Nieuws

De AVG en zzp, wat moet je doen?

Privacy

De Algemene Verordening Gegevensbescherming (AVG)

Op 25 mei 2018 is de nieuwe AVG van kracht. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). De komst van de AVG betekent dat er strenge eisen komen voor iedereen die onder andere met persoonsgegevens werkt. En omdat (bijna) iedereen met persoonsgegevens werkt, ook zzp’ers, heeft deze nieuwe wet een grote impact. Zzp’ers krijgen ook met de AVG te maken omdat ze bijvoorbeeld afspraken bijhouden van klanten, telefoonnummers of persoonsgegevens nodig hebben om een factuur te sturen.

  • Wil je weten of je voldoet aan de nieuwe wetgeving? We hebben een handige AVG-checklist gemaakt.  

Waarom de AVG?

De AVG lijkt in eerste instantie weer een staaltje bureaucratie waarbij onnodige energie, tijd en geld moet worden gestoken in iets wat weinig oplevert. Toch regelt de AVG enkele broodnodige veranderingen; door de komst van de Algemene verordening gegevensbescherming, geldt er nog maar één privacywet in de hele Europese Unie (EU), dat bevordert de rechtszekerheid. Ook is de AVG meer toegespitst op de gedigitaliseerde samenleving.

Wat moet ik doen?

De vraag die bij een ieder leeft is; wat moet ik doen om te voldoen aan de eisen van de AVG? Dat verschilt van bedrijf tot bedrijf en van ondernemer tot ondernemer, maar ga er maar vanuit dat je in ieder geval een nieuw privacy statement moet opstellen en moet gaan werken met verwerkersovereenkomsten. De Autoriteit Persoonsgegevens heeft op haar website een regelhulp geschreven. Als je de stappen volgt dan weet je hoe en in welke mate je te maken hebt met de AVG. Ook worden er oplossingsrichtingen aangedragen. Ga naar de regelhulp.

Persoonsgegevens

Zoals gezegd geldt de AVG voor álle bedrijven die persoonsgegevens verwerken. Maar wat wordt dan precies bedoeld met persoonsgegevens? Persoonsgegevens zijn alle data die te herleiden zijn naar een persoon. Bijvoorbeeld naam- en adresgegevens, telefoonnummers, foto’s of een klantprofiel. Er wordt ook nog onderscheid gemaakt naar het soort persoonsgegevens dat je gebruikt.
Registreer je bijzondere persoonsgegevens, dan gelden er nog strengere regels voor jouw bedrijf. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

Verwerkersovereenkomsten

Je moet er voor zorgen dat je met alle externe partijen, waarmee je persoonsgegevens deelt, verwerkersovereenkomsten afsluit, tenminste dat is afhankelijk van of de externe partij een verwerkingsverantwoordelijke is of een verwerker. Als je persoonsgegevens door een ander laat verwerken dan mag dat niet ten koste gaan van de afspraken die je met de persoon van wie je de persoonsgegevens hebt ontvangen, hebt gemaakt. Als je als zzp’er werkt met een softwarebedrijf om jouw nieuwsbrieven te  versturen, of als jouw boekhouder/accountant je facturen in kan zien, dan heb je al een verwerkersovereenkomst nodig; in dit geval met het softwarebedrijf en met jouw boekhouder/accountant.

Een verwerkersovereenkomst zorgt ervoor dat die derde partij zorgvuldig met de persoonsgegevens omspringt. Je hebt dan bij een datalek in ieder geval zwart op wit staan hoe je omgaat met het probleem en welke partij voor de boetes en schadevergoeding moet opdraaien. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

Privacy Statement

Zorg ervoor dat het Privacy Statement makkelijk te raadplegen is op je website of app. Houd er rekening mee dat de eisen aan jouw Privacy Statement strenger zijn geworden dan ze waren onder de regeling voor de AVG, de Wet bescherming persoonsgegevens.

Wat hoort er allemaal in een Privacy Statement?

De identiteit van jouw onderneming, contactgegevens, het doel waarvoor je gegevens verzamelt, wie de persoonsgegevens ontvangt, hoe lang de gegevens worden bewaard, dat mensen recht hebben op het wijzigen of verwijderen van hun gegevens, dat mensen het recht hebben om bezwaar te maken tegen verwerking van de gegevens, of het verstrekken van persoonsgegevens wettelijk verplicht is of dat het een contractuele verplichting is én dat er -als er sprake is van profilering- er gemeld moet worden waarom dat is en wat de gevolgen ervan zijn. Denk erom, uiteindelijk moet jijzelf het Privacy Statement ook naleven.

Bron
ZZP Nederland
Geplaatst op 10 april 2018