https://ploum.nl/uploads/Artikelen_en_Track_Records_en_expertise/Privacy/pexels-scott-webb-430208_(1).jpg

Start up your privacybeleid!

25 nov '22

Ook startups dienen bij de verwerking van persoonsgegevens rekening te houden met de Algemene Verordening Gegevensbescherming (AVG). Immers, de AVG is van toepassing op (vrijwel) alle verwerkingen van persoonsgegevens. En ook een startup voert activiteiten uit waarbij persoonsgegevens verwerkt worden. Denk bijvoorbeeld aan het noteren van klantgegevens zodat orders kunnen worden uitgevoerd, of het registeren van de bezoekers van een evenement. Bij het uitvoeren van dergelijke verwerkingen van persoonsgegevens moeten startups zich dus aan de AVG houden. Wanneer startups niet aan de AVG voldoen, kan dit namelijk zomaar eens het einde van de startup betekenen (denk bijvoorbeeld aan VoetbalTV, dat na ingrijpen van de Autoriteit Persoonsgegevens (AP) niet voort kon met haar activiteiten).

Voor startups is het vaak echter lastig om in te zien wat “aan de AVG voldoen” precies inhoudt. De AVG is immers een lijvige wet met veel verschillende regels. In dit blog zullen daarom, aan de hand van de 7 vuistregels die wij bij Ploum hebben ontwikkeld, handvaten worden gegeven om aan de AVG te voldoen. Dit om een antwoord te geven op de volgende vraag:

Waar moet je als startup vooral op letten bij het verwerken van persoonsgegevens?

Als in de inleiding van dit blog benoemd, wordt hierna aan de hand van de 7 vuistregels stilgestaan bij de belangrijkste aandachtspunten bij het uitvoeren van een verwerking van persoonsgegevens onder de AVG. Deze vuistregels bieden handvaten om te voldoen aan de belangrijkste verplichtingen onder de AVG, maar kunnen geen volledige compliance garanderen. Daarvoor is altijd een nadere beoordeling van de specifieke activiteiten van een startup nodig. Wel kan worden gegarandeerd dat startups met het volgen van deze vuistregels een aardig eind op weg zijn. De vuistregels die wij hanteren zijn de volgende:

1. Gebruik de gegevens alleen op basis van een in de wet vermelde grond.

In artikel 6 van de AVG worden verschillende grondslagen geboden op basis waarvan persoonsgegevens verwerkt mogen worden. Voordat een startup begint met de verwerking van persoonsgegevens, moet dus gekeken worden of de verwerking gebaseerd kan worden op een van de in de AVG genoemde grondslagen. Deze grondslagen zijn bijvoorbeeld dat de verwerking noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene (betrokkenen zijn degenen op wie de persoonsgegevens betrekking hebben), toestemming van de betrokkene om de gegevens te verwerken of het gerechtvaardigde belang van de startup bij de uitvoering van de verwerking.

2. Gebruik gegevens alleen voor het doel waarvoor je ze verkregen hebt.

Persoonsgegevens worden altijd verkregen en verwerkt met een bepaald doel. Wanneer persoonsgegevens voor een bepaald doel worden verkregen en verwerkt mogen deze vervolgens niet zomaar voor een ander doel worden verwerkt (tenzij deze verwerking “verenigbaar” is met de oorspronkelijke verwerking). Wanneer persoonsgegevens dus zijn verkregen omdat een startup een adviseur inschakelt voor advieswerkzaamheden, mogen de contactgegevens van die adviseur vervolgens dus niet zomaar worden gebruikt om commerciële boodschappen te verzenden.

3. Hoe privacygevoeliger de informatie, des te minder er mag.

Wanneer persoonsgegevens gevoeliger zijn (zoals bijvoorbeeld het geval is bij medische gegevens), dient voorzichtiger met die gegevens om te worden gegaan. Dit is logisch: de gevolgen wanneer iets mis gaat zijn uiteraard groter voor de betrokkenen dan bij (relatief) nietszeggende gegevens. Wanneer persoonsgegevens met een gevoelig karakter worden verwerkt, dienen bijvoorbeeld extra beveiligingsmaatregelen te worden getroffen.

