Dit moet je weten over de nieuwe privacywetgeving

Binnenkort gaat de nieuwe wetgeving rondom privacy in werking. Ook boerenbedrijven zullen de manier waarop zij met gegevens omgaan onder de loep moeten nemen.Elk bedrijf verwerkt gegevens, de nieuwe privacywetgeving gaat over persoonsgegevens: alle gegevens die naar een specifiek persoon leiden. Zoals namen, adressen, telefoonnummers, bankgegevens en geboortedata. Bedrijfsgegevens zoals aantallen dieren vallen hier dus niet onder.In de wet wordt gesproken over het verwerken van gegevens. Dat is in de breedste zin van het woord: van verzamelen en opslaan tot het verspreiden en gebruiken van gegevens. Dit geldt voor zowel de papieren als de digitale administratie.Wat verandert er?De nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG) vervangt de Wet bescherming persoonsgegevens (Wbp) vanaf 25 mei 2018. De Wbp stamt uit 2000. De AVG is de Nederlandse wetgeving op basis van de Europese regelgeving, de ‘General Data Protection Regulation’ (GDPR), deze is dus in de hele EU hetzelfde.Gegevens pas verwerken als:De persoon nadrukkelijk toestemming hiervoor heeft gegeven. Deze toestemming moeten personen ook weer kunnen intrekken.Of als de gegevens nodig zijn voor:De uitvoering van een overeenkomst. Deze zal het meeste van toepassing zijn, alle zakelijke relaties vallen onder deze grondslag.Het nakomen van een wettelijke verplichting. Bijvoorbeeld het opslaan van gegevens van werknemers voor de loonadministratie, dit is immers nodig voor de belastingdienst.De behartiging van gerechtvaardigde belangen, bijvoorbeeld voor het waarborgen van de veiligheid of diergezondheid.Het beschermen van vitale belangen, oftewel: het is een zaak van leven en dood, dit is vooral van toepassing op zorginstellingen.Het uitoefenen van openbaar gezag, dit is vooral van toepassing op overheden.
Meer recht op privacyOnder de AVG krijgen burgers meer recht op privacy. Dat betekent voornamelijk zeggenschap over hun gegevens. Mensen moeten inzicht krijgen welke bedrijven over hun gegevens beschikken en waar ze deze voor gebruiken.Er zijn extra strenge regels voor bijzondere persoonsgegevens als religieuze voorkeur, vingerafdrukken en DNA-profielen, maar dat is voornamelijk van toepassing op overheden en grote bedrijven die een publieke functie hebben zoals ziekenhuizen.HandhavingDe Autoriteit Persoonsgegevens handhaaft de AVG en kan behoorlijke boetes opleggen aan bedrijven die de privacyregels overtreden: € 20 miljoen of 4% van de jaaromzet is het hoogste bedrag. Dat klinkt heftig, maar in de praktijk zal de autoriteit alleen ingrijpen bij datalekken, waarbij gevoelige gegevens op straat komen te liggen en bij organisaties die bewust de wet overtreden. De wet geldt voor alle instanties: bedrijven, verenigingen en overheden._{Artikel gaat verder onder de foto.}De nieuwe privacywetgeving betekent dat bedrijven veel oude persoonsgegevens moeten weggooien. - Foto: Henk RiswickWat moet ik nu doen?De eerste stap is inventariseren: over welke gegevens beschik ik? Denk hierbij aan de oude administratie maar ook aan de mailboxen, waarin soms berichten van jaren terug kunnen staan.Vraag je vervolgens af: heb ik de gegevens echt nodig? Is het antwoord nee? Gooi ze weg. Telefoonnummers bewaren ‘omdat ze ooit nog eens van pas kunnen komen’ is dus geen goed idee. Als bedrijf moet je een goede reden hebben om de gegevens op te slaan. In alle gevallen heeft het bedrijf een verantwoordingsplicht. In de AVG staan zes grondslagen, redenen waarom bedrijven over bepaalde gegevens mogen beschikken.AccountantNiet alle gegevens verwerk je zelf: sommige taken, zoals de boekhouding, worden uitbesteed aan een accountantskantoor. Met die partijen moet een verwerkersovereenkomst worden afgesloten. Dan staat op papier dat beide partijen de privacy beschermen volgens de AVG. Neem hiervoor contact op met de accountant.Hoelang mag ik gegevens bewaren?Wettelijk zijn geen termijnen vastgelegd voor het bewaren van bepaalde gegevens. Hier verandert niets aan. Privacyjurist Maarten de Man adviseert daarom om het boerenverstand te gebruiken. Gooi weg wat je niet meer nodig hebt. Gegevens van personeel moet vanwege de loonbelastingadministratie nog 7 jaar bewaard worden. Alles van daarvoor moet dus worden vernietigd. Voor andere gegevens waar geen wettelijke bewaartermijn geldt is het reëel om een termijn van een jaar aan te houden. Gegevens van werknemers die je langer dan 5 jaar niet hebt gebruikt, mogen ook weg.Veilig opslaanAls laatste is het belangrijk dat gegevens op een veilige manier worden opgeslagen. Een slot op de archiefkasten en goede wachtwoorden voor de online omgeving zijn dus van belang.