Privacywet: De AVG voor ZZP’ers

De nieuwe privacywetgeving (AVG) zal vanaf 25 mei 2018 door iedereen die met persoonsgegevens werkt (geloof medat ben jij ook!) nageleefd moeten worden.

In dit artikel ga ik jou stap voor stap uitleggen wat jij als ZZP’er moet gaan doen om de nieuwe regelgeving op tijd te implementeren.

Definities

AVG

De AVG staat voor Algemene Verordening Gegevens en is ook wel bekend onder de naam GDPR (General Data Protection Regulation).

Deze nieuwe Europese wetgeving zal vanaf 25 mei de huidige Wet bescherming persoonsgegevens volledig vervangen. Het doel van de wet is simpelweg het beschermen van persoonsgegevens.

Persoonsgegevens

De definitie van persoonsgegevens wordt onder de AVG uitgebreid tot ‘alle informatie die herleidbaar is naar een natuurlijk persoon‘. Deze uitbreiding zorgt er bijvoorbeeld voor dat zakelijke e-mailadressen, zoals legal@ladylawyer.nl, ook als persoonsgegeven worden beschouwd wanneer steeds dezelfde natuurlijke persoon deze mails beantwoordt.

We kunnen persoonsgegevens onderverdelen in algemene en bijzondere gegevens. Algemene persoonsgegevens zijn bijvoorbeeld iemands naam en e-mail. Voorbeelden van bijzondere persoonsgegevens zijn de gezondheidsstatus of religie van jouw klant. Wanneer jij met bijzondere persoonsgegevens werkt (als je bijvoorbeeld als coach werkt met mensen met een burnout) ben jij aan strengere regels verbonden omtrent het verwerken van deze gegevens.

Verwerken

Ook het verwerken van persoonsgegevens is een breed begrip. Hier valt namelijk ook onder het opslaan, inzien, doorgeven, ordenen, wijzigen en gebruiken van gegevens.

Voor wie?

En dat gebruiken doe jij al snel. Want ook als jij geen webshop hebt (waarbij je natuurlijk om uberhaupt een bestelling te kunnen versturen persoonsgegevens als een adres nodig hebt), geen coach (en dus in het bezit bent van clientendossiers met vaak bijzondere persoonsgegevens) en geen virtual assistant (met toegang tot allerlei persoonsgegevens die jij via jouw klanten van hun klanten krijgt) bent en je dus misschien niet had verwacht dat 25 mei voor jou een belangrijke datum gaat worden, is dat wel degelijk zo.

Ook als jij namelijk een contactformulier op je website hebt staan, een nieuwsbrief via een mailinglist verstuurt, een besloten facebookgroep met jouw klanten hebt, of een factuur stuurt verwerk jij persoonsgegevens!

En zelfs als blogger ben jij onderworpen aan deze regelgeving. Denk maar eens aan het tracken van je bezoekers met een dienst als Google Analytics, bezoekers die reacties op je artikelen achter kunnen laten of deze kunnen delen met social share buttons

Rechten van jouw klanten en websitebezoekers onder de AVG

De personen van wie jij gegevens verzamelt krijgen een aantal rechten.*

Duidelijke doelformulering: Duidelijk en expliciet aangeven met welk doel je gegevens verzamelt & niet MEER gegevens verzamelen dan voor je doel nodig is.

Expliciete (vakjes mogen niet meer vooraf staan aangevinkt), losse (voor elk doel een apart vakje) toestemming (vragen, krijgen en registreren) van deze personen voor de verwerking van hun gegevens voor de vermelde doelen OF een andere juridische grondslag.

> Recht op inzagewijziging en verwijdering (in hoeverre binnen de wet en bedrijfsvoering mogelijk) van hun gegevens.

> Recht op bezwaar.

> Recht op transport van hun gegevens in een gangbare vorm.

Informatie- & Documentatieplicht

Jij krijgt daarnaast als verwerker met een aantal plichten te maken.

Meldplicht datalekken: Wanneer er sprake is van een datalek (iemand die toegang tot door jouw verzamelde gegevens heeft zonder hier toestemming voor te hebben, denk aan het kwijtraken van een usb-stick), dien je dit binnen 72 uur na het ontstaan van de lek te melden aan de Autoriteit Persoonsgegevens en de personen van wie de gegevens zijn gelekt.

