Ben jij als ZZP’er al helemaal klaar voor de AVG/ GDPR? Of ben je nog steeds aan het stressen om wat er allemaal moet gebeuren en waarom? Om mij heen hoor ik namelijk dat er nog veel onduidelijkheid is en ook angst om het verkeerd aan te pakken. Nergens voor nodig!

Eerlijk is eerlijk: het is wel aardig wat werk. Maar het hoeft echt niet moeilijk te zijn. Er is namelijk genoeg hulp, bijvoorbeeld van de Kamer van Koophandel of de Autoriteit Persoonsgegevens. Enkele praktische tips voor de laatste loodjes!

Denk logisch na

In april bezocht ik een informatiebijeenkomst van de Kamer van Koophandel over de nieuwe Privacywet, waar ik heel veel aan heb gehad. Het heeft vooral een hoop stress bij mij weggehaald. Ik merk dat veel ZZP’ers toch nog steeds wel wat stress en angst ervaren rondom dit onderwerp. Maar ik merk ook dat velen er veel te moeilijk over (door)denken. De belangrijkste boodschap die ik tijdens de KvK informatieavond meekreeg? “Als je het goed kunt onderbouwen is er heel veel mogelijk“.

Een voorbeeld. Veel kleine ondernemers denken bij het aanmaken van een verwerkingsregister dat ze nu van elk afzonderlijk gegeven moeten bijhouden wat er gebeurt. Dat is echter niet de bedoeling. Wat je wel moet bijhouden is welke gegevens je op welke manier binnenkrijgt, verwerkt en bewaart en hoe lang je dat doet. Voor die tijdsduur bestaan bijvoorbeeld ook weer geen vaste regels, die is per onderneming te bepalen. Denk jij dat je bepaalde gegevens een maand nodig hebt, een jaar of misschien wel vijf? Dat kan, maar dan dien je wel een logische onderbouwing te hebben voor deze tijdsduur. Hierover later meer.

Bekijk hier het filmpje van de KvK Informatiebijeenkomst over de Privacywet, in april 2018 (ja, ik kom er ook in voor 😉 ):

Maak gebruik van het 10-stappenplan

Je staat er echt niet alleen voor als ondernemer. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de Privacywet, maar helpt ondernemers ook om dit naleven te verwezenlijken. Zo werd er door de AP een heel handig 10-stappenplan gemaakt, dat hier als PDF te downloaden is en hier ook uitgebreid terug te vinden is op de site van de Kamer van Koophandel.

Om je te helpen wat luchtiger naar de stappen te kijken heb ik geprobeerd om bij elke stap wat van de onduidelijkheid weg te nemen. Ik hoop dat je er wat aan hebt! Mocht je na het lezen van dit blog en de stappen hieronder nog vragen hebben, neem dan gerust contact op!

Stap: 1 Bewustwording

Zorg dat iedereen in de onderneming bekend is met de nieuwe privacyregels. Als ZZP’er ben jij de enige in je onderneming. Dus: check!

Stap 2: Informeren

Je dient je klanten en andere mensen van wie je gegevens verwerkt te informeren over hun recht op privacy. Laat hen weten wat je doet met de verzamelde gegevens en waarom, maar vertel ook hoe een eventuele klacht ingediend kan worden als zij denken dat hun gegevens niet volgens de Privacywet worden behandelt.

De handigste tool hiervoor is de privacyverklaring op je website. Ja, daar moet je best even voor zitten want het is aardig wat werk. Maar moeilijk? Nee. Gebruik dit lijstje om te zien wat er in moet staan.

Stap 3: Verwerkingsregister

Bij het woord ‘register’ zijn veel mensen in staat om hard gillend weg te rennen. Het is ook wel een heel indrukwekkend woord natuurlijk 😉 Maar in tegenstelling tot het beeld dat dit woord bij veel mensen oproept, bestaat een register niet altijd uit een kast vol met mappen die elk vele pagina’s met moeilijke statistieken en tabellen bevatten. Het kan bijvoorbeeld ook een document van 1 A4-tje zijn.

Voordat je hiermee aan de slag gaat, heb ik nog een leuke mededeling over deze stap. Er is namelijk een uitzondering op deze regel! Via Charlotte’s Law ontdekte ik dat veel kleine ondernemers deze verplichting niet hebben. Hoe dat zit, lees je op haar blog.

Kom je wel in aanmerking? Dan nog even het volgende, ter verduidelijking.
Het verwerkingsregister is een document dat je nodig hebt om aan te tonen dat je je aan de AVG/GDPR houdt. Je kunt dit het meest eenvoudig bijhouden in bijvoorbeeld een Excel bestand. Hierin vermeld je dus welke persoonsgegevens je gebruikt, voor welk doel, waar en hoe lang je ze bewaart en met wie je ze eventueel deelt. Het is dus GEEN document met alle persoonsgegevens die je verzamelt via jouw onderneming, maar een document met informatie OVER de persoonsgegevens.

