Privacywet: AVG-maatregelen voor ZZP’ers

Het kán je niet ontgaan zijn: de privacywetgeving of AVG. Sinds 25 mei 2018 moet deze wetgeving door iedereen worden nageleefd die met persoonsgegevens werkt. En geloof me, ook jij valt daaronder! In dit artikel leg ik je stap voor stap uit wat jij als ZZP’er moet doen om de nieuwe regelgeving te implementeren en onderhouden.

Wat is de AVG?

AVG staat voor Algemene Verordening Gegevens en is ook wel bekend onder de naam GDPR (General Data Protection Regulation). Deze Europese wetgeving heeft sinds 25 mei 2018 de ‘Wet bescherming persoonsgegevens’ volledig vervangen. Het doel van deze wet is simpelweg het beter beschermen van persoonsgegevens.

Wat zijn persoonsgegevens?

De definitie van persoonsgegevens wordt onder de AVG uitgebreid tot ‘alle informatie die herleidbaar is naar een natuurlijk persoon’. Deze uitbreiding zorgt er bijvoorbeeld voor dat zakelijke e-mailadressen, zoals legal@ladylawyer.nl, ook als persoonsgegeven worden beschouwd wanneer dezelfde natuurlijke persoon deze mails beantwoordt.

We kunnen persoonsgegevens onderverdelen in algemene en bijzondere gegevens. Onder algemene persoonsgegevens vallen bijvoorbeeld namen en e-mailadressen. Bijzondere persoonsgegevens zijn vaak gerelateerd aan de gezondheidsstatus of religie van een klant of cliënt. Wanneer jij met bijzondere persoonsgegevens werkt ben jij aan strengere regels verbonden omtrent het verwerken van deze gegevens. Denk bijvoorbeeld aan een coach die werkt met mensen met een burn-out.

Verwerken van persoonsgegevens volgens de AVG

Het verwerken van persoonsgegevens is een breed begrip. Hier valt namelijk ook onder: het opslaan, inzien, doorgeven, ordenen, wijzigen en gebruiken van gegevens. En dat gebruiken doe jij al snel. Want ook als je géén webshop hebt (waarbij je persoonsgegevens nodig hebt om te kunnen leveren), coach (die in het bezit is van cliëntendossiers) of virtual assistant (met toegang tot uitgebreide CRM-systemen) bent: is ook voor jou de AVG-privacywet van belang.

Al heb je een contactformulier op je website staan of verstuur je een nieuwsbrief via e-mailsoftware: jij verwerkt persoonsgegevens. En zelfs als blogger ben je niet veilig voor de regelgeving!  Denk maar eens aan het tracken van je bezoekers met een dienst als Google Analytics, bezoekers die reacties op je artikelen achter kunnen laten of deze kunnen delen met social sharing buttons.

Rechten van klanten en websitebezoekers onder de AVG

De personen van wie jij gegevens verzamelt hebben een aantal rechten:D

1. Duidelijke doelformulering

Duidelijk en expliciet aangeven met welk doel je gegevens verzamelt en niet méér gegevens verzamelen dan voor je doel nodig is.

2. Expliciete toestemming

Vakjes, voor de verwerking van gegevens voor de vermelde doelen, mogen niet meer vooraf staan aangevinkt.

3. Recht op inzage

Het recht op inzage, wijziging en verwijdering van gegevens is een belangrijk onderdeel van de privacywet. Natuurlijk speelt de bedrijfsvoering hierin een belangrijke rol.

4. Recht op bezwaar.

5. Recht op transport van gegevens in een gangbare vorm.

Informatie- & Documentatieplicht

Jij krijgt daarnaast als verwerkingsverantwoordelijke met een aantal plichten te maken:

1. Meldplicht datalekken

Wanneer er sprake is van een datalek (iemand die toegang tot door jouw verzamelde gegevens heeft zonder hier toestemming voor te hebben), dien je dit binnen 72 uur na het ontstaan van de lek te melden aan de Autoriteit Persoonsgegevens en de personen van wie de gegevens zijn gelekt.

2. Informatieplicht

Jij dient jouw klanten en websitebezoekers te informeren over de verwerking van hun gegevens. Dit doe je door een privacyverklaring zichtbaar op je website te plaatsen. Dit mag overigens niet als onderdeel van je algemene voorwaarden zijn.

