Alles
over de
Algemene Verordening
Gegevensbescherming (AVG)

De AVG

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming, kortweg AVG, “inwerking getreden”. De AVG is de Nederlandse variant van de Europese verordening GDPR en volgt in Nederland de Wet Bescherming Persoonsgegevens of Wbp op. De aanhalingstekens zijn bewust gekozen, omdat, hoewel veel mensen denken dat de wet op 25 mei 2018 officieel in werking is getreden, dat namelijk al gebeurd is op 24 mei 2016.

En toch is 25 mei 2018 een zeer belangrijke datum, omdat de wet sindsdien door nationale toezichthouders actief gehandhaafd wordt in heel Europa. Verantwoordelijk voor de handhaving in Nederland is de Autoriteit Persoonsgegevens.

Dat het voldoen aan de AVG een serieuze zaak is, blijkt wel uit de boetes die opgelegd kunnen worden voor overtreding van de wet. Overtreding kan namelijk leiden tot een boete van 20 miljoen euro of 4% van je wereldwijde omzet.

Waarom AVG?

De AVG treedt in werking ter bescherming van iedere natuurlijke persoon. Het is van het grootste belang dat mensen inzicht krijgen in wie persoonsgegevens opslaat. Daarnaast waar en op welke manier persoonsgegevens opgeslagen worden. En tot slot hoe personen op wie de gegevens betrekking hebben (lees: de betrokkene) de opslag van hun gegevens inzichtelijk kunnen krijgen, kunnen wijzigen en hoe ze hun gegevens kunnen verwijderen. Door middel van de AVG wordt geprobeerd te zorgen voor een open en transparante wijze van verwerken van persoonsgegevens door bedrijven en andere organisaties. Zo weet de betrokkene altijd welk bedrijf of welke organisatie én voor welk doel en hoe lang dat bedrijf in het bezit is van zijn of haar persoonsgegevens.

Voor wie geldt de AVG?

De AVG geldt voor iedere verwerkingsverantwoordelijke die op geheel of gedeeltelijk geautomatiseerde wijze persoonsgegevens verwerkt. In een tijd waar alles online gebeurt, betekent dat bijna iedere organisatie onder de werking van de nieuwe wetgeving valt. Onder verwerkingsverantwoordelijke wordt verstaan iedereen die alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Daarbij is het niet van belang of de verwerkingsverantwoordelijke in Europa gevestigd is, maar slechts dat de organisatie gegevens verzamelt van ingezetenen in Europa.

Uit het voorgaande blijkt dat de AVG een heel groot bereik heeft en van toepassing is op iedere verwerking van persoonsgegevens. Je zal al snel denken aan het uitgeven van een nieuwsbrief of het invullen van je persoonsgegevens op een website voor het verkopen van producten. Maar ook wanneer je een training verzorgt voor de werknemers van een opdrachtgever, wanneer je de financiële administratie of boekhouding voor bedrijven doet of wanneer je websites ontwikkelt is de AVG van toepassing.

Zowel mega-bedrijven zoals Google en Facebook als de startende zzp’er met zijn of haar eerste tien klanten, bijna iedereen krijgt vroeg of laat met de AVG te maken. Gelukkig is het voor de gemiddelde zzp’er ten opzichte van de mega-bedrijven, vaak aanzienlijk minder ingrijpend om de nieuwe werkwijze aan te passen. Meestal zonder enorme bedrijfsveranderingen, aanpassingen van software en daarbij komende hoge kosten. Dus ga er nu mee aan de slag, dan ben je er klaar mee voor je er erg in hebt.

Wat is verwerken?

Met de komst van de AVG kan niet iedereen zomaar alle persoonsgegevens verwerken van iedere betrokkene. Het idee van de wetgeving is dat bedrijven en ondernemers heel bewust gaan beoordelen welke gegevens je nodig hebt voor het verwezenlijken van een bepaald doel en hoe je er daarbij voor zorgt dat die gegevens ook veilig zijn. Zo kan je niet zomaar allerhande persoonsgegevens opvragen, maar dien je zorgvuldig te kijken welke gegevens je nodig hebt.

