AVG

AVG staat voor Algemene Verordening Gegevensbescherming en deze is in de plaats gekomen van de Wet bescherming persoonsgegevens (Wbp). De AVG is van kracht sinds 25 mei 2018. Met de komst van deze verordening is de privacywetgeving in de hele Europese Unie gelijk getrokken. Het is dus een internationale verordening waar alle bedrijven en organisaties binnen de EU aan moeten voldoen. Ook kleine ondernemers, zoals freelancers met een [eenmanszaak](/community/eenmanszaak). Zelfs bedrijven buiten de EU die gegevens van Europese burgers verwerken moeten eraan voldoen.

Illustratie van een freelancer die in net pak werkt op een computerscherm achter een bureau.

Waarom bestaat de AVG?

Bedrijven en overheden verzamelen steeds meer persoonsgegevens, mede door het toenemende gebruik van online diensten. De afgelopen jaren zijn er al meer regels ingevoerd om de privacy van internetgebruikers te beschermen. Denk aan de cookie wetgeving, waarbij bezoekers moeten aangeven wel/niet akkoord te gaan met het plaatsen van cookies op hun computer. De AVG is een uitbreiding en versterking van individuele privacyrechten.

Wat zijn persoonsgegevens volgens de AVG?

Gegevens zijn persoonsgegevens volgens de AVG, als je er personen mee kunt onderscheiden van andere personen. Oftewel: heb je als freelancer alleen de voornaam van een klant in een bestandje staan, dan geldt dat niet als het verwerken van persoonsgegevens. Maar staat de achternaam erbij, dan is dat volgens de AVG een ‘geïdentificeerd persoon’. En ben jij als freelancer persoonsgegevens aan het verwerken, dan betekent dat, dat je aan de AVG moet voldoen. De AVG geldt trouwens voor gegevens waarmee je iemand nog niet hebt geïdentificeerd, maar dat wel kunt doen zonder al te veel moeite. Denk aan een telefoonnummer waarbij je makkelijk kunt herleiden van wie het is.

Wat houdt verwerken in volgens de AVG?

Wanneer ben je nou persoonsgegevens aan het verwerken? Pas als je er actief gebruik van maakt, om een mailing te sturen bijvoorbeeld? Of als je gegevens deelt met een andere afdeling of bedrijf? Nee, je verwerkt al persoonsgegevens als je er iets mee doet. In de meest eenvoudige vorm: je bent een freelancer met een beginnende eenmanszaak. Je hebt nog geen klanten en nog geen opdrachten gedaan. Je gaat naar een netwerkborrel en krijgt één visitekaartje van een potentiële klant. Je bewaart de naam en het mailadres van die persoon in je computer. Op dat moment verwerk je gegevens en moet je aan de AVG voldoen. De hoeveelheid persoonsgegevens maakt dus niet uit, net zo min als het aantal handelingen dat je doet.

Wanneer voldoe je aan de AVG?

De AVG stelt dus eisen aan ieder bedrijf, groot of klein. Maar niet elk bedrijf hoeft dezelfde maatregelen te treffen om eraan te voldoen. Zo moeten bedrijven buiten de EU bijvoorbeeld een DPIA uitvoeren als ze gegevens van EU-burgers gaan verwerken: een Data Protection Impact Assessment. Overheidsinstanties en publieke organisaties moeten een functionaris gegevensbescherming (FG) aanstellen. En (bijna) elk bedrijf moet z’n privacyverklaring aanpassen. Die verklaring moet gedetailleerde informatie geven, geschreven in begrijpelijke taal; makkelijk leesbaar voor de doelgroep van het bedrijf. Daarnaast moet je een rechtmatige grondslag hebben om persoonsgegevens te verwerken. Oftewel: als de verwerking niet wettelijk verplicht is, moet de persoon van wie je gegevens verwerkt, daar toestemming voor hebben gegeven.

Wat zijn de grootste veranderingen door de AVG?

Er is veel veranderd, zowel voor bedrijven als voor personen. Aan de kant van personen zijn dit de grootste veranderingen door de AVG:

  • Personen hebben (nog) meer zeggenschap gekregen over hun eigen gegevens en wat daarmee gebeurt.

  • Als iemand toestemming heeft gegeven aan een bedrijf voor het verwerken van zijn/haar gegevens, dan mag die toestemming weer ingetrokken worden.

  • Bedrijven moeten op verzoek inzicht geven in alle gegevens die ze van een persoon hebben.

  • Personen hebben recht om vergeten te worden, wat betekent dat een bedrijf alle gegevens van een persoon op diens verzoek moet verwijderen.

Wat zijn de grootste veranderingen door de AVG voor bedrijven?

Bedrijven hebben er meer verantwoordelijkheden bij gekregen met de komst van de AVG. Zo moet elk bedrijf (ook eenmanszaken, freelancers en zzp’ers) (nog) duidelijk(er) maken:

  • waarom ze persoonsgegevens verzamelen;

  • waarvoor die persoonsgegevens worden gebruikt;

  • hoe lang ze de persoonsgegevens bewaren.

Daarnaast moet een bedrijf op verzoek inzage geven in de persoonsgegevens van iemand, als die persoon daarom vraagt. Wil iemand zijn of haar gegevens aangepast of (deels) verwijderd hebben? Dan moet je daar als bedrijf gehoor aan geven.

Hoe en wanneer wordt de AVG gehandhaafd?

De AVG wordt gehandhaafd door de Autoriteit Persoonsgegevens (AP), sinds de invoering op 25 mei 2018. De AP kan een bedrijf op de vingers tikken voor het niet voldoen aan de AVG. Maar de AP kan ook flinke boetes opleggen, oplopend tot maar liefst 4% van de jaaromzet.

Meer weten over de AVG voor freelancers?

Het is een misvatting dat de AVG alleen voor grote(re) bedrijven geldt. Ieder bedrijf dat persoonsgegevens verwerkt moet aan de AVG voldoen. Wil je als freelancer zeker weten dat alles binnen je bedrijf volgens de wet gaat? Lees dan meer over wat de AVG voor freelancers betekent.

© 2003 - 2026.
Algemene voorwaardenPrivacyCookie instellingen