Vergroot contrast

Stap 1: Ga na welke persoonsgegevens u verwerkt en waarom

De Algemene verordening gegevensbescherming (AVG) zorgt voor grip op persoonsgegevens. En dat betekent ook iets voor u als ondernemer. Het is aan u om ervoor te zorgen dat u netjes omgaat met de gegevens van uw klanten. Zodat uw klanten vertrouwen in u houden en graag bij u terugkomen. En u aan de wet voldoet.

Weet u niet goed waar u moet beginnen? De Autoriteit Persoonsgegevens (AP) helpt u op weg met praktische informatie. U ziet hier een stappenplan. Als u deze 5 stappen volgt, heeft u de basis op orde.

De komende tijd breidt de AP deze informatie uit. Want deze 5 stappen zijn natuurlijk niet alles wat er over de AVG te zeggen is. Hou deze pagina dus in de gaten wanneer u als mkb'er wilt weten hoe u aan de AVG voldoet.

Welke persoonsgegevens verwerkt u?

De allereerste stap is dat u nagaat welke persoonsgegevens u als ondernemer gebruikt. Bijvoorbeeld gegevens van uw klanten. Of van uw werknemers.

Persoonsgegevens

Vraagt u zich af of bepaalde gegevens persoonsgegevens zijn of niet? Of wat 'persoonsgegevens' eigenlijk precies zijn? Kijk dan bij: 

Verwerken

In de privacywet, de AVG, staat niet het woord 'gebruiken', maar 'verwerken'. Misschien vraagt u zich af wat 'verwerken' precies betekent. Kijk dan verder bij: 

Waarom verwerkt u persoonsgegevens?

Bedenk waarom u persoonsgegeven verwerkt. Of wilt gaan verwerken. Wat wilt u bereiken? Dat wordt het doel van uw verwerking genoemd.

Duidelijk en precies doel

Uw doel moet vanaf het begin duidelijk zijn. En uw doel moet ook heel precies zijn. Dus niet: ‘omdat de gegevens misschien ooit van pas komen’.

Noodzaak

Heeft u een duidelijk en precies doel voor ogen? Dan moet u nagaan of het noodzakelijk is om voor dit doel persoonsgegevens te verwerken. U mag namelijk alleen persoonsgegevens verwerken als het echt niet anders kan. Dus als u uw doel niet kunt bereiken zonder persoonsgegevens.

Zo min mogelijk gegevens

U mag niet meer persoonsgegevens verwerken dan strikt noodzakelijk is voor uw doel. Dit wordt 'dataminimalisatie' genoemd. Dus: verwerk zo min mogelijk gegevens.

Wilt u bijvoorbeeld een nieuwsbrief versturen aan uw klanten? Bedenk dan welke gegevens u écht nodig heeft. U kunt de nieuwsbrief niet versturen zonder e-mailadres van uw klant. Dus het e-mailadres is noodzakelijk. Maar geldt dat bijvoorbeeld ook voor de geboortedatum van uw klant?

Door naar stap 2

Heeft u duidelijk welke persoonsgegevens u verwerkt en waarom? Dan kunt u verder met stap 2: Bepaal of u deze gegevens mag gebruiken.

Bekijk binnen het onderwerp Stap 1: Ga na welke persoonsgegevens u verwerkt en waarom

Alle antwoorden op mijn vragenVragen over het verwerken van persoonsgegevens

  • Wat zijn persoonsgegevens?

    Als ondernemer verwerkt u vrijwel altijd persoonsgegevens. Bijvoorbeeld van uw klanten. Persoonsgegevens zijn gegevens die direct over iemand gaan óf die naar iemand te herleiden zijn.

    Iemands naam is bijvoorbeeld een persoonsgegeven. Maar ook het IP-adres van een persoon. Je ziet dan niet direct over wie het gaat, maar dit is wel te achterhalen.

    Alle gegevens die informatie geven over een persoon, zijn dus persoonsgegevens. Voor meer informatie, zie: Wat zijn persoonsgegevens?

    Dus: welke persoonsgegevens verwerkt u? Bijvoorbeeld:

    • NAW-gegevens van uw klanten zodra ze een bestelling plaatsen;
    • het e-mailadres van klanten die zich hebben geabonneerd op uw nieuwsbrief.
  • Wat is verwerken?

    Verwerken houdt in: alles wat u met persoonsgegevens kunt doen. Van verzamelen tot en met vernietigen.

    Voor voorbeelden van verwerken, zie: Wat houdt verwerken van persoonsgegevens in?

    Meerdere handelingen

    Een verwerking kan bestaan uit een reeks handelingen. Bijvoorbeeld: u wilt een e-mailnieuwsbrief sturen aan uw klanten. Daarvoor moet u e-mailadressen verzamelen, opslaan, gebruiken voor de verzending en verwijderen zodra klanten zich afmelden. Al deze handelingen vormen samen één gegevensverwerking.

    In stap 2 van dit stappenplan staat dat u een zogeheten grondslag nodig heeft voor uw verwerking. Die grondslag heeft u dan nodig voor het geheel aan handelingen, niet voor elke handeling apart.

    Dus u hoeft geen aparte grondslag te hebben voor alle handelingen die u doet om de nieuwsbrief te versturen (e-mailadressen verzamelen, opslaan etc.).