Is je doel bijvoorbeeld het verkopen van een product of het leveren van een dienst dan heb je de NAW-gegevens van de klant nodig om het product te kunnen versturen of de dienst te kunnen leveren, maar ook een e-mailadres om de order te bevestigen en misschien wel een telefoonnummer om de klant te kunnen bellen als er problemen zijn. Is je doel het versturen van een nieuwsbrief dan volstaat vaak de naam en het e-mailadres al. Ga je iemand behandelen als coach, trainer of arts dan zal je in veel gevallen ook medische gegevens van een cliënt willen opslaan. En als boekhouder of administratiekantoor zal je in veel gevallen ook een Burgerservicenummer en bankgegevens nodig hebben.

Het begrip verwerken moet heel breed worden uitgelegd. Naast opslaan is verwerken het verzamelen, vastleggen, ordenen, structureren, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. Het gaat dus zo ver dat zelfs als je toegang hebt tot gegevens die je mogelijk voor je werk-zaamheden niet gebruikt, er al sprake is van verwerken.

Op dit moment moet de conclusie getrokken worden dat veel bedrijven en ondernemers veel meer gegevens van betrokkenen verzamelen dan ze daadwerkelijk nodig hebben. Verder hebben bedrijven en ondernemers vaak niet voor ogen voor welk doel de gegevens verwerkt worden. Denk maar eens na over welke gegevens je zelf als zzp’er verzamelt en voor welk doel.

Wat verandert er?

Onder de Wet bescherming persoonsgegevens (Wbp) moesten bedrijven en ondernemers zich aanmelden bij de Autoriteit Persoonsgegevens indien ze persoonsgegevens verwerkten. Dit systeem is gewijzigd. Niet is het meer nodig om je aan te melden bij de Autoriteit. In het nieuwe systeem wordt van iedere ondernemer verwacht dat ze een lijst bijhouden met de persoonsgegevens die ze verzamelen (lees: een verwerkerslijst) én, indien de Autoriteit Persoonsgegevens dit verlangt, moeten bedrijven en ondernemers deze lijst kunnen overleggen.

Daarnaast is er een meldingsplicht datalekken. Indien persoonsgegevens op straat komen te liggen dan moet je daarvan onverwijld melding maken bij de Autoriteit Persoonsgegevens. Deze meldplicht is overigens niet nieuw en bestaat al sinds 1 januari 2016. Wat wel veranderd is dat er een veel strengere documentatieplicht geldt voor ondernemers.
Je denkt bij een datalek waarschijnlijk onmiddellijk aan gehackt worden. Echter in veruit de meeste gevallen ontstaat het datalek door het verzenden van persoonsgegevens naar een verkeerd e-mailadres of het verliezen van een duurzame gegevensdrager met persoonlijke informatie, zoals een usb-stick, een laptop of een mobiele telefoon.

Tot slot geeft de nieuwe wetgeving de Autoriteit Persoonsgegevens mogelijkheden om overtreders van de wet strenger aan te pakken, door het uitdelen van boetes oplopend tot €20 miljoen of 4% van je wereldwijde omzet. En hoewel dit voor jou als zzp’er misschien ver van je bed lijkt, het zijn wel zaken om rekening mee te houden op dit moment.

Het AVG-Stappenplan

Om problemen met of hoge boetes van de Autoriteit Persoonsgegevens te voorkomen is het van het grootste belang is dat je zelf vanaf nu bewust bezig gaat met het verwerken van persoonsgegevens. Dit betekent heel simpel gezegd dat je actief bezig moet zijn met de wijze van opslag, overdracht en beveiliging van de gegevens. Het is dus tijd om nu zelf in actie te komen. Aan de hand van het door de Autoriteit opgestelde 10-stappenplan loodsen wij je door de lastige materie heen, met een aantal simpele voorbeelden.