4. Beveilig de gegevens voldoende tegen verlies of onbevoegde toegang en meld eventuele datalekken.

Om te voorkomen dat incidenten zich voordoen bij de verwerkingen die een startup uitvoert, moeten de persoonsgegevens voldoende worden beveiligd. Hierbij kan gedacht worden aan technische maatregelen (zoals het plaatsen van gegevens achter een firewall) als aan organisatorische gegevens (bijvoorbeeld nieuwe werknemers niet direct toegang geven tot alle gegevens).

5. Regel voldoende waarborgen als je persoonsgegevens aan derden verstrekt.

Vervolgens is belangrijk dat wanneer persoonsgegevens worden gedeeld met anderen buiten de startup, dat hierover voldoende afspraken worden gemaakt. Het is immers onwenselijk dat de derde die de gegevens ontvangt deze gegevens op allerlei manieren gaat gebruiken die (mogelijk) ongunstig zijn voor de betrokkenen.

6. Vertel de betrokkene altijd wat je doet met zijn gegevens.

Het is van belang betrokkenen voldoende te informeren over de verwerkingen die worden uitgevoerd. Dit kan bijvoorbeeld door het verstrekken van een privacyverklaring. Daarin dient bijvoorbeeld informatie te worden gegeven over welke gegevens worden verwerkt, waarom deze worden verwerkt en hoe lang deze worden verwerkt.

7. Verzamel, gebruik en bewaar niet meer gegevens dan je nodig hebt, en alleen als er geen andere manier is die de privacy minder schendt.

Gegevens die niet worden verzameld, kan een startup ook niet kwijtraken. Startups moeten dus zorgen dat zij enkel de noodzakelijke gegevens verwerken, zodat geen risico wordt gelopen met betrekking tot gegevens die eigenlijk helemaal niet nodig waren. Startups mogen dus enkel gegevens verwerken welke needed to have zijn, niet welke nice to have zijn.

Voor meer informatie over de vuistregels wordt verwezen naar eerdere blogs. Daarin wordt op elke vuistregel afzonderlijk ingegaan.

Aanvullend op de vuistregels, wordt hier benadrukt dat de AVG van verwerkingsverantwoordelijke en verwerkers niet alleen eist dat gegevens in overeenstemming met de AVG worden verwerkt, maar ook dat dit kan worden aangetoond. Om die reden zullen verschillende documenten moeten worden opgesteld, zoals een privacyverklaring, een intern privacybeleid, een verwerkingsregister en zullen ook verwerkersovereenkomsten moeten worden gesloten. Voor de inhoud van die documenten kan telkens worden teruggegrepen op de 7 vuistregels.

Tot slot

Met dit blog is beoogd enig inzicht te geven in de aandachtspunten bij de verwerking van persoonsgegevens. Wij realiseren ons dat het voor veel ondernemers (waaronder veel startups) nog altijd erg lastig is om aan de AVG te voldoen. Daarom heeft Ploum de Ploum Privacy Quick Scan bedacht. Daarmee kunnen organisaties snel en concreet inzicht krijgen in hun actiepunten op het gebied van privacy. Zo worden:

  • Actuele gegevensstromen van de organisatie in kaart gebracht;
  • Aangegeven waar de grootste privacyrisico’s zitten (red flags); en
  • Wordt beoordeeld welke documenten ontbreken of aan een update toe zijn (bijv. een verwerkingsregister, privacyverklaring voor medewerkers of klanten, datalekkenprotocol, overeenkomst voor internationale gegevensuitwisseling, cookiebeleid of bewaartermijnenbeleid).

Dit tegen een aantrekkelijk uurtarief en vooraf inzichtelijke kosten. Meer weten of een voorstel ontvangen? Mail naar privacy@ploum.nl

Contact

Advocaat

Lars Boer

Expertises:  IT-recht, Privacyrecht, Aanbestedingsrecht, Cybersecurity , Technologie, Media en Telecom, Commerciële contracten, Start-up en Scale-up,

Deel dit artikel

Blijf op de hoogte

Klik op het plusje en schrijf je in voor updates over dit onderwerp.

Expertise(s)

Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

{phrase:advantage_3}

{phrase:advantage_4}


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.