AVG-checklist: zo voldoe je als zzp'er aan de privacywet

Sinds de Algemene Verordening Gegevensbescherming (AVG) is ingegaan in 2018, zijn er veel regels waar je aan moet voldoen. We snappen het wanneer je niet goed weet waar je moet beginnen met deze privacywet. Met onze checklist weet je precies hoe je de AVG moet aanpakken.
Wat houdt de AVG in?
De AVG, ook wel bekend als General Data Protection Regulation (GDPR), stelt strenge eisen aan privacy. Met de AVG moet je overzichtelijk en transparant omgaan met persoonsgegevens. En omdat (bijna) iedereen met persoonsgegevens werkt, ook zzp’ers, heeft deze privacywet een grote impact.
Zzp’ers hebben ook met de AVG te maken omdat ze bijvoorbeeld afspraken bijhouden van klanten, of telefoonnummers of persoonsgegevens nodig hebben om een factuur te sturen.
AVG-checklist: wat moet jij als zzp’er regelen?
Als ondernemer voldoe je op de volgende manieren aan de eisen van de AVG:
- Verwerk alleen de noodzakelijke persoonsgegevens
- Heb je een grondslag?
- Privacyrechten moeten kunnen worden uitgevoerd
- Houd het verwerkingsregister up to date
- Heb je al een DPIA gedaan?
- Privacy by design & default
- Stel (jezelf) aan als functionaris gegevensbescherming
- Ben je voorbereid op een datalek?
Privacy by design en default
1. Verwerk alleen de noodzakelijke persoonsgegevens
Je hebt het misschien niet door, maar we verwerken allemaal toch veel persoonsgegevens. Mailadressen voor de nieuwsbrief, Excel-bestanden vol contactgegevens en meer. Het type gegevens dat je als zzp’er verwerkt, heeft gevolgen voor de manier waarop je deze moet beschermen. En ga na of je niet (per ongeluk) bijzondere persoonsgegevens verwerkt, zoals iemands gezondheid, etnische afkomst of religie. Dit is in de meeste gevallen verboden.
2. Heb je een grondslag?
Heb je een goede reden om persoonsgegevens te verwerken? Oftewel, heb je een grondslag? Het is noodzakelijk dat je een grondslag hebt bij alle persoonsgegevens die je verwerkt.
3. Privacyrechten moeten kunnen worden uitgevoerd
De mensen van wie jij de persoonsgegevens verwerkt, hebben recht op een aantal zaken: recht op inzage, vergetelheid, rectificatie en aanvulling, dataportabiliteit, beperking van de verwerking, geautomatiseerde besluitvorming en profilering, bezwaar maken en openheid over de informatie. Zorg ervoor dat mensen deze AVG-privacyrechten kunt uitoefenen.
4. Houd het verwerkingsregister up to date
Volgens de AVG ben je ook verplicht om een register bij te houden waarin staat welke verwerkingsactiviteiten je uitvoert. Voor kleine ondernemingen moet je over een verwerkingsregister beschikken als een van de volgende situaties van toepassing is:
- De verwerking van persoonsgegevens is niet incidenteel;
- Je verwerkt persoonsgegevens die een hoog risico hebben voor de rechten en vrijheden van de deze mensen;
- Je verwerkt gegevens die vallen onder bijzondere persoonsgegevens.
5. Heb je al een DPIA gedaan?
Organisaties zijn verplicht om een data protection impact assessment (DPIA) uit te voeren. Hiermee breng je de privacyrisico’s van gegevensverwerking in kaart. Na deze assessment kun je maatregelen nemen om risico’s te verkleinen.
6. Privacy by design & default
Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat je niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat je de gegevens niet langer bewaart dan nodig.
Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.
7. Stel (jezelf) aan als functionaris gegevensbescherming
Sommige organisaties zijn verplicht om een functionaris gegevensbescherming (FG) aan te stellen. Dit is nodig wanneer je organisatie:
- Een overheidsinstantie of publieke organisatie is
- Op grote schaal individuen volgens of die activiteiten in kaart brengen
- Bijzondere persoonsgegevens verwerkt
- Strafrechtelijke persoonsgegevens verwerkt
8. Ben je voorbereid op een datalek?
Iedere organisatie is verplicht om datalekken te melden. De autoriteit heeft hiervoor een gedetailleerd formulier op de website staan. Deze datalekken moeten binnen 72 uur worden gemeld. Daarnaast moeten ook alle betrokkenen geïnformeerd worden en de meldingen in het eigen datalekregister worden gezet.