Stap 1 Bewustwording

Je hebt al een goede stap in de richting gedaan, door het lezen van deze prospectus bij ZZP AVG. Dit betekent dat... je bewust bent dat de wetgeving sinds 25 mei 2018 een feit is en dat je de vraagstukken rondom de gegevensbescherming serieus neemt. En dat moet ook, want de boetes zijn niet mals.

Aangezien je als zzp’er op dit moment geen personeel hebt, is het relatief eenvoudig in kaart te brengen met welke gegevensstromen je te maken hebt. Houd wel altijd in je achterhoofd dat als je in de toekomst wel werknemers krijgt, goed advies over de gevolgen voor de AVG essentieel blijft.

Belangrijker is op dit moment dat je in kaart gaat brengen, welke persoonsgegevens je verwerkt en van wie. Ontvang je de persoonsgegevens direct van klanten of cliënten? Krijg je de persoonsgegevens via een formulier op je website, bijvoorbeeld door verkoop van producten, levering van diensten of inschrijving op de nieuwsbrief? Of maak je voor het verkrijgen van e-mailadressen gebruik van externe partijen, zoals leadwervers?

En vervolgens is de vraag wat je doet met die gegevens en voor welk doel. Maak je gebruik van externe partijen voor het verwerken van gegevens? Denk hierbij aan een E-mail Service Provider voor het versturen van de nieuwsbrief of een Payment Provider voor het innen van je facturen? Maak je gebruik van een administratiekantoor voor het doen van je boekhouding of een webhosting partij en/of webdesigner voor het bijhouden van je website? Of zijn er externe leveranciers die materialen of producten direct afleveren bij jouw klanten? Allemaal voorbeelden van partijen die persoonsgegevens nodig hebben om hun producten of dienst te kunnen leveren.

Een tweede stap naar de bewustwording is het optekenen van je gegevensstromen in een organogram. Zorg dat je in dit organogram aangeeft hoe de gegevensstromen binnen jouw bedrijf of onderneming lopen, van wie je de gegevens verkrijgt en met wie je de gegevens deelt. Hierbij kan je zowel aan externe partijen denken als intern werknemers. Hoewel je als zzp’er nu mogelijk nog geen personeel hebt, kan dit in de toekomst veranderen. Bedenk goed dat je bij iedere verandering binnen je bedrijf een nieuw organogram opstelt.

In het organogram geef je de gegevensstroom weer. De blauwe pijl geeft aan dat de betrokkene zijn gegevens verstrekt, waarbij dus mogelijk een opt-in is vereist (zie stap 3). De groene en rode pijlen geven de gegevensstromen weer waar de betrokkene geen invloed op uitoefent en waar dus mogelijk een verwerkersovereenkomst op van toepassing is (zie stap 5), waarbij de rode pijl betekent dat nog geen overeenkomst is afgesloten.

Stap 2 Rechten van betrokkenen

Je hebt van ZZP AVG misschien een privacy statement ontvangen. Nu is het van belang dat je er ook naar gaat leven. Ben je bewust van... de rechten die alle betrokkenen hebben door de nieuwe wetswijziging. Gedoeld wordt in deze stap met name op het recht van een betrokkenen altijd inzage te krijgen in welke persoonsgegevens je van de betrokkenen hebt opgeslagen, het recht van betrokkenen om deze gegevens altijd te wijzigen en daarnaast het recht om vergeten te worden.

Voorgaande betekent simpel gezegd dat ieder ondernemer transparant is in de wijze van omgang met de persoonsgegevens en dat een betrokkene zich heel eenvoudig moet kunnen uitschrijven uit je database als hij of zij daar om vraagt. Maar ook dat een betrokkene het recht heeft heel eenvoudig aanpassingen te maken in zijn persoonsgegevens, zoals adresgegevens of e-mailadres. Zorg dus altijd voor een systeem waarin betrokkenen dit eenvoudig zelf kunnen doen. Een vermelding van je e-mailadres op je website en in je privacy statement waar mensen naar toe kunnen mailen met privacy gerelateerde vragen is daarvoor al voldoende, zolang je maar adequaat en transparant handelt op de vragen.

