terug
startje zoektocht.
  • maak een account aan door je in te schrijven
  • sneller solliciteren
  • vacatures die beter matchen
inschrijven
of
inloggen mijn randstad

Nieuw bij Randstad? Schrijf je in

werkgevers hr wet- en regelgeving werkgeverslasten & subsidies personeels administratie privacy en persoonsgegevens

privacy en persoonsgegevens.

Als organisatie werk je met persoonsgegevens van klanten, leveranciers en medewerkers. Denk aan namen op facturen, afspraken met leveranciers of gegevens in personeelsdossiers. De wet verplicht je om zorgvuldig met deze gegevens om te gaan. Zo bescherm je de privacy van mensen en hebben zij grip op wat jouw organisatie met hun gegevens doet. De regels hiervoor staan in de Algemene verordening gegevensbescherming (AVG).
terug naar startpagina

snel navigeren

betekenis
de avg
geldige reden
verantwoording
beveiligen
informatieplicht
functionaris voor gegevensverwerking
datalek
boetes
verschillende thema's
veelgestelde vragen

betekenis

wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens die direct over iemand gaan of naar iemand te herleiden zijn. Bijvoorbeeld:

  • naam

  • adres

  • telefoonnummer

  • burgerservicenummer (BSN)

  • e-mailadres.

> lees hier meer over het vaststellen van de identiteit van je personeel

bijzondere persoonsgegevens

Naast ‘gewone’ persoonsgegevens zijn er ook bijzondere persoonsgegevens. Deze zijn extra beschermd. Het gaat bijvoorbeeld om informatie over:

  • gezondheid

  • ras of etnische afkomst

  • geloofsovertuiging

  • seksueel leven

  • strafrechtelijk verleden

  • politieke voorkeur.

> kijk hier voor meer informatie over persoonsgegevens op autoriteitpersoonsgegevens.nl

lees meer over

de avg

In de Algemene verordening gegevensbescherming (AVG) staat wat er wel en niet mag gebeuren met de persoonsgegevens van mensen. In de AVG staat ook wat de privacyrechten van mensen zijn als organisaties hun gegevens verwerken. Ook staat erin wat de verplichtingen van organisaties zijn als het gaat om het verwerken van persoonsgegevens. 

> lees hier verder over de Algemene verordening gegevensbescherming (AVG)

waarom zijn regels belangrijk?

Wettelijke regels zijn belangrijk omdat mensen grip moeten kunnen houden op het gebruik van hun gegevens. Klanten, leveranciers en medewerkers kunnen je bijvoorbeeld vragen:

  • om inzage in de gegevens die je van hen hebt opgeslagen

  • om gegevens te corrigeren

  • om een eerder verleende toestemming in te trekken

voor wie geldt de AVG?

De AVG geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van:

De wet geldt in de hele Europese Unie (EU).

toezicht en controle

In Nederland houdt de Autoriteit Persoonsgegevens toezicht op de naleving van de AVG. Als je de regels overtreedt, kan de Autoriteit Persoonsgegevens een boete opleggen.

> kijk voor meer informatie over toezicht op autoriteitpersoonsgegevens.nl

geldige reden

Je mag niet zomaar persoonsgegevens verwerken. Je mag dat alleen doen als je een geldig reden hebt, een wettelijke grondslag. In de AVG staan zes wettelijke grondslagen. Je moet aan minimaal één daarvan voldoen. Anders mag je geen persoonsgegevens verwerken.

> lees verder op autoriteitpersoonsgegevens.nl over de wettelijke grondslagen

let op met toestemming bij medewerkers

Als werkgever kun je niet zomaar toestemming van medewerkers gebruiken als grondslag. Er is sprake van een gezagsverhouding. Toestemming moet actief, ondubbelzinnig en in vrijheid worden gegeven. En een medewerker moet zijn of haar toestemming altijd kunnen intrekken, zonder nadelige gevolgen.

> lees hier meer over personeelsgegevens en privacy

verantwoording

Je hebt als organisatie een documentatieplicht. Dit heet ook verantwoordingsplicht of accountability. Je moet met documenten kunnen aantonen dat je de juiste maatregelen hebt genomen om aan de AVG te voldoen. Als de Autoriteit Persoonsgegevens (AP) daar om vraagt, moet je verantwoording kunnen afleggen.

> lees verder op Autoriteitpersoonsgegevens.nl over de verantwoordingsplicht

verplichte maatregelen

De AVG noemt een aantal maatregelen die vaak nodig zijn om aan je verantwoordingsplicht te voldoen, zoals:

  • een verwerkingsregister opstellen

  • een Data Protection Impact Assessment (DPIA) uitvoeren bij hoog privacyrisico

  • een register bijhouden van datalekken die zijn opgetreden

  • kunnen aantonen dat iemand toestemming gaf, als toestemming je grondslag is.

  • nagaan of je verplicht bent om een functionaris gegevensbescherming (FG) aan te stellen. 

> deze handige checklist (pdf) helpt je bij het AVG-proof maken van je organisatie

beveiligen

persoonsgegevens beveiligen

Je moet persoonsgegevens goed beveiligen. Welke maatregelen passend zijn, hangt af van het soort gegevens en de risico’s. Kijk daarbij naar techniek én naar je organisatie: wie heeft toegang tot welke gegevens en waarom.

> lees verder op autoriteitpersoonsgegevens.nl over het beveiligen van persoonsgegevens

verwerkersovereenkomst

Schakel je een andere partij in om persoonsgegevens te verwerken, bijvoorbeeld een salarisverwerker of softwareleverancier, dan moet je afspraken vastleggen in een verwerkersovereenkomst. Let op: ook bij uitbesteding blijf je verantwoordelijk voor naleving van de AVG.

> lees hier meer over de personeelsadministratie

informatieplicht

Mensen van wie je persoonsgegevens verwerkt hebben recht op duidelijke informatie over wat je met hun gegevens doet en waarom. Je moet onder andere uitleggen:

  • welke persoonsgegevens je verwerkt

  • waarom je dat doet, voor welk doel

  • of je gegevens deelt met anderen en met wie.

Veel organisaties regelen dit via een (online) privacyverklaring of privacystatement. Die moet begrijpelijk en makkelijk te vinden zijn.

> kijk hier voor meer informatie over de informatieplicht op autoriteitpersoonsgegevens.nl

FG

functionaris voor gegevensverwerking

Sommige organisaties moeten een functionaris voor gegevensverwerking (FG) aanstellen. Deze houdt toezicht op de toepassing en naleving van de AVG binnen de organisatie.

wanneer is een functionaris voor gegevensverwerking (FG) verplicht?

Een FG is verplicht bij:

  • overheden en publieke organisaties.

  • organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen, bijvoorbeeld met camera’s.

  • organisaties die op grote schaal bijzondere persoonsgegevens verwerken als kernactiviteit.

> kijk voor meer informatie over de FG op autoriteitpersoonsgegevens.nl

datalek

Bij een datalek gaat het om toegang tot, vernietiging, wijziging of vrijkomen van persoonsgegevens zonder dat dit de bedoeling is. Bijvoorbeeld:

  • een kwijtgeraakte usb-stick met persoonsgegevens.

  • een gestolen laptop.

  • een hack van een databestand.

Heb je een datalek, check dan of je het moet melden bij de Autoriteit Persoonsgegevens. Soms moet je ook de betrokkenen informeren.

> kijk voor meer informatie over datalekken op autoriteitpersoonsgegevens.nl

boetes

De Autoriteit Persoonsgegevens (AP) kan organisaties een boete opleggen als zij de regels voor persoonsgegevens niet naleven. Afhankelijk van de overtreding kan de boete oplopen tot:

  • € 10 miljoen voor het niet nakomen van AVG-verplichtingen.

  • € 20 miljoen voor het overtreden van AVG-beginselen of grondslagen.

> kijk hier voor meer informatie over boetes op autoriteitpersoonsgegevens.nl

veelgestelde vragen

  • wanneer ben ik als werkgever verantwoordelijk voor naleving van de AVG?

    Je bent als werkgever verantwoordelijk zodra je persoonsgegevens verwerkt. Dat is al het geval als je namen, contactgegevens of personeelsgegevens vastlegt van medewerkers, klanten of leveranciers. Ook als je gegevens laat verwerken door een externe partij, blijf jij eindverantwoordelijk.

  • moet ik altijd een verwerkingsregister bijhouden?

    In de praktijk wel. Een verwerkingsregister is verplicht als je structureel persoonsgegevens verwerkt, en dat geldt voor vrijwel alle werkgevers. In het register leg je vast welke gegevens je verwerkt, met welk doel en met wie je ze deelt.

  • wanneer ben ik verplicht een DPIA uit te voeren?

    Een Data Protection Impact Assessment is verplicht als een verwerking een hoog risico oplevert voor de privacy van mensen. Dat is bijvoorbeeld het geval bij grootschalige monitoring, profilering of verwerking van bijzondere persoonsgegevens.

  • ben ik verantwoordelijk als een verwerker fouten maakt met persoonsgegevens?

    Ja. Ook als een externe partij, zoals een salarisverwerker of softwareleverancier, fouten maakt, blijf jij als werkgever verantwoordelijk voor naleving van de AVG. Daarom moet je duidelijke afspraken maken in een verwerkersovereenkomst.

  • wat gebeurt er als ik de AVG niet goed naleef?

    Als je de AVG niet naleeft, kan de Autoriteit Persoonsgegevens een waarschuwing geven of een boete opleggen. Daarnaast loop je risico op reputatieschade of klachten van medewerkers, klanten of leveranciers.