Informatieplicht: Jij dient jouw klanten en websitebezoekers te informeren over de verwerking van hun gegevens. Dit doe je door een privacyverklaring zichtbaar op je website te plaatsen (dit mag overigens niet als onderdeel van je algemene voorwaarden zijn).

Wellicht heb je al een privacyverklaring (dit is onder de huidige Wet bescherming persoonsgegevens namelijk ook al wettelijk verplicht), maar deze wordt vanaf 25 mei dus helemaal aangepast, en dan vooral uitgebreider.

Deze privacyverklaring dient allereerst aan een aantal vormvereisten te voldoen. Deze verklaring moet namelijk transparant (er moet dus duidelijk in staan wat je doet en het document moet zichtbaar op je website worden geplaatst) en eenvoudig leesbaar zijn.

In de privacyverklaring komt samengevat te staan welke persoonsgegevens jij verzamelt en wat je met die gegevens doet. In elke privacyverklaring komen een aantal hoofdzaken terug. Hoewel deze zaken in iedere verklaring moeten staan, zal dit er voor iedereen anders uit komen te zien. Geen enkele privacyverklaring zal dus hetzelfde zijn.

Welke gegevens moet jij nu uitgebreid en begrijpelijk in je privacyverklaring opnemen:

Contactgegevens van jou als verantwoordelijke van de gegevensverwerking.

> Welke persoonsgegevens je verzamelt. Dit kan natuurlijk een hele lijst worden en kun je dan ook het beste per doel onderscheiden en vermelden.

> De doelen waarvoor je deze gegevens verzamelt en de juridische grondslag die je hebt om de genoemde gegevens met dit doel te verzamelen. Je moet dus voor ieder doel apart de juridische grondslag noemen. Hierbij kun je denken aan expliciete toestemming van je klanten of de noodzakelijkheid van het verzamelen van deze gegevens voor het kunnen uitvoeren van de overeenkomst (zonder adres kun jij bijvoorbeeld niet een product uit je webshop versturen).

> Hoe lang je deze gegevens bewaart. Ook dit benoem je weer per doel. Je kunt hier een concrete bewaartermijn opnemen (factuurgegevens bewaar je bijvoorbeeld 7 jaar, omdat de Belastingdienst dit vereist) of een abstracte termijn (bijvoorbeeld ‘Wij bewaren je e-mailadres zo lang je staat ingeschreven voor onze nieuwsbrief’).

Wie de door jou verzamelde gegevens in kunnen zien (derde partijen).

> Het recht dat zij hebben op inzage, rectificatie of verwijdering van hun gegevens.

> Het recht op bezwaar tegen het verzamelen van hun gegevens.

> Of de personen verplicht zijn hun gegevens de verstrekken en wat het gevolg is wanneer zij dit niet doen.

Dit is echter niet het enige document dat je nodig hebt.

Documentatieplicht: Als eigenaar van je onderneming moet je ook aan kunnen tonen dat jij je aan de regels van de AVG houdt. En dat kun je doen door een verwerkingsregister bij te houden. In tegenstelling tot wat de meeste ZZP’ers denken is een verwerkingsregister niet alleen verplicht voor grotere ondernemingen met meer dan 250 werknemers, maar ook voor ondernemers die structureel gegevens verwerken. Daarnaast levert het hebben van een verwerkingsregister het voordeel op dat wanneer je bij een eventuele controle van de Autoriteit Persoonsgegevens kunt laten zien met dit register dat je alles netjes bijhoudt, je vaak ook de ruimte zult krijgen om eventuele inhoudelijke fouten te verbeteren. Dat kan je toch mooi nog die boete van maximaal 4% van je jaarlijke omzet of 20 miljoen euro besparen!

In het verwerkingsregister komen veel dezelfde dingen te staan als in je privacyverklaring, alleen is het verwerkingsregister bedoeld voor eigen gebruik (en voor eventuele controle van de Autoriteit). Dit document mag er dan ook uitzien zoals jij het zelf overzichtelijk vindt en kan al in een simpel Excel bestand (zorg er dan natuurlijk wel voor dat je dit bestand goed beveiligt). Het is in het verwerkingsregister vooral belangrijk dat je voor jezelf bijhoudt of je toestemming hebt verkregen om gegevens te verwerken, wanneer je deze hebt verkregen of wanneer deze eventueel is ingetrokken. Het is dus feitelijk jouw eigen administratie, zodat je alles rondom jouw verwerking op een rijtje hebt staan. Ook neem je in dit register op welke organisatorische– en beveilingsmaatregelen jouw onderneming heeft getroffen om de verwerking te beschermen.