Privacyverklaring die aan alle eisen voldoet

Wellicht heb je al een privacyverklaring, maar voldoe je (nog) niet aan alle gestelde eisen. Een goede privacyverklaring dient allereerst aan een aantal vormvereisten te voldoen. Deze verklaring moet namelijk transparant (er moet dus duidelijk in staan wat je doet en het document moet zichtbaar op je website worden geplaatst) en eenvoudig leesbaar zijn. In de privacyverklaring komt dus te staan welke persoonsgegevens jij verzamelt en wat je met die gegevens doet. In elke privacyverklaring komen een aantal hoofdzaken terug. Hoewel deze zaken in iedere verklaring moeten staan, zal dit er voor iedereen anders uit komen te zien. Geen enkele privacyverklaring is dus hetzelfde.

Welke gegevens moet jij uitgebreid en begrijpelijk in je privacyverklaring opnemen:

  • Contactgegevens van jou als verantwoordelijke van de gegevensverwerking.
  • Welke persoonsgegevens je verzamelt. Dit kan natuurlijk een hele lijst zijn en kun je dan ook het beste per doel onderscheiden en vermelden.
  • De doelen waarvoor je deze gegevens verzamelt en de juridische grondslag die je hebt om de genoemde gegevens met dit doel te verzamelen. Je moet dus voor ieder doel apart de juridische grondslag noemen. Hierbij kun je denken aan expliciete toestemming van je klanten of de noodzakelijkheid van het verzamelen van deze gegevens voor het kunnen uitvoeren van de overeenkomst (zonder adres kun jij bijvoorbeeld niet een product uit je webshop versturen).
  • Hoe lang je deze gegevens bewaart. Ook dit benoem je weer per doel. Je kunt hier een concrete bewaartermijn opnemen (factuurgegevens bewaar je bijvoorbeeld 7 jaar, omdat de Belastingdienst dit vereist) of een abstracte termijn (bijvoorbeeld ‘Wij bewaren je e-mailadres zo lang je staat ingeschreven voor onze nieuwsbrief’).
  • Wie de door jou verzamelde gegevens in kunnen zien (derde partijen).
  • Het recht dat de lezers hebben op inzage, rectificatie of verwijdering van hun gegevens.
  • Het recht op bezwaar tegen het verzamelen van hun gegevens.
  • Of de personen verplicht zijn hun gegevens de verstrekken en wat het gevolg is wanneer zij dit niet doen.

Overige documenten die je nodig hebt als ZZP’er onder de AVG

  • Documentatieplicht: Als eigenaar van je onderneming moet je ook aan kunnen tonen dat jij je aan de regels van de AVG houdt. En dat kun je doen door een verwerkingsregister bij te houden. In tegenstelling tot wat de meeste ZZP’ers denken is een verwerkingsregister niet alleen verplicht voor grotere ondernemingen met meer dan 250 werknemers, maar ook voor ondernemers die structureel gegevens verwerken. Daarnaast levert het hebben van een verwerkingsregister het voordeel op dat wanneer je bij een eventuele controle van de Autoriteit Persoonsgegevens kunt laten zien met dit register dat je alles netjes bijhoudt, je vaak ook de ruimte zult krijgen om eventuele inhoudelijke fouten te verbeteren. Dat kan je toch mooi nog die boete van maximaal 4% van je jaarlijkse omzet of 20 miljoen euro besparen!
  • Verwerkingsregister: In het verwerkingsregister komen veel dezelfde dingen te staan als in je privacyverklaring, alleen is het verwerkingsregister bedoeld voor eigen gebruik (en voor eventuele controle van de Autoriteit). Dit document mag er dan ook uitzien zoals jij het zelf overzichtelijk vindt en kan al in een simpel Excel bestand (zorg er dan natuurlijk wel voor dat je dit bestand goed beveiligt). Het is in het verwerkingsregister vooral belangrijk dat je voor jezelf bijhoudt of je toestemming hebt verkregen om gegevens te verwerken, wanneer je deze hebt verkregen of wanneer deze eventueel is ingetrokken. Het is dus feitelijk jouw eigen administratie, zodat je alles rondom jouw verwerking op een rijtje hebt staan. Ook neem je in dit register op welke organisatorische– en beveilingsmaatregelen jouw onderneming heeft getroffen om de verwerking te beschermen.
  • Ketenverantwoordelijkheid: Tot slot heb je met de AVG te maken met ketenverantwoordelijkheid. Jij bent namelijk niet de enige partij die toegang heeft tot de door jou verzamelde gegevens. Zo heeft een programma als Mailchimp ook inzage tot de e-mailadressen uit jouw nieuwsbriefdatabase en heeft je boekhouder toegang tot factuurgegevens van jouw klanten. Met al deze derde partijen dien jij afspraken te maken en dat doe je met verwerkersovereenkomsten. Een verwerkersovereenkomst is een standaard overeenkomst die je met derde partijen sluit waarin je een aantal zaken afspreekt met betrekking tot de verwerking door deze derde, vaak grotere, bedrijven.