Waarom? Stel dat iemand vraagt om zijn/haar gegevens te verwijderen, dan kun je via dat register achterhalen waar deze gegevens allemaal staan en met welke andere partijen ze eventueel gedeeld zijn, zodat je hen ook kunt informeren. Ook wanneer de privacy van bepaalde mensen in gevaar is, moet je kunnen aantonen wat jij met die gegevens doet zodat inzichtelijk is wie er verantwoordelijk is.

De tijd die je stopt in het aanmaken van je verwerkingsregister is afhankelijk van de hoeveelheid verschillende manieren van persoonsgegevens verzamelen en verwerken die jij in je onderneming hanteert.

Stap 4: Beoordeling impact met DPIA

Voor veel ZZP’ers is het uitvoeren van een ‘Data protection impact assesment’ (DPIA) niet verplicht. Lees hier in welke gevallen dat wel zo is.

Stap 5: Inrichten systemen

Bij het maken en inrichten van (contact)formulier dien je al rekening te houden met het verzamelen van gegevens. Zo MOET iemand bij het invulformulier bijvoorbeeld, EXPLICIET aangegeven dat hij of zij op de hoogte gehouden wil worden door middel van een nieuwsbrief/ e-maillijst. Dit betekent ook dat je geen (web)formulier mag gebruiken waarop al een vakje is aangevinkt, dit aanvinken moet expliciet door de invuller gebeuren.

Stap 6: Toezicht

Wanneer de kernactiviteit van je onderneming is om op grote schaal gevoelige persoonsgegevens (zoals gezondheidsgegevens) te verwerken, of wanneer een organisatie fysiek of digitaal mensen observeert is het verplicht om een toezichthouder aan te stellen voor de verzamelde gegevens. Dit wordt een een functionaris gegevensbescherming (FG) of data protection officer (DPO) genoemd. De kans is klein dat dit voor jou als ZZP’ er geldt.

Stap 7: Datalekken documenteren en melden

Wanneer je bestanden gehackt zijn of er op een andere manier onbedoeld mensen of organisaties toegang hebben gekregen tot de door jouw onderneming bewaarde persoonsgegevens (datalek), ben je volgens de AVG verplicht om dit te melden. Deze meldingsplicht geldt niet als er geen risico’s voor (natuurlijke) personen uit voortkomen, maar in alle gevallen moet een datalek worden gedocumenteerd. Dit weet je nu, voor het geval het gebeurt. Maar zolang er geen sprake is van een hack of datalek, hoef je niets met deze informatie te doen.

Stap 8: Een verwerkersovereenkomst afsluiten

Als een andere organisatie persoonsgegevens voor jou verwerkt en/of bewaart, dan moet je met dat bedrijf een verwerkersovereenkomst afsluiten. Dit geldt dus ook voor een groot deel van je online tools en website plugins als Google Analytics, Mailchimp, de provider van je websitedomein, etc… Gelukkig hebben de grote bedrijven zelf een verwerkingsovereenskomst opgesteld (als het goed is zul je die van de meeste partijen inmiddels hebben ontvangen) en/ of de voorwaarden hebben aangepast. Neem bij twijfel contact op met de desbetreffende partij. Hier lees je welke afspraken er in een verwerkersovereenkomst moeten staan.

Stap 9: Bepaal de leidende toezichthouder

Bij een Nederlandse hoofdvestiging is de Autoriteit Persoonsgegevens de leidende toezichthouder. Dat geldt dus ook voor jou als in Nederland gevestigde ZZP’er. Met die informatie hoef je verder niets te doen.

Stap 10: Toestemming vragen of een andere grondslag

Persoonsgegevens mogen alleen verwerkt worden als de AVG daar een grondslag voor geeft. Dit is dus dat stukje waar je vooral logisch na moet denken: heb je alle gegevens nodig waar je om vraagt? Als je dit voor elk van de gegevens kunt onderbouwen (en dus niet met een “je weet maar nooit wanneer het handig kan zijn”), dan is het ok. Vergeet die onderbouwing ook niet mee te nemen in je eventuele verwerkingsregister. Nogmaals (zie ook stap 5): de desbetreffende persoon moet expliciet toestemming hebben gegeven om de gegevens te bewaren en te verwerken.
De verwerking van persoonsgegevens mag alleen als het nodig is voor 1 van de 5 noodzakelijkheidsgrondslagen. Welke grondslagen dit zijn, kun je hier lezen.

Ben jij blogger? Ook dan heb je te maken met de AVG. Lees er hier meer over.

Meer informatie (adv Bol.com):

Disclaimer: ik ben geen jurist. Wil je professioneel geholpen worden met de AVG of andere wetgeving of heb je twijfels bij jouw eigen privacyverklaring, verwerkingsregister of andere onderdelen van de AVG, dan raad ik je aan om professionele hulp te zoeken bij een jurist of de Autoriteit Persoonsgegevens te raadplegen.

(Gebruikte bronnen: Kamer van KoophandelCharlottes Law, Autoriteit Persoonsgegevens)
(Bron afbeelding: Pixabay)