Werk je bijvoorbeeld met een nieuwsbrief dan kunnen een aantal vragen onderaan je nieuwsbrief uitkomst bieden.

Maak gebruik van bovenstaand voorbeeld onderaan je nieuwsbrief en zorg dat de links verwijzen naar pagina’s waarop betrokkenen hun gegevens eenvoudig kunnen aanpassen. Het goed implementeren van deze stappen zorgt er voor dat je voldoet aan de vereisten van de AVG. Op die manier kun je ook verantwoorden dat je klanten zonder opt-in je nieuwsbrief mag versturen, omdat betrokkene via de nieuwsbrief wijzigingen aan kan brengen en zichzelf uit je systemen en databases kan verwijderen. Veel Email Service Providers hebben deze optie standaard in hun mailing opgenomen, overigens. Maak je gebruik van de diensten van een Email Service Provider, denk dan wel aan het afsluiten van een verwerkersovereenkomst met de Provider (zie stap 8).

a) Why did I get this?
Hier leg je uit hoe je aan de informatie van betrokkene bent gekomen en waarom ze de nieuwsbrief ontvangen. Dit kan zijn omdat ze klant zijn van je bedrijf of zich via jouw website op de nieuwsbrief hebben geabonneerd, maar ook indien je de persoonsgegevens hebt verkregen via derde partijen, zoals leadwervers. Zeker in dit laatste geval moet je duidelijk aangeven van welke partij je de gegevens hebt verkregen en om welke informatie van betrokkene het gaat. Bied betrokkene daarnaast hier de mogelijkheid om vergeten te worden en zorg ervoor dat wanneer betrokkene daarom verzoekt, je al zijn informatie verwijderd uit je systemen en databases.

b) Unsubscribe from this list
Hier geef je de betrokkene de mogelijkheid zich eenvoudig uit te schrijven van de nieuwsbrief. In gevallen dat een betrokkene een klant van je is, wil dit niet per definitie zeggen dat je diegene geheel hoeft te verwijderen uit je database, omdat de uitschrijving slechts betrekking heeft op het doel “het versturen van de nieuwsbrief”. Anders is het wanneer betrokkene géén klant van je is, want dan heb je de informatie slechts in je bezit voor het versturen van de nieuwsbrief. Het uitschrijven van een betrokkene die geen klant is, moet dus gelijk staan aan het verwijderen van de betrokkene.

c) Update subscription preferences
Hier geef je betrokkenen de mogelijkheid hun gegevens te wijzigen. Dit kan zijn persoonlijke gegevens, zoals adresgegevens of telefoonnummer, maar tevens bijvoorbeeld nieuwsbrief instellingen, zodat betrokkenen minder frequent de nieuwsbrief ontvangen. Dus bied betrokkene hier de mogelijkheid om de nieuwsbrief dagelijks, wekelijks of maandelijks te ontvangen of alleen door de weeks of in het weekend bijvoorbeeld.


Stap 3 Overzicht verwerkingen

Van iedere betrokkene moet je weten wanneer, op welke wijze en voor welk doel je de gegevens hebt verkregen. Al deze informatie moet worden bijgehouden in een speciaal document dat je... te allen tijde moet kunnen tonen aan de Autoriteit Persoonsgegevens wanneer daar om verzocht wordt. Dit wordt ook wel de verwerkerslijst genoemd. Hoewel de vereisten aan een verwerkerslijst per bedrijf verschillen, wordt het aan iedereen die met persoonsgegevens werkt, aangeraden toch een duidelijk lijst bij te houden met in ieder geval bovenstaande informatie, zodat je nooit voor verrassingen komst te staan.

