Checklist privacywetgeving AVG

Administratie

De AVG en zzp’ers: wat moet je doen?

Sinds de Algemene Verordening Gegevensbescherming (AVG) is ingegaan in 2018, zijn er veel regels waar je aan moet voldoen. We snappen het wanneer je niet goed weet waar je moet beginnen met deze privacywet. Met onze checklist weet je precies hoe je de AVG moet aanpakken.

Ook zzp'ers krijgen te maken met de AVG
Ook zzp'ers krijgen te maken met de AVG

Wat houdt de AVG in?

De AVG, ook wel bekend als General Data Protection Regulation (GDPR), stelt strenge eisen aan privacy. Met de AVG moet je overzichtelijk en transparant omgaan met persoonsgegevens. En omdat (bijna) iedereen met persoonsgegevens werkt, ook zzp’ers, heeft deze privacywet een grote impact.

Zzp’ers hebben ook met de AVG te maken omdat ze bijvoorbeeld afspraken bijhouden van klanten, of telefoonnummers of persoonsgegevens nodig hebben om een factuur te sturen.

AVG-checklist: wat moet jij als zzp’er regelen?

Als ondernemer voldoe je op de volgende manieren aan de eisen van de AVG:

  1. Verwerk alleen de noodzakelijke persoonsgegevens
  2. Heb je een grondslag?
  3. Privacyrechten moeten kunnen worden uitgevoerd
  4. Houd het verwerkingsregister up to date
  5. Heb je al een DPIA gedaan?
  6. Privacy by design & default
  7. Stel (jezelf) aan als functionaris gegevensbescherming
  8. Ben je voorbereid op een datalek?

Privacy by design en default

1. Verwerk alleen de noodzakelijke persoonsgegevens

Je hebt het misschien niet door, maar we verwerken allemaal toch veel persoonsgegevens. Mailadressen voor de nieuwsbrief, Excel-bestanden vol contactgegevens en meer. Het type gegevens dat je als zzp’er verwerkt, heeft gevolgen voor de manier waarop je deze moet beschermen. En ga na of je niet (per ongeluk) bijzondere persoonsgegevens verwerkt, zoals iemands gezondheid, etnische afkomst of religie. Dit is in de meeste gevallen verboden.

2. Heb je een grondslag?

Heb je een goede reden om persoonsgegevens te verwerken? Oftewel, heb je een grondslag? Het is noodzakelijk dat je een grondslag hebt bij alle persoonsgegevens die je verwerkt.

3. Privacyrechten moeten kunnen worden uitgevoerd

De mensen van wie jij de persoonsgegevens verwerkt, hebben recht op een aantal zaken: recht op inzage, vergetelheid, rectificatie en aanvulling, dataportabiliteit, beperking van de verwerking, geautomatiseerde besluitvorming en profilering, bezwaar maken en openheid over de informatie. Zorg ervoor dat mensen deze AVG-privacyrechten kunt uitoefenen.

4. Houd het verwerkingsregister up to date

Volgens de AVG ben je ook verplicht om een register bij te houden waarin staat welke verwerkingsactiviteiten je uitvoert. Voor kleine ondernemingen moet je over een verwerkingsregister  beschikken als een van de volgende situaties van toepassing is:

  • De verwerking van persoonsgegevens is niet incidenteel;
  • Je verwerkt persoonsgegevens die een hoog risico hebben voor de rechten en vrijheden van de deze mensen;
  • Je verwerkt gegevens die vallen onder bijzondere persoonsgegevens.

5. Heb je al een DPIA gedaan?

Organisaties zijn verplicht om een data protection impact assessment (DPIA) uit te voeren. Hiermee breng je de privacyrisico’s van gegevensverwerking in kaart. Na deze assessment kun je maatregelen nemen om risico’s te verkleinen.

6. Privacy by design & default

Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat je niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat je de gegevens niet langer bewaart dan nodig.

Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.

7. Stel (jezelf) aan als functionaris gegevensbescherming

Sommige organisaties zijn verplicht om een functionaris gegevensbescherming (FG) aan te stellen. Dit is nodig wanneer je organisatie:

  • Een overheidsinstantie of publieke organisatie is
  • Op grote schaal individuen volgens of die activiteiten in kaart brengen
  • Bijzondere persoonsgegevens verwerkt
  • Strafrechtelijke persoonsgegevens verwerkt

8. Ben je voorbereid op een datalek?

Iedere organisatie is verplicht om datalekken te melden. De autoriteit heeft hiervoor een gedetailleerd formulier op de website staan. Deze datalekken moeten binnen 72 uur worden gemeld. Daarnaast moeten ook alle betrokkenen geïnformeerd worden en de meldingen in het eigen datalekregister worden gezet.

Natuurlijk kunnen er per bedrijf nog andere zaken zijn die geregeld moeten worden. Kijk voor meer informatie op privacyzeker.nl.

Gratis belafspraak voor een AVG-check

Weten of je AVG-proof bent of aan welke punten je nog aandacht moet besteden.

Direct een afspraak maken

Doe de gratis privacycheck

ZZP Nederland biedt een gratis privacycheck aan. De privacycheck is een gratis service van onze partner Privacy Zeker. Je plant een telefonische afspraak met één van de privacyexperts van Privacy Zeker. Door jouw antwoorden op de vragen kom je erachter of je al AVG-proof bent of aan welke punten je nog aandacht moet besteden. Vraag de privacy check hier aan.

Handboek uitleg begrippen

Met de AVG zijn er ook veel nieuwe termen die duidelijkheid vereisen. Daarom heeft Privacy Zeker een handboek opgesteld waar alle termen die bij de AVG voorbij komen worden uitgelegd. Om het handboek te lezen dien je aangesloten te zijn bij ZZP Nederland.



Deel deze pagina: