Je kunt er niet omheen. De ene na de andere AVG- of privacywetspecialist vertelt in de media over de wetswijziging. Bovendien is je mailbox afgelopen weken volgelopen met berichten van softwareleveranciers of andere partijen waarmee je samenwerkt. Zie jij door de bomen het bos nog? Boekhoudpakket Rompslomp zet 8 veelvoorkomende misverstanden op een rij.
Misverstand 1:
'De AVG is op mijn bedrijf niet van toepassing'
Absoluut niet! De nieuwe wet geldt voor álle ondernemers, van eenmanszaak tot multinational. Dus ook voor jou als zelfstandig ondernemer. Op 25 mei verving de Algemene Verordening Gegevensbescherming (AVG) de bestaande privacywetgeving (Wbp). In het Engels heet de AVG: General Data Protection Regulation (GDPR).
In de AVG staan regels voor het verwerken van persoonsgegevens. Als eenpitter ben je dus ook verplicht om maatregelen te treffen wanneer je gegevens over klanten of andere personen vastlegt. Bovendien moet je kunnen aantonen dat je je aan de wet houdt.
Misverstand 2:
'Het risico neem ik wel'
Heb je je zaken niet goed op orde na 25 mei 2018, dan kan het aardig in de papieren lopen. Ook voor jou! Boetes bedragen in principe maximaal 10 tot 20 miljoen euro. Voor grotere bedrijven zit de boete anders in elkaar: hen kan een boete van 2 tot 4 procent over het afgelopen boekjaar opgelegd worden. Boetes zijn in principe niet afhankelijk van de omzet, het gaat erom wat er precies fout is gegaan.
In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Charlotte Meindersma is eigenaar en privacyjurist van advieskantoor Charlotte's Law & Fine Prints. Ze richt zich op zzp'ers en het kleine mkb en vertelt de afgelopen maanden met niets anders bezig te zijn geweest dan met privacy. “De AP heeft niet voldoende geld gekregen om het benodigde aantal personeelsleden aan te kunnen nemen. Ze kúnnen juridisch gezien dus wel handhaven vanaf 25 mei 2018, maar de vraag naar hulp is groot. Handhaving komt op een laag pitje te staan. Wel krijgt de AP een ruimere boetebevoegdheid. De AP mag meteen al boetes opleggen als jouw organisatie niet aan de regels voldoet.”
Misverstand 3:
'Ik hoef geen intern privacybeleid te voeren'
Het klopt dat de meeste zzp'ers niet verplicht zijn om een gegevensverwerkingsbeleid op papier te zetten. Charlotte: "Maar het is wel handig om een intern privacybeleid op papier te zetten. Zodat je altijd kunt laten zien dat jij weet welke persoonsgegevens je verwerkt en hoe je daarmee omgaat."
Voorbeelden van verwerking van persoonsgegevens:
- (contact)formulier op website
- nieuwsbrief via een mailinglist
- foto's en video's
- factuur naar klant met facturatiesysteem versturen
- social share buttons op website
- adressenlijst opgeslagen in je e-mailsysteem (als in: je gewone outlook adresboek)
- visitekaartjes
- cookies die persoonsgegevens verwerken op een website
- webshopbestellingen
- cliëntendossier met gezondheidsgegevens
- Excelsheet met een adressenbestand
- klanteninformatie bijhouden in crm-systeem
- document met persoonsgegevens opslaan in Dropbox of Google Docs en dit delen met een derde
Breng in kaart welke persoonsgegevens jij als zzp’er verwerkt en hoe jij dit doet. Dit moet je vastleggen in een verwerkingsregister.
Misverstand 4:
'Ik krijg toch van iedereen verwerkersovereenkomsten'
Nu je weet welke gegevens je verwerkt en met welke partijen ze deelt, moet je als eenpitter ook een zogeheten verwerkingsovereenkomst afsluiten. Charlotte: "De verwerkersovereenkomst hoeft geen aparte overeenkomst te zijn, maar omvat een aantal afspraken tussen een verwerkingsverantwoordelijke en de verwerker." Vaak regelen grote bedrijven als Google en Mailchimp dat al zelf en heb je hier informatie over ontvangen. Of kun je het eenvoudig opvragen en akkoord gaan. Ook Rompslomp heeft dit al voorbereid. Je kunt heel makkelijk online een verwerkersovereenkomst met Rompslomp afsluiten.
Charlotte: "Elk persoon, bedrijf of elke onderneming die voor iets of iemand anders met de persoonsgegevens in aanraking komt, is een verwerker. En tussen een verwerkingsverantwoordelijke en een verwerker moeten afspraken gemaakt worden."
Misverstand 5:
'Ik moet iemand aannemen of inhuren om de beveiliging echt goed te regelen'
Als zzp’er ben jij de persoon die alles rondom de beveiliging van persoonsgegevens moet regelen. De wet vereist dat je het zo goed mogelijk doet, binnen je vermogen. Je hoeft daar in principe geen externe partij zoals een IT-bedrijf voor in te schakelen, tenzij jij vindt dat het noodzakelijk is. Charlotte: “Je moet de technische beveiliging goed regelen. Denk aan een veilige opslag, goede wachtwoorden, encryptie en dat soort zaken. Ook organisatorisch moet je voor beveiliging zorgen. Zoals mappen met klantgegevens opslaan in een kast die op slot kan, en die ook op slot doen. Deel je computers met gezinsleden? Zorg ervoor dat ze niet bij persoonsgegevens kunnen. Zet je computer in slaapstand als je van je plek wegloopt voor koffie, neem geen onbeveiligde USB-sticks mee, koop een privacyscherm voor je laptop zodat er niet mee gekeken kan worden als je in een koffietentje werkt.”
Misverstand 6:
'Ik heb al een privacyverklaring'
Ook al heb je nu een privacyverklaring, die natuurlijk aan alle regels voldoet (beknopt, toegankelijk, gemakkelijke vorm), je zult er toch naar moeten kijken of jouw verklaring AVG-proof is. Charlotte: “Het is belangrijk dat de betrokkene (de persoon op wie de persoonsgegevens betrekking hebben) weet wat er met zijn/haar gegevens gebeurt. Daarnaast moet de persoon over zijn/haar rechten geïnformeerd worden, zoals het recht te klagen bij de toezichthouder (de Autoriteit Persoonsgegevens) en het recht op inzage. Praktisch gezien betekent dit dat elke organisatie de privacyverklaring zal moeten updaten, hoewel een nieuwe privacyverklaring maken meestal goedkoper is. Het gaat niet alleen om de privacyverklaring zelf. Hierin staat wat je doet om persoonsgegevens te beschermen en hoe je met privacy omgaat. Voldoe jij aan alle nieuwe regels en heb je de stappen doorlopen, dan is een verklaring zo geregeld. Het is verstandig daarvoor een jurist in te schakelen."
Misverstand 7:
'Ik vraag toch gewoon toestemming om gegevens te verwerken'
Ja, dat kun je doen, maar of dat het meest verstandig is? Charlotte meent van niet: “Dit is inderdaad niet het meest verstandig. Vooral omdat toestemming weer ingetrokken mag worden, altijd en op elk moment. Terwijl je die gegevens misschien nog wel wilt gebruiken en dat ook had gemogen op basis van een andere grondslag. Echter, achteraf kun je niet van grondslag wisselen, terwijl je wél meerdere grondslagen tegelijk kunt gebruiken.
Bedenk dus goed van te voren van welke grondslag je gebruikmaakt. Je moet dus vooraf de grondslag kiezen en niet achteraf je verwerkingen rechtvaardigen door er een grondslag bij te zoeken."
Misverstand 8:
'Een data-lek overkomt mij toch niet'
We zijn met zijn allen boos op Facebook omdat onze gegevens zomaar op straat kwamen te liggen. Maar ondertussen schenden we zelf - onbewust - ook de privacy van onze klanten. Je denkt alles voor elkaar te hebben, maar een data-lek overkomt je sneller dan je denkt. Charlotte: 'Door menselijk handelen kunnen dingen snel fout gaan. Veel ondernemers maken gebruik van online, vaak goedkopere, opslag van data via bedrijven in de VS. Hoe weet jij zo zeker dat dit bedrijf voldoet aan de eisen van de AVG? Dropbox is daar een voorbeeld van. Via de betaalde businessversie kun je een verwerkersovereenkomst sluiten, maar dat gaat niet op voor de vaak gebruikte gratis versies van Dropbox."
