. het verzamelen van persoonsgegevens via de bedrijfswebsite aan de orde.
Ga naar de checklists