Privacy

Wat moet u weten over de AVG en de bescherming van persoonsgegevens?

AVG en persoonsgegevens

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Kort komt het erop neer dat als u met de verwerking van persoonsgegevens te maken heeft, u meer verplichtingen heeft dan voor deze datum. Persoonsgegevens vormen voor bijna iedere zelfstandige ondernemer een belangrijke bron aan data. Denk aan prospect data, klantgegevens en adressen. Met de AVG is het belangrijk dat u voldoet aan de wettelijk vastgestelde eisen. Deze eisen moeten de privacy van uw klanten, doelgroep of contactpersonen waarborgen.

Waarom de AVG?

De AVG is in feite een vervolg op de Wbp, welke dus niet meer geldt. Er is grote behoefte geweest aan een eenduidig privacybeleid. De AVG is dan ook van kracht in de gehele Europese Unie. In Spanje gelden dus dezelfde regels als hier in Nederland.

Daarnaast hebben we de afgelopen jaren veel te maken gehad met digitalisering en automatisering. Data is inmiddels een bijzonder groot handelsgoed geworden. Dat betekent wel dat deze data op de juiste manier geborgd moet worden. Nieuwe en vooral duidelijkere wetgeving moet zorgen dat alle data op een rechtmatige manier verkregen zijn. Ook moet deze data veilig en privacybewust opgeslagen worden. Met de invoering van de AVG wordt hier dus een stuk strenger op toegezien.

Gevolgen van de AVG

De aanloop naar de definitieve invoering van de AVG was een lange. Ondernemers en bedrijven hebben lang de tijd gehad om zich op de nieuwe wetgeving goed voor te bereiden. Grofweg heeft de AVG een aantal zaken sterk veranderd.

  • Uitbreiding van privacyrechten. Mensen krijgen dankzij de AVG meer te zeggen over hun eigen privacyrechten. Sterker nog, er moet eerst nadrukkelijk toestemming gegeven worden om gebruik te maken van de gegevens van iemand. Een voorbeeld is het invullen van een formulier voor een nieuwsbrief inschrijving. De persoon in kwestie moet aangeven of hij/zij toestemming verleent om in de toekomst gemaild te worden. Bedrijven moeten daarentegen bewijs kunnen leveren dat zij toestemming hebben gekregen om mensen te e-mailen. Veel bedrijven kiezen er voor om in hun e-mails onderaan te vermelden wat de reden is dat een geadresseerde de betreffende mail ontvangt.
  • Meer verplichtingen voor organisaties. Hier staat tegenover dat bedrijven juist meer verplichtingen krijgen. Hierboven werd al het vragen om toestemming benadrukt. Maar dit gaat verder. Bedrijven moeten bijvoorbeeld altijd vermelden als ze gebruik maken van cookies. En er moet transparantie zijn over hoe gegevens van klanten of bezoekers verwerkt en gebruikt worden. Bedrijven moeten daarnaast kunnen aantonen dat ze de AVG hebben nageleefd. Grote bedrijven met veel data zijn vaak zelfs verplicht een FG (Functionaris Gegevensbescherming) aan te stellen voor hun organisatie. U als zzp’er voldoet als u duidelijk en zichtbaar vermeld hoe u met de privacy en gegevens van uw bezoekers of klanten omgaat.
  • Stevigere handhaving voor overtreders. Met de invoering van de AVG, gaat ook de handhaving ervan een grotere rol spelen. Wanneer een verantwoordelijke de AVG-verplichtingen niet naleeft, kunnen er flinke boetes uitgedeeld worden. Vooral grote instanties, die veel persoonsgegevens verwerken, kunnen hun borst natmaken als de AP (Autoriteit Persoonsgegevens) handhaaft. De maximale boete voor AVG-overtreding kan oplopen tot wel 20 miljoen euro, of een substantieel gedeelte van de jaaromzet.
  • Dankzij de AVG kregen zzp’ers in het najaar van 2019 een ander btw-nummer. Dat komt omdat het oude btw-nummer een afgeleide was van de BSN van ondernemers. De BSN van ondernemers is op deze manier gemakkelijk te achterhalen. Zzp’ers zijn verplicht om hun btw-nummer te vermelden op hun facturen en websites. Dat zou betekenen dat hun BSN in het openbaar gedeeld wordt. Dat mag door de verscherping van de privacywet niet meer, en dus krijgen zzp’ers een ander btw-nummer. U als zzp’er dient uw oude btw-nummer dus overal te vervangen zodra u uw nieuwe nummer heeft ontvangen.

