Nu aan het lezen
Ben je het spoor bijster over je privacy-instellingen? Leiden je apps je teveel af en grijp je keer op keer naar hetzelfde wachtwoord? Fear no more en drop je vraag bij tech-expert Eveline Meijer. Succes gegarandeerd.
Op 25 mei, dus aanstaande vrijdag, treedt de nieuwe Europese privacywetgeving genaamd GDPR – of in het Nederlands: AVG – in werking. Dat betekent dat bedrijven moeten voldoen aan strengere eisen over persoonsgegevens. Maar de regels gelden ook voor ZZP’ers. Wat moet jij doen om aan de eisen te voldoen?
De GDPR is een belangrijke wetgeving, aangezien het je meer controle geeft over wat er gebeurt met je persoonsgegevens. Het komt je privacy dus ten goede: jij hebt het recht om te bepalen wat er met jouw gegevens gebeurt en een bedrijf moet aantonen wat ze er precies mee doen.
De wet gaat dan ook specifiek over persoonsgegevens: gegevens die kunnen herleiden naar een persoon. Het gaat dus bijvoorbeeld om adressen, telefoonnummers, IP-adressen, foto’s of profielen. Let wel: verstuur jij bijvoorbeeld alleen maar facturen naar grote bedrijven (waar meer dan een iemand werkt), dan zijn dat geen persoonsgegevens. Het adres van dat bedrijf is immers niet naar een persoon te herleiden.
Als ZZP’er krijg je hier ook mee te maken. Je hebt deze gegevens bijvoorbeeld nodig om een factuur op te stellen. En misschien heb je wel een nieuwsbrief of een webwinkel waarmee je gegevens verzameld. Zelfs door emailadressen te beheren- zoals in je online adressenboek – beschik je over persoonsgegevens.
Draai je bijvoorbeeld Google Analytics op je website, dan heb je ook met de nieuwe wetgeving te maken. Google Analytics verzamelt namelijk IP-adressen en andere informatie over de bezoekers van je website. En dat zijn ook persoonsgegevens.
Dus je beschikt over persoonsgegevens. Wat moet je dan precies doen? Om je een beetje op weg te helpen, heeft de Autoriteit Persoonsgegevens een regelhulp. Daar kun je diverse vragen beantwoorden om zo te ontdekken in hoeverre je te maken hebt met de nieuwe privacywet. Ook wordt hier precies beschreven wat je nog moet doen. Een goed eerste begin dus.
Mocht je twijfelen over de betrouwbaarheid: de Autoriteit Persoonsgegevens is de organisatie die de privacywetgeving moet handhaven. De uitkomst van deze test is dus redelijk betrouwbaar, maar mocht je nog vragen hebben, dan kun je het beste even met ze bellen.
Sla je je klantgegevens op in een boekhoudprogramma? Dan verwerkt dat programma persoonsgegevens voor je. Jij bent echter nog steeds verantwoordelijk voor die gegevens, en niet het programma of het bedrijf dat het programma ontwikkeld heeft. Jij bepaalt dus wat er met de gegevens moet gebeuren en hoe dat precies moet.
Dit betekent dat je een zogenaamde verwerkingsovereenkomst moet afsluiten met de aanbieder van het programma. In die overeenkomst staat bijvoorbeeld hoe je om gaat met een datalek. We spreken van een datalek als de persoonsgegevens op straat komen te liggen, een onbevoegd persoon er toegang toe heeft gekregen of als ze vernietigd worden. Ook staat er in wie een eventuele boete of schadevergoeding moet betalen.
Diverse boekhoudprogramma’s hebben die overeenkomst inmiddels al opgesteld, waardoor je eigenlijk al klaar bent. Mocht dit niet zo zijn, dan zul je de overeenkomst zelf op moeten stellen. Daarin staat onder meer om wat voor soort persoonsgegevens het gaat en hoe lang ze verwerkt worden. Wat er nog meer in moet staan, vind je op de website van de Autoriteit Persoonsgegevens.
Die verwerkingsovereenkomst moet je niet alleen opstellen als je een boekhoudprogramma gebruikt, maar eigenlijk voor ieder programma, dienst en iedere aanbieder die gegevens voor je verwerkt.
Sla je de gegevens van je klanten dus alleen op in een documentje – en dus niet in een boekhoudprogramma of andere software en diensten – die je alleen op je eigen computer of extra harde schijf gebruikt? Dan moet je die wel zo veilig mogelijk opslaan, bijvoorbeeld door ze te versleutelen en die extra harde schijf te beveiligen met een wachtwoord. Sla je ze ook in de cloud op, bijvoorbeeld Google Drive, dan moet je een verwerkersovereekomst afsluiten met de aanbieder van die clouddienst.
Verkoop je spullen via een webshop van WordPress of WooCommerce? Dan zul je daar ook een verwerkingsovereenkomst voor moeten opstellen. Voor iedere partij die persoonsgegevens voor je verwerkt, moet je een aparte overeenkomst maken. Je bent dus waarschijnlijk wel even bezig.
Een tweede stap die je moet nemen, is het updaten van je privacyverklaring op je website of in je app. In die verklaring moet de identiteit van je onderneming en de contactgegevens staan. Volgens de nieuwe wet moet je nieuwe en bestaande klanten namelijk informeren over wat je met hun persoonsgegevens doet.
Dat geldt dus ook voor e-mailadressen van mensen die je mailen via je je website. Dan krijg je immers hun e-mailadres in handen.
Daarnaast moet je opnemen waar je gegevens voor verzameld, wie deze ontvangt, hoe lang ze worden bewaard en dat mensen het recht hebben om hun gegevens te wijzigen of te verwijderen. Ook hebben mensen het recht om bezwaar te maken tegen de verwerking van de gegevens.
Verder moet je in de verklaring aangeven of dat het verstrekken van de persoonsgegevens wettelijk verplicht is, of dat het een contractuele verplichting is. Is er sprake van profileren? Dan moet je melden wat de gevolgen daarvan zijn.
Een privacyverklaring opstellen is natuurlijk niet eenvoudig. Om die reden heeft de overheid in 2016 al een speciale generator opgezet, waarmee je zelf een privacyverklaring in elkaar kunt zetten. Aan de hand van 8 vragen wordt de verklaring opgesteld, maar waarschijnlijk zul je hem zelf nog wel iets aan moeten vullen.
De GDPR gaat verder voor extra administratiewerk zorgen. Je moet namelijk een administratie van de verwerking van alle persoonsgegevens bij gaan houden. Simpel gezegd: als je gegevens verzamelt en bewaart – bijvoorbeeld voor je facturen – dan moet je dat bij gaan houden.
In je administratie moet staan welke persoonsgegevens waar gebruikt worden, voor welke doeleinden ze gebruikt worden en hoe lang je ze bewaard. De administratie is met name bedoeld voor controles of als er een datalek is.
Daarnaast moet je rekening houden met eventuele datalekken. Hier moet je een specifiek beleid voor opstellen, om te zien hoe je met een eventueel datalek omgaat. In dat beleid staat onder meer wie er verantwoordelijk is voor het oplossen van dat datalek.
Mocht iemand nu vragen om inzage in zijn gegevens, dan moet je hiermee akkoord gaan. Binnen een maand moet je alle informatie die je over diegene hebt staan, inzichtelijk maken. Ook moet iemand die informatie kunnen downloaden, bijvoorbeeld om het over te dragen aan een andere organisatie. En nee, daar mag je geen geld voor vragen.
Er bestaat ook nog zoiets als bijzondere gegevens. Dit zijn bijvoorbeeld gegevens over iemands gezondheid, zijn ras, politieke opvattingen, geloofsovertuigingen of een strafrechtelijk verleden. Verzamel je die ook, dan moet je extra maatregelen nemen.
Mogelijk moet je ook extra maatregelen nemen als je grote hoeveelheden gegevens verzamelt, structureel gegevens verzamelt of als het verzamelen van gegevens een kernactiviteit van je bedrijf is.
Zo moet je bijvoorbeeld een Functionaris voor gegevensbescherming (FG) aannemen. Die houdt dan binnen je organisatie toezicht op de toepassing en naleving van de AVG. Mogelijk moet je bijvoorbeeld ook een data protection impact assessment (DPIA) uitvoeren. Daarmee breng je vooraf de privacyrisico’s van een gegevensverwerking in kaart.
De nieuwe privacywetgeving bevat ook een aantal regels over wat je juist niet met de gegevens mag doen. Zo mag je best profielen maken van de gegevens die je hebt, maar die mag je niet gebruiken voor automatische besluitvorming. Dit houdt in dat je software niet op basis van een profiel mag laten besluiten wat iemand wel of niet ontvangt.
Ook mag je gegevens niet gebruiken voor andere doeleinden dan waarvoor je ze verkregen hebt. Heb je dus gegevens van iemand ontvangen voor een factuur, dan mag je ze niet opeens reclame met korting voor je webwinkel gaan sturen. Daar heb je de gegevens immers niet voor gekregen.
Nu kun je wel gegevens verzamelen met marketing als doeleinde. Dus je kunt wel gegevens gaan verzamelen juist om die reclame te gaan versturen. Maar als iemand vraagt om te stoppen met bijvoorbeeld direct marketing, dan moet je dat ook doen volgens de nieuwe wetgeving.
Tot slot heb je een zogenaamde verantwoordingsplicht. Dat betekent dat je – mits de Autoriteit Persoonsgegevens hier om vraagt – moet kunnen aantonen dat je aan de belangrijkste regels over verwerking voldoet.
Je moet bijvoorbeeld kunnen aantonen dat het verwerken van de gegevens echt noodzakelijk is. Persoonsgegevens van je klanten moet je bijvoorbeeld hebben om een factuur te kunnen versturen. Maar daar heb je zijn politieke overtuiging dan weer niet voor nodig.
Verder gaat het om transparantie, doelbinding en juistheid. Heb je alle voorgaande maatregelen genomen, dan zul je hier aan voldoen.
De GDPR is een belangrijke wetgeving, maar het vraagt ook veel tijd om er aan te voldoen. Je moet immers je privacyverklaring aanpassen, een verwerkingsovereenkomst opstellen en een administratie bijhouden.
Nu kun je je afvragen: maar wat nou als ik het niet doe? Wie gaat er immers letten op een kleine ZZP’er? De Autoriteit Persoonsgegevens doet dat echter, en de gevolgen van het niet voldoen aan de wetgeving zijn niet mals.
Voldoe je na 25 mei niet aan de wetgeving, dan kun je namelijk een boete krijgen van 2 procent van je omzet. Dus doe jezelf een plezier, en zorg dat je alles zo snel mogelijk op orde hebt.
Heb jij ook een tech-gerelateerde vraag? Stuur hem naar [email protected] of via Twitter naar @_eefj. Misschien wordt jouw vraag volgende week wel beantwoord.
Sorry. Nog geen gegevens beschikbaar.