Ketenverantwoordelijkheid: Tot slot krijg je onder de AVG te maken met ketenverantwoordelijkheid. Jij bent namelijk niet de enige partij die toegang heeft tot de door jou verzamelde gegevens. Zo heeft een programma als Mailchimp ook inzage tot de e-mailadressen uit jouw nieuwsbriefdatabase en heeft je boekhouder toegang tot factuurgegevens van jouw klanten. Met al deze derde partijen dien jij afspraken te maken en dat doe je met verwerkers (of bewerkers)overeenkomsten.

Een verwerkersovereenkomst is een standaard overeenkomst die je met derde partijen sluit waarin je een aantal zaken afspreekt met betrekking tot de verwerking door deze derde, vaak grotere, bedrijven.

Het goede nieuws is dat jij deze documenten als ZZP’er niet zelf hoeft op te stellen. Grote partijen, zoals Google, hebben deze vaak in hun Algemene Voorwaarden verwerkt en ook bij andere partijen kun je ze zo opvragen. Jij hoeft deze dus niet zelf op te stellen, maar omdat jij de eindverantwoordelijke van de verzamelde gegevens bent, dien je ze wel te hebben en daar actie voor te ondernemen. In deze groep verzamelen wij verwerkersovereenkomsten van enkele grote partijen voor je. 

Stappenplan

Concluderend zorgt de AVG ervoor dat je zo min mogelijk gegevens moet gaan verzamelen en de data die je verzamelt goed moet vastleggen en beveiligen. Wat moet jij nu concreet gaan doen om de AVG te implementeren?

1. Stuur een email  naar je huidige klantenbasis met daarin alle doelen vermeld waarvoor je hun e-mail gebruikt en geef ze de kans zich uit te schrijven wanneer zij zich hier niet in kunnen vinden. De wetgeving gaat dus ook terugwerken naar je huidige klanten.

2. Daarnaast kun je vast een apart emailadres  aanmaken voor alle privacyissues, zoals een verzoek tot inzage van gegevens. Je kunt hiervoor natuurlijk je standaard info@ e-mail voor gebruiken, maar het is handig dit te onderscheiden met bijvoorbeeld een privacy@ adres.

3. Vervolgens ga je na met welke derde partijen je allemaal werkt, zoals Google, Mailchimp en Moneybird, en vraag je bij hun verwerkersovereenkomsten  op.

4. Daarna maak je een verwerkingsregister  en ga je er even goed voor zitten om vast te leggen welke gegevens jij verzamelt en al hebtverzameld. En denk je er automatisch eens goed over na of al je systemen wel goed zijn beveiligd.

5. Over registers gesproken, je kunt ook vast een register  aanmaken om in de toekomst eventuele datalekken  te registeren en stel je een procedure voor jezelf op over hoe te handelen in geval van zo’n datalek.

6. Maar zoals al eerder gezegd wordt een van de belangrijkste dingen het regelen van een privacyverklaring  om te voldoen aan de informatieplicht.

Als jij het nu helemaal niks vindt om je te wagen aan nieuwe regelgeving die zoveel van je vraagt, maar toch juridische zekerheid wilt om die hoge boetes te voorkomen, kan Lady Lawyer jou helpen met het opstellen van een privacyverklaring.

Op maat gemaakte privacyverklaring

Voor 175 euro exclusief btw kun jij een AVGproof privacyverklaring volledig op maat voor jouw onderneming laten opstellen. Zo weet jij zeker dat je je niet meer druk hoef te maken om de informatieplicht, je alles hebt opgenomen wat je op moet nemen, de juiste juridische grondslagen hebt vermeld en dat de privacyverklaring ook nog eens transparant en begrijpelijk zal zijn. Wil jij hier gebruik van maken? Stuur dan een mail naar legal@ladylawyer.nl

 

 

Lady Lawyer

Sharon helpt ondernemers met het opstellen van hun juridische fundament. Gespecialiseerd in algemene voorwaarden, privacy-verklaringen en cookie-statements, maar houdt zich ook breder bezig in het ondernemings- en consumentenrecht.Is digital nomad by accident en werkt daardoor met de wereld aan haar voeten. Is verder verslaafd aan kaas en alles met karamel-zeezout, een Instagram stories addict en d/t-taalnazi.
Scroll naar top