In principe gelden voor zelfstandige ondernemingen, eenmanszaken of grote bv’s dezelfde privacyregels. Dat betekent dus dat een flinke boete voor u als zzp’er voor grote problemen kan zorgen. Wij adviseren dus altijd goed na te denken over uw privacybeleid. En mocht u echt niet weten hoe u dat moet aanpakken, kunt u altijd een privacy deskundige inschakelen. Dat is wel een investering, maar op langere termijn goed voor uw onderneming.

Wat kunt u doen als zzp’er?

De Autoriteit Persoonsgegevens geeft u veel informatie over wat u kunt doen om te voldoen aan de AVG. In de praktijk blijkt echter dat veel zzp’ers zich weinig in de AVG hebben verdiept. Om dus te beginnen, kunt u denken aan de volgende zaken.

Tip 1. Stel een privacyverklaring op

In een privacyverklaring staat hoe en waarom u persoonsgegevens verzamelt. Maar u kunt ook vermelden wat er gebeurt met data en hoe lang bepaalde gegevens bewaard worden. Daarnaast is het verstandig om de rechten van de personen te vermelden. Bezoekers van uw website hebben bijvoorbeeld het recht om bezwaar te maken over het bewaren van hun gegevens. Ook mogen personen u contacteren met het verzoek om bepaalde gegevens van hun te verwijderen. Dit alles moet hapklaar en begrijpelijk in een privacyverklaring staan. U kunt dit verwerken in een privacy policy op uw website of aanbieden als download.

Tip 2. Sluit verwerkingsovereenkomsten af

Als u gebruik maakt van bepaalde software die voor u gegevens bewaart, dan moet u een verwerkingsovereenkomst met diegene afsluiten. Denk bijvoorbeeld aan een e-maileditor, een CRM-systeem of een externe database. Maakt u gebruik van een administratiekantoor of een boekhouder? Dan moet u ook met deze partijen een verwerkingsovereenkomst afsluiten. Het is namelijk de bedoeling dat u altijd kunt aantonen dat u op de juiste manier met persoonsgegevens omgaat. Dat is de reden dat een verwerkingsovereenkomst verplicht is.

Tip 3. Behandel privacy als een prioriteit

Deze laatste tip klinkt misschien als veel werk, maar dat hoeft helemaal niet zo te zijn. Het gaat erom dat u privacy en databeveiliging van uw klanten en contacten serieus neemt. Het moet in feite onderdeel worden van uw beleid. Hier zijn wat voorbeelden wat u kunt doen:

  • Vraag niet om meer gegevens van klanten of bezoekers dan echt nodig is. Irrelevante informatie helpt uw dienstverlening niet verder en teveel gegevens vragen kan zelfs argwaan bij een nieuwe klant opwekken. Zaken als geslacht, leeftijd of woonadres hoeven zeker niet altijd gegeven te worden.
  • Zijn er bepaalde klantgegevens per ongeluk toch terecht gekomen bij anderen? Dan dient u dit te melden bij de Autoriteit Persoonsgegevens (binnen een termijn van 72 uur). Denk aan diefstal van een laptop waar klantgegevens op staan of als uw website gehackt is.
  • Sla klantgegevens veilig op. Gebruik sterke wachtwoorden en sluit alles netjes af als u klaar bent met werken. Log dus altijd uit een CRM-systeem of computer. Heeft u een kantoor? Denk er dan aan dat er geen facturen of persoonsgegevens in het openbaar mogen liggen die bijvoorbeeld bezoekende klanten van u kunnen zien.

Ziet u door de bomen het bos niet meer? Lees u dan in over de AVG. De website van de Autoriteit Persoonsgegevens helpt u al een flink stuk op weg. Weet u niet zeker of u veel met de AVG te maken heeft? Ook dan adviseren wij om in ieder geval een privacyverklaring te (laten) maken. Zo komt u in een later stadium nooit tegen onverwachte problemen te staan.

Handige links

Autoriteit Persoonsgegevens – Hier kunt u alles lezen over de AVG en hoe u zich hierop kunt voorbereiden.