Skip to main content
AVG

Relatiebeheer en de AVG: wat zijn de regels?

Als je het hebt over relatiebeheer, heb je het in feite over het verwerken van persoonsgegevens. Alhoewel dat dan wel weer afhankelijk is van het soort klanten. Werk jij voor natuurlijke personen, ook wel mensen of particulieren? Dan heb je inderdaad te maken met persoonsgegevens en de regels die gelden binnen de Algemene Verordening Gegevensbescherming (AVG). Zijn jouw klanten en relaties bedrijven? Dan zit dat weer anders. 

Relatiebeheer en AVG met particulieren

Zijn jouw klanten (maar ook personeel en andere relaties) privé personen? Dan moet je je als het gaat om hun gegevens houden aan de AVG. Je mag hun gegevens alleen verwerken als je valt onder één van de zes grondslagen:

  • Je hebt toestemming van de persoon om wie het gaat of een gevolmachtigde;
  • Het is noodzakelijk om de gegevens te verwerken om je overeenkomst uit te voeren;
  • Het is noodzakelijk om de gegevens te verwerken omdat je dit wettelijk verplicht bent;
  • Het is noodzakelijk om de gegevens te verwerken om vitale belangen te beschermen;
  • Het is noodzakelijk om de gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen;
  • Het is noodzakelijk om de gegevens te verwerken om je gerechtvaardigde belang te behartigen. 

Als je één van die grondslagen hebt, kun je die het best opnemen in je Privacyverklaring en eventueel in je Privacybeleid of een Verwerkingsregister. Zo kun je altijd voor jezelf onderbouwen waarom je deze gegevens hebt opgeslagen. 

Wil je meer weten over de andere regels die de AVG met zich meebrengt? Dan kun je ze nalezen op de website van de Autoriteit Persoonsgegevens. En natuurlijk kun je ook altijd even contact met ons opnemen om even te sparren bij een kop koffie.

Relatiebeheer met bedrijven

Bedrijven zijn geen natuurlijke personen. Algemene bedrijfsgegevens die niet te herleiden zijn tot één persoon, kun je dus in principe zonder problemen vastleggen. Maar aan ieder bedrijf zit toch minimaal één persoon gekoppeld. Het is dus bijna niet mogelijk dat je je níet aan de AVG moet houden. Daarom is het, ook wanneer je voor bedrijven werkt, verstandig om de AVG als standaard aan te houden. Zo bescherm je jezelf ook wanneer achteraf problemen ontstaan.

Relatiebeheer en AVG: een stappenplan

  1. Bepaal voor jezelf welke persoonsgegevens je verwerkt. Alle informatie die direct over iemand gaat of die naar iemand te herleiden is, valt onder persoonsgegevens. Van naam tot BSN. Verwerk je ook bijzondere persoonsgegevens, zoals informatie over iemand gezondheid, strafrechtelijke verleden of politieke voorkeur, dan moet je hier een wettelijke uitzondering voor hebben. Lees hieronder meer over bijzondere persoonsgegevens.

  2. Bedenk of je voldoet aan één van de 6 grondslagen om informatie te mogen verwerken. 

  3. Voer eventueel een Data Protection Impact Assessment (DPIA) uit. Wanneer je gegevens met een hoog privacy risico verwerkt, dan is een DPIA verplicht. Naar aanleiding van de DPIA moet je wellicht stappen ondernemen om risico’s te beperken. 

  4. Leg pas gegevens vast wanneer de betrokkene daar zélf toestemming voor heeft gegeven. Privacy by Default heet dat. 

  5. Bepaal of je een verwerkingsregister moet opstellen. Dit is verplicht wanneer je regelmatig persoonsgegevens verwerkt, bijzondere persoonsgegevens verwerkt (zoals gezondheid, godsdienst of politieke voorkeur) of wanneer je meer dan 250 medewerkers hebt binnen je organisatie. In een verwerkingsregister zie je precies welke soorten persoonsgegevens de organisatie verwerkt, maar ook het doel daarvan én hoe lang je de gegevens bewaart. 

  6. Ga na of je de persoonsgegevens van je relaties goed hebt beveiligd. Hoe zit dat op je website? Hoe sla je de gegevens op? Gebruik je een veilig document management systeem of CRM? 

  7. Deel je persoonsgegevens met andere partijen? Zorg er dan voor dat je goede verwerkersovereenkomsten met hen hebt gesloten. Je moet zeker weten dat zij ook veilig met de gegevens omgaan. 

  8. Je hebt een informatieplicht. Je moet (potentiële) klanten, relaties en medewerkers informeren over het gebruik van persoonsgegevens. Hiervoor kun je een privacyverklaring maken. Hierin zet je wat je doet met welke gegevens en hoe lang je ze bewaart. 

  9. Mensen hebben het recht om vergeten te worden en om hun gegevens te wijzigen. Wanneer ze dit verzoeken, moet je daarop kunnen anticiperen. Zorg dat je hierop voorbereid bent.

Bijzondere persoonsgegevens, wat zijn dat dan?

