AVG in de praktijk

Het ging daarbij vooral om zaken over wat u nu wel en niet moet regelen met betrekking tot de gegevensuitwisseling van personeel op de bouwplaats. Maar ook hoe kom ik aan een privacyverklaring op mijn website en wat moet ik regelen met mijn salarisbureau. Veel van deze informatie en voorbeelden staan weliswaar op onze website, maar toch blijken er nog steeds de nodige vragen te leven. Dat is op zich niet zo vreemd. Elk bedrijf het zo zijn eigen kenmerken waardoor soms net weer andere maatregelen moeten worden getroffen. In het kort zetten we hieronder, op basis van al die vragen, ook een aantal veel voorkomende zaken uiteen.

De praktijkvoorbeelden

Website en privacyverklaring

De meeste bedrijven hebben een website waarop klanten (zowel particulier als zakelijk) middels een formulier en/of e-mail informatie en/of een offerte kunnen opvragen. Daarbij worden via het formulier en de website persoonsgegevens gevraagd, zodat u bijvoorbeeld, de offerte en/of informatie naar het juiste adres kunt sturen. U bent verplicht degene die iets bij u aanvraagt te informeren over het feit dat zijn/haar persoonsgegevens in uw administratie worden opgenomen, conform het privacybeleid/protocol van de onderneming en dat hij door het aanvragen en/of via het aankruisen van het hokje voor akkoord, tevens aangeeft hiermee in te stemmen. Voor zover u nog niet over een privacyverklaring beschikt, kunt u deze op eenvoudige wijze zelf en afgestemd op uw bedrijf, genereren via deze site. Een algemeen voorbeeld kunt u eventueel ook downloaden in de rechterkolom op deze pagina.  

SSL-certificaat

Met betrekking tot uw website dient u nog te regelen dat deze voorzien is van een SSL-certificaat. SSL staat letterlijk voor Secure Sockets Layer wat betekent dat er een beveiligde laag geplaatst wordt tussen een server en een internet browser waardoor de gegevens beveiligd worden. SSL certificaten maken gebruik van het https-protocol van de browser wat de beveiligde verbinding tot stand brengt. Hiervoor kunt u het beste contact opnemen met uw websitebeheerder of internetprovider. 

Administratie

Als bedrijf houdt u een (loon)administratie en boekhouding bij. Daarbij verstrekt u persoonsgegevens aan uw salarisadministrateur, accountant en gebruikt u mogelijk ook speciale software voor projectadministraties e.d. In die gevallen is het belangrijk dat u met deze bedrijven een verwerkersovereenkomst sluit waarbij duidelijk is wat de rol van deze bedrijven is en welke gegevens zij verwerken en op welke wijze zij daar AVG-proof mee omgaan. Een voorbeeld van een dergelijke verklaring vindt u in de rechterkolom op deze pagina. In veel gevallen hebben deze bedrijven al contact opgenomen met hun klanten om dit te regelen. Mocht dat niet het geval zijn, adviseren wij u hierover contact met hen op te nemen.

De opdrachtgever

Op de bouwplaats of locatie waar het werk moet worden uitgevoerd, gaat het echter dagelijks over het verstrekken (of juist niet) van persoonsgegevens. Voor u als bedrijf geldt dit vaak in de positie van onderaannemer richting de aannemer, maar ook zeker vanuit de positie van opdrachtgever richting onderaannemers (bijv. ZZP-ers). Voor het doorgeven van deze gegevens aan opdrachtgevers blijft gelden dat daarvoor een wettelijke grondslag nodig is. Met betrekking tot AVG kan dit in de meeste gevallen gedaan worden door in de algemene voorwaarden (kunnen ook de inkoopvoorwaarden van de opdrachtgever zijn) een aantal modelbepalingen op te nemen, waarmee dit geregeld wordt. Voorbeelden van deze bepalingen vindt u in de rechterkolom op deze pagina. 

Pasjessysteem

In toenemende mate wordt door (hoofd)aannemers gebruik gemaakt van een “pasjessysteem” om medewerkers van onderaannemers toegang te verschaffen via een digitaal toelatingssysteem waarbij u als onderaannemer allerlei gegevens van werknemers e.d. in een systeem moet invoeren. Op zich kan dit wel, maar dan zult u toch een verwerkersovereenkomst moeten sluiten met de opdrachtgever/aannemer om zo te borgen dat deze de gegevens op een juiste manier verwerkt en alleen gebruikt voor het doel waarvoor ze nodig zijn. Een voorbeeld van een dergelijke verwerkersovereenkomst vindt u in de rechterkolom op deze pagina. In de situatie dat er sprake is van de zogenaamde gezamenlijke verantwoordelijkheid dient u dit ook vast te leggen. Ook hiervan vindt u voorbeelden op onze website.

Nog niets gedaan?

Mocht u nog helemaal geen stappen hebben ondernomen met betrekking tot AVG, dan is het nu wel de hoogste tijd om dit te doen. Hoewel er reeds is aangegeven dat niet meteen de focus op het midden- en kleinbedrijf zal liggen bij de handhaving, zit u er niet op te wachten als dit onverhoopt toch een keer het geval is en u mogelijk te maken krijgt met torenhoge boetes. Om aan de AVG te voldoen moet u de nodige stappen zetten om er verzekerd van te zijn dat u het goed doet. Lang nog niet alles is duidelijk en zal ook nog wel enige tijd duren voordat dit helemaal duidelijk wordt. Tot die tijd moet u in ieder geval laten zien dat u er al het nodige aan gedaan heeft. Met de bovenstaande onderdelen heeft u al een heel groot stuk van het werk gedaan en kunt u met vertrouwen een eventuele controle tegemoet zien.

Zoals hierboven aangegeven is er op zich niets veranderd als het gaat om het verstrekken van de gegevens zelf van bijvoorbeeld uw werknemers. Het afgeven van kopieën van paspoorten e.d. is nog steeds niet toegestaan. Ook het doorgeven van allerlei gegevens van ZZP-ers is nog steeds niet aan de orde. Wel moet u vastleggen hoe u en de verwerker en/of opdrachtgevers omgaan met de gegevens en dit conform de wet zal moeten zijn.