Sinds mei 2018 moet iedereen die met persoonsgegevens werkt de privacywetgeving, ofwel AVG, naleven. Grote kans dat ook jij hieronder valt. Het kan zijn dat je dit al netjes op orde hebt, maar wanneer je nog niet zo lang werkt als zzp’er kunnen wij ons voorstellen dat het een lastig onderwerp is. Wij leggen je stap voor stap uit wat jij als zzp’er moet doen om aan deze regelgeving te voldoen en hoe je dit kan onderhouden.

avg

AVG, wat is het precies?

AVG is de afkorting van Algemene Verordening Gegevens. De Europese wetgeving heeft sinds 25 mei 2018 de ‘Wet bescherming persoonsgegevens’ vervangen. Het doel van de wet is om de persoonsgegevens beter te beschermen. Onder persoonsgegevens valt alle informatie die herleidbaar is naar een natuurlijk persoon. Persoonsgegevens kan je onderverdelen in algemene en bijzondere gegevens. Onder algemene persoonsgegevens valt bijvoorbeeld een naam of een e-mailadres. Bijzondere gegevens zijn meestal gerelateerd aan de gezondheid status, religie, genetische gegevens en politieke opvattingen van een persoon. Wanneer je werkt met bijzondere persoonsgegevens ben je aan strengere regels verbonden met betrekking tot het verwerken van de gegevens.

Persoonsgegevens verwerken

Persoonsgegevens zijn bijvoorbeeld een naam, adres, woonplaats, telefoonnummer en geboortedatum. Maar ook klantnummers, salarisstroken, foto’s, zakelijke telefoonnummers, vingerafdrukken en DNA-materiaal. Onder het verwerken van deze persoonsgegevens valt: het opslaan, inzien, doorgeven, wijzigen, ordenen en gebruiken van persoonsgegevens. Dit doe je sneller dan je denkt, zonder dat je er altijd bewust mee bezig bent. Je kan hierbij denken aan klantomgevingen, CRM-systemen, cliëntendossiers en contracten.

persoonsgegevens

Eigen website

Heb jij als zzp’er een eigen website? Dan heb je ook met een aantal zaken te maken:

  • Zo moet jij op je website duidelijk en expliciet aangeven met welk doel je gegevens verzamelt. Ook mag je niet meer gegevens verzamelen dan voor je doel nodig is;
  • Gebruik je checkboxen (vakjes)? Dan mogen deze niet meer van tevoren aangevinkt zijn;
  • Een gebruiker heeft het recht op inzage, wijziging en verwijderering van zijn of haar gegevens;
  • De gebruiker heeft recht op bezwaar;
  • De gebruiker heeft om de gegevens te ontvangen die de organisatie van hem of haar heeft. Dit heet het recht op dataportabiliteit. Zo kunnen gebruikers bijvoorbeeld makkelijk gegevens doorgeven aan een andere leverancier met dezelfde soort dienst.

Plichten als verwerkingsverantwoordelijke

Als verwerkingsverantwoordelijke heb jij ook een aantal plichten. Zo heb je een meldplicht wanneer er sprake is van een data lek. Een data lek is wanneer iemand zonder toestemming toegang heeft tot persoonsgegevens. Je dient een data lek binnen 72 uur na het ontstaan van de lek te melden aan de Autoriteit Persoonsgegevens en de personen van wie de gegevens zijn gelekt. Daarnaast heb je ook een informatieplicht. Je dient gebruikers en websitebezoekers te informeren over de verwerking van hun gegevens. Dit doe je door een privacyverklaring op je website te plaatsen die voor iedereen inzichtelijk is. Mag dit dan ook onderdeel zijn van je algemene voorwaarden? Nee dit mag niet.

AVG

Aan welke eisen moet een privacyverklaring voldoen?

Heb jij al een privacyverklaring? Dan is het goed om te controleren of die voldoet aan alle gestelde eisen. Een goede privacyverklaring dient namelijk aan een aantal vormvereisten te voldoen. De verklaring moet transparant en eenvoudig leesbaar zijn. In de privacyverklaring komt te staan welke persoonsgegevens je verzamelt en wat je met die gegevens gaat doen. Hoewel geen enkele privacyverklaring hetzelfde zal zijn, komen er altijd een aantal hoofdzaken terug. De volgende gegevens moet je uitgebreid en begrijpelijk in de privacyverklaring opnemen:

  • De naam en contactgegevens van de verwerkingsverantwoordelijke;
  • Welke redenen je hebt om persoonsgegevens te verwerken;
  • Wie de persoonsgegevens krijgt en te zien krijgt (werk je bijvoorbeeld met een derde partij);
  • Hoe lang je de gegevens bewaart;
  • Of je de gegevens ook buiten de EU doorgeeft;
  • Wat de rechten zijn van de gebruiker (of klant);
  • Waar de gebruiker (of klant) een klacht kan indienen;
  • Of en wanneer een gebruiker (of klant) verplicht is om de persoonsgegevens aan je door te geven (bijvoorbeeld wanneer je een product verhuurt);
  • Of je gebruik maakt van geautomatiseerde besluitvorming en hoe je dat doet;
  • Of je de gegevens van een andere organisatie hebt gekregen.

De volgende documenten heb je als zzp’er nodig onder de AVG

  • Documentatieplicht
    • Je moet kunnen aantonen dat je je aan de regels van de AVG houdt. Dit kun je doen door een verwerkingsregister bij te houden. Vaak wordt gedacht dat alleen bij grote bedrijven met meer dan 250 medewerkers een verwerkingsregister verplicht is. Maar dit is ook het geval wanneer ondernemers structureel gegevens verwerken. Ook levert het je een aantal voordelen op. Word je bijvoorbeeld gecontroleerd door Autoriteit Persoonsgegevens kun je in dit register laten zien dat je alles netjes bijhoudt en verwerkt.
  • Verwerkingsregister
    • Een verwerkingsregister is eigenlijk hetzelfde als een privacyverklaring, alleen is het verwerkingsregister bedoelt voor eigen gebruik. Dit document mag je dus zelf indelen op een manier die voor jou prettig werkt. Maak je het bijvoorbeeld in een Excel bestand? Zorg er dan wel voor dat jouw bestand goed beveiligd is. In een verwerkingsregister zet je bijvoorbeeld ook of je toestemming hebt gekregen om gegevens te verwerken en wanneer je de gegevens hebt gekregen. Ook kan je in dit register opnemen welke organisatorische en beveiligingsmaatregelen je hebt getroffen om de verwerking van gegevens te beschermen.
  • Ketenverantwoordelijkheid
    • Je hebt met de AVG te maken met ketenverantwoordelijkheid. Je bent namelijk niet de enige die toegang heeft tot de door jou verzamelde gegevens. Gebruik je bijvoorbeeld een mailprogramma, dan heeft die ook inzicht in de e-mailadressen uit je nieuwsbriefdatabase. Ook je boekhouder heeft toegang tot factuurgegevens. Met alle derde partijen dien je afspraken te maken. Dit doe je met een verwerkersovereenkomst. Dit is een standaard overeenkomst die je met derde partijen sluit waarin je een aantal zaken afspreekt met betrekking tot verwerken van persoonsgegevens.

Wil je weten of je onderneming aan de AVG-richtlijnen voldoen? Bekijk de AVG-checklist!

Ben jij als zzp’er nog op zoek naar een uitdagende interim opdracht binnen de overheid of publieke sector?

Kijk dan op onze vacature pagina of meld je onderstaand aan voor onze vacature alert!