AVG Checklist voor ZZP'ers

Sinds 25 mei 2018 wordt de huidige Wet Bescherming Persoonsgegevens definitief vervangen door de privacywet Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Protection Regulation (GDPR). In deze wet staat de omgang met persoonsgegevens centraal: de regels zijn op dit gebied flink verscherpt. Langzamerhand lijkt ook de autoriteit persoonsgegevens zijn draai gevonden te hebben getuige de toename van het aantal uitgedeelde boetes.

De nieuwe wet kent een aantal belangrijke zaken waaraan iedere organisatie moet voldoen.

1. Transparantie
Lang hebben ondernemers geheimzinnig gedaan over de wijze van omgang met de persoonsgegevens van klanten. Partijen gingen onzorgvuldig met persoonlijke gegevens om, verschafte de gegevens ongevraagd aan derde partijen of verkochten ze zelf. In de afgelopen 25 tot 30 jaar hebben mensen zich niet gerealiseerd dat hier ook gevaren bij komen kijken. Het lijkt er op dat dit besef ook is doorgedrongen bij de wetgever, vandaar dat de AVG is opgesteld.

2. Privacyverklaring.
In een privacyverklaring staan alle gegevens over jouw onderneming en de manier waarop er met persoonsgegevens wordt omgegaan. Dit zijn onder andere de naam en contactgegevens van jouw onderneming, het doel van de gegevensverzameling, het recht van de betrokkenen om de verzamelde informatie aan te passen of te verwijderen en de verduidelijking of de gegevensverstrekking een wettelijke of contractuele verplichting betreft.

Iedereen waarvan u gegevens verzamelt, heeft recht je te vragen welke gegevens je van hem verzamelt, hoe lang je ze verzamelt en om de gegevens weer te verwijderen. Klanten hebben hierdoor meer controle over hun eigen gegevens. Ze kunnen bovendien ook een klacht indienen bij de Autoriteit Persoonsgegevens over de wijze waarop jouw onderneming met hun gegevens omgaat.

3. Verwerkersovereenkomst.
Als jouw organisatie persoonsgegevens opslaat in software van externe partijen, dan is een verwerkersovereenkomst vereist. Dit kan bijvoorbeeld met de bedrijven achter online opslagprogramma’s (zoals de Cloud en Dropbox) of e-marketing tools (zoals Mailchimp) zijn.

Ook de boekhouder en webhoster/webdesigner zijn hierin sprekende voorbeelden. In een verwerkersovereenkomst wordt bepaald voor welke doeleinden de gegevens worden verwerkt. Daarnaast wordt besproken hoe te handelen bij een datalek en wie daarvoor de (financiële) gevolgen draagt.

4. Algemene voorwaarden
Een groot misverstand is dat de algemene voorwaarden aanpassing nodig hebben vanwege de AVG. Een andere veelgemaakte fout is dat je een privacy statement toe kan voegen aan je algemene voorwaarden. In de wet staat dat je expliciet toestemming moet geven voor het opslaan van je persoonsgegevens. Dit komt in het geheel niet overeen met het feit dat algemene voorwaarden ook stilzwijgend kunnen worden goedgekeurd.

Indien je het privacy statement toevoegt aan je algemene voorwaarden moet je er dus in ieder geval voor zorgen dat mensen een handeling verrichten om de algemene voorwaarden goed te keuren anders zijn een aantal bepalingen ongeldig. Het belang van de algemene voorwaarden zit met name in het inperken van de aansprakelijkheid. Vandaar dat iedere ondernemer wel wordt geadviseerd goede algemene voorwaarden op te laten stellen.

Pas op voor knippen en plakken van Google, omdat je nooit de herkomst van de documenten weet. Kopieer ook niet klakkeloos de voorwaarden van een vergelijkbaar groot bedrijf. Vaak hebben grote bedrijven algemene voorwaarden die aanzienlijk soepeler zijn dan wat je als kleine aanbieder voor ogen hebt. De (financiële) gevolgen kunnen dan ook groot zijn. Laat de algemene voorwaarden dus altijd op maat opstellen door een jurist.

5. Verwerkingsregister.
Elke onderneming heeft de plicht om aan te kunnen tonen dat er op een verantwoorde manier met persoonsgegevens wordt omgegaan en om de procedures te verduidelijken wat betreft de opslag van persoonsgegevens. Dit wordt allemaal opgesteld in een verwerkingsregister. Het verwerkingsregister is er mede voor bedoeld aan te kunnen tonen welke gegevens er mogelijk op straat zijn komen te liggen bij een datalek. De eisen die gesteld worden aan het verwerkingsregister verschillen overigens wel tussen ondernemingen of organisaties met 250 werknemers en ZZP’ers en kleine MKB’ers.

5. Gegevensbeschermingsbeleid.
Tenslotte is er de verplichting tot het aantonen van een verantwoord beleid op het gebied van privacy en gegevensbescherming. Het gegevensbeschermingsbeleid laat zien welke persoonsgegevens jouw onderneming opslaat en waarvoor deze worden gebruikt. Tevens moet hier instaan hoe deze gegevens worden beveiligd en gedurende welke periode ze worden opgeslagen. Iedere onderneming is verplicht om binnen 72 uur datalekken te melden.

Handig: Data Protection Impact Assessment (DPIA): meten is weten.
Een DPIA is een tool die helpt bij de naleving van de bepalingen van de AVG.
Met deze assessment inventariseer je als onderneming alle privacy risico’s. Als de werkzaamheden van jouw onderneming vaak het gebruik van andermans persoonsgegevens vereist, dan is een DPIA wel gewenst. Deze analyse laat zien wat de impact is op de privacy van de betrokkenen en ook de risicogebieden voor zowel jouw onderneming als de betrokkenen zelf. Bovendien wordt er een eventuele alternatieve manier getoond om een opdracht uit te voeren op een minder risicovolle manier wat betreft de privacy. In sommige branches is deze analyse zelfs verplicht vanwege de privacygevoelige informatie waarmee er wordt gewerkt, zoals bij marketeers en psychologen.

Een DPIA moet worden verricht door functionarissen die bekend zijn met de AVG en met alle ICT-systemen in de betreffende onderneming.

De Autoriteit Persoonsgegevens heeft nog meer autoriteit verkregen en mag hogere boetes uitschrijven en zelfs onverwachts een inspecteur langs sturen bij gegronde aanleiding.

Wil jij binnen 2 minuten weten of jij voldoet aan de AVG wetgeving? Start de ZZP AVG Checklist Scan > >

Hierna ontvang jij een uitgebreid AVG rapport + eventueel stappenplan om aan de AVG te voldoen.

You may also like:

AVG Checklist voor ZZP'ers

mijnZZPdiensten | 9-8-19 12:21

AVG Checklist voor ZZP'ers

mijnZZPdiensten | 9-8-19 12:21

Misschien ook interessant:

Fabels over de AVG

mijnZZPdiensten | 9-8-19 12:21