In je recht staan met Lady Lawyer

Het goede nieuws is dat jij deze documenten als ZZP’er niet zelf hoeft op te stellen. Grote partijen, zoals Google, hebben deze vaak in hun Algemene Voorwaarden verwerkt en ook bij andere partijen kun je ze zo opvragen. Jij hoeft deze dus niet zelf op te stellen, maar omdat jij de eindverantwoordelijke van de verzamelde gegevens bent, dien je ze wel te hebben en daar actie voor te ondernemen. In deze groep verzamelen wij verwerkersovereenkomsten van enkele grote partijen voor je. 

ZZP AVG checklist

Concluderend zorgt de AVG ervoor dat je zo min mogelijk gegevens verzamelt en de data die je verzamelt goed vastlegt en beveiligt. Wat moet jij nu concreet doen om de AVG juist te implementeren?

  1. Stuur een e–mail naar je huidige klantenbasis met daarin alle doelen vermeld waarvoor je hun e-mail gebruikt en geef ze de kans zich uit te schrijven wanneer zij zich hier niet in kunnen vinden. De wetgeving gaat dus ook terugwerken naar je huidige klanten.
  2. Daarnaast kun je een apart e–mailadres aanmaken voor alle privacy issues, zoals een verzoek tot inzage van gegevens. Je kunt hiervoor natuurlijk je standaard info@ e-mail voor gebruiken, maar het is handig dit te onderscheiden met bijvoorbeeld een privacy@ adres.
  3. Vervolgens ga je na met welke derde partijen je allemaal werkt, zoals Google, Mailchimp en Moneybird, en vraag je bij hun verwerkersovereenkomsten op.
  4. Daarna maak je een verwerkingsregister en ga je er even goed voor zitten om vast te leggen welke gegevens jij verzamelt en al hebt verzameld. En denk je er automatisch eens goed over na of al je systemen wel goed zijn beveiligd.
  5. Over registers gesproken, je kunt ook vast een register aanmaken om in de toekomst eventuele datalekken te registeren en stel je een procedure voor jezelf op over hoe te handelen in geval van zo’n datalek.
  6. Maar zoals al eerder gezegd wordt een van de belangrijkste dingen het regelen van een privacyverklaring om te voldoen aan de informatieplicht.

Als jij het nu helemaal niks vindt om je te wagen aan nieuwe regelgeving die zoveel van je vraagt, maar toch juridische zekerheid wilt om die hoge boetes te voorkomen, kan ik jou helpen met het opstellen van een privacyverklaring.

Op maat gemaakte privacyverklaring

Al voor 248 euro (exclusief btw) kun jij een AVG–proof privacyverklaring volledig op maat voor jouw onderneming laten opstellen. Zo weet jij zeker dat je je niet meer druk hoef te maken om de informatieplicht, je alles hebt opgenomen wat je op moet nemen, de juiste juridische grondslagen hebt vermeld en dat de privacyverklaring ook nog eens transparant en begrijpelijk zal zijn. Wil jij hier gebruik van maken?

Lady Lawyer

Sharon helpt ondernemers met het opstellen van hun juridische fundament. Gespecialiseerd in algemene voorwaarden, privacy-verklaringen en cookie-statements, maar houdt zich ook breder bezig in het ondernemings- en consumentenrecht. Is digital nomad by accident en werkt daardoor met de wereld aan haar voeten. Is verder verslaafd aan kaas en alles met karamel-zeezout, een Instagram stories addict en d/t-taalnazi.
Scroll naar top