Er zijn grofweg 2 typen persoonsgegevens zijn. Generieke of normale persoonsgegevens en de zogeheten bijzondere persoonsgegevens. Met deze laatste categorie is de wetgeving nog strenger over het vastleggen en verwerken. Bijzondere persoonsgegevens zijn gegevens over bijvoorbeeld 

• gezondheid of medische achtergrond

• ras, seksuele voorkeur, geloofs- en/of politieke overtuiging

• genetische en/of biometrische gegevens

We zullen binnenkort nog een blog wijden aan persoonsgegevens, waarin we nog een aantal ‘specials’ zullen behandelen.

Persoonsgegevens in documenten

Dit is een stuk dat vaak wordt vergeten. Meestal denk je eerst aan de gegevens in systemen, databases en Exelsheets. We noemen dit de gestructureerde data. Echter, waar gestructureerde data is, huist ook ongestructureerde data. Dit is bijvoorbeeld de ínhoud van een document, PowerPoint, scan of e-mail. En ja, ook deze vallen onder de regels rondom het verwerken en verwijderen.

Persoonsgegevens en documenten in Office365 en SharePoint?

Veel organisaties gebruiken tegenwoordig Office365 en SharePoint om documenten op te slaan. En vaak is er nog een flink archief in mailboxen van medewerkers. Hoe ga je nu zorgen dat je weet welke persoonsgegevens er in welke documenten zitten? Want als je documenten hebt met daarin een kopie legitimatie, dan zijn dat ook bijzondere persoonsgegevens. Hier zie je meteen één van de grootste uitdagingen van het gebruik van SharePoint en Office365. Je kunt aan de buitenkant van een document of bestand niet altijd zien wat erin staat. Daarnaast is het lastig om dit centraal te managen met alle verschillende sites, mailboxen en mappen. Grotere organisaties hebben daar een document management systeem voor.

Een DMS en documenten met persoonsgegevens

In een DMS (document management systeem) geef je met metadata aan wat iets is en waar het bij hoort. Bij grotere organisaties zie je dat in de velden die gebruikt worden voor de metadata ook een veld zit met ‘soort persoonsgegevens’. Daarachter zit dan bijvoorbeeld een keuzelijstje met ‘geen, generiek, bijzonder’.

Wanneer je een document of bestand classificeert (factuur, correspondentie, kopie legitimatie, gezondheidsverklaring, contract, etc.), wordt op basis van de classificatie automatisch het type persoonsgegevens gevuld. Zo zal een document dat wordt geclassificeerd als ‘gezondheidsverklaring’ automatisch de waarde ‘bijzonder' krijgen.

Doordat een document management systeem ook een centrale bron is voor alle documenten in een organisatie, is het veel eenvoudiger om het verwijderen van documenten met persoonsgegevens en bijzondere persoonsgegevens te regelen. Heb je documenten met daarin persoonsgegevens en een proces waarvoor je deze nodig hebt, dan is het verstandig om eens te kijken naar een DMS, zoals CloudCompagnon.

Persoonsgegevens opslaan in CloudCompagnon volgens AVG

Wanneer je CloudCompagnon gebruikt, kun je erop vertrouwen dat het met de technische beveiliging van de persoonsgegevens wel goed zit. Jouw data slaan we op in Nederland, op een Nederlandse server gehost in Friesland,  zodat we altijd voldoen aan de AVG-regels. Daarnaast maakt CloudCompagnon het voor jou heel makkelijk om gegevens op te slaan, te categoriseren, terug te vinden én te verwijderen. Door via metatags alle relevante documentatie te koppelen aan de betreffende persoon of het betreffende bedrijf, kun je dit ook heel makkelijk weer reorganiseren. Zo bewaar je nooit meer dan je nodig hebt en houd je makkelijk het overzicht over alle gegevens die je verwerkt én al je relaties. Terugkomend op relatiebeheer, is dat is toch wel het belangrijkste.  

Wist je dat we in een volgende versie van CloudCompagnon ook een digitaal verwerkingsregister kunnen aanbieden als aanvullende module? Zo kun je bij elke leverancier of relatie bijhouden welke gegevens ze verwerken en waarom en natuurlijk zie je gelijk of er een verwerkersovereenkomst is. Jouw auditor gaat fluitend de deur uit, let maar op!

Wil je weten hoe jij je relaties kunt beheren in CloudCompagnon? Of heb je vragen over de AVG-regels? Maak een afspraak voor een vrijblijvende demo! 

Learning
13 juni 2023
Desiree Machtel-Groen
Desiree Machtel-Groen
Captain Content
13 juni 2023
Relatiebeheer
# Topics
metadata, relatiebeheer, crm, informatiebeheer, dms, document management, Kennisbank, wet en regelgeving, compliance, privacy
Gerelateerde artikelen

Latest Posts

 

Geïnteresseerd in CloudCompagnon?

Meer weten over het documentbeheer dat voor jou werkt? Wij geven je graag persoonlijk advies.

 

DOWNLOAD BROCHURE