Als gezegd is een aantal zaken voor het op juiste wijze bijhouden van een verwerkerslijst van belang. Een tip die wij iedereen meegeven is het bijhouden van de juiste opt-in. Zorg dat je bij alle persoonsgegevens bijhoudt via welke opt-in de gegevens zijn verstrekt. In feite is er een aantal gradaties bij het verkrijgen van persoonsgegevens:

a) Klanten of cliënten
Het verzamelen van klantgegevens is de meest directe vorm van het verkrijgen van persoonsgegevens. Omdat klanten geïnteresseerd zijn in je product of dienst, zou het goed kunnen dat zij ook geïnteresseerd zijn in vergelijkbare producten, diensten en aanbiedingen die je doet. De drempel voor het versturen van marketinguitingen en nieuwsbrieven is hier relatief laag, zolang je de drempel voor uitschrijven ook laag houdt (zie stap 2). Simpel gezegd mag je een klant of cliënt benaderen vanwege de eerdere interesse.

Een voorbeeld is het automatisch inschrijven voor je nieuwsbrief wanneer een klant een product of dienst van je heeft afgenomen. Zo kan je de klant heel eenvoudig vergelijkbare aanbiedingen doen. In feite hoef je daar geen toestemming voor te vragen en is een opt-in daarvoor niet nodig. Wel is het aan te raden een aangevinkte opt-in mee te sturen, zodat klanten al bij het bestellen de mogelijkheid krijgen zich uit te schrijven voor de nieuwsbrief.

Let op dat dit slechts geldt voor je eigen nieuwsbrief. Voor het doen van aanbiedingen van derde partijen is altijd expliciete toestemming vereist, door middel van een opt-in met daarin de bedrijfsnaam van degene die de aanbieding doet.

b) Website inschrijvingen
Heb je op je website of in de app een mogelijkheid tot het inschrijven op je nieuwsbrief of een contact formulier, waarbij betrokkenen hun persoonsgegevens achter kunnen laten, dan moet de betrokkene op dat moment expliciete toestemming geven voor het verwerken van hun persoonsgegevens. Dit wordt de opt-in genoemd en is in veel gevallen niet meer dan een check box die je kan (en moet) aanvinken met daarachter de tekst: “Ik ga akkoord met het privacy statement van Feestwinkel Jansen”. De opt-in wordt ook hier op juiste wijze verkregen zolang de betrokkene met één klik kennis kan nemen van het privacy statement én ook weer eenvoudig de gegevens kan wijzigen en verwijderen.

Het belangrijkste is de actieve en expliciete handeling van de betrokkene. Een opmerking bij inschrijving: "Door je in te schrijven voor onze nieuwsbrief ga je akkoord met ons privacy statement" is dus niet voldoende. Ook het al aangevinkt hebben van de check box, waardoor gebruikers automatisch toestemming geven mag niet. De gebruiker zal de check box altijd moeten aanvinken.

Aan te raden is daarnaast een bevestigingsmail te sturen ter verificatie of degene die de persoonsgegevens heeft ingevoerd, ook de eigenaar is van de persoonsgegevens. Op die manier voorkom je dat mensen persoonsgegevens van derden gaan invullen. Daar heeft de betrokkene niets aan en jij ook niet. Via de bevestigingsmail heb je ook de mogelijkheid opt-ins voor derden te doen. Let daar bij wel op dat betrokkenen zelf de opt-in aanvinken en dat de opt-in dus niet al aangevinkt is.

c) Ontvangen van leads door externe derden
Het kan zo zijn dat je een derde partij inschakelt die (potentiële) klanten voor je werft. Een voorbeeld is een marketingpartij die e-mailadressen verzamelt van klanten door middel van een winactie. Dit gebeurde voorheen op grote schaal en deze e-mailadressen werden ook zeer lucratief verhandeld. Hiertegen heeft de Europese wetgever willen optreden. Omdat met de komst van de AVG iedere betrokkene expliciet toestemming hebben gegeven aan de ondernemer voor het gebruik van de persoonsgegevens, probeert de wetgever het ongevraagd verhandelen van persoonsgegevens door organisaties in te dammen.

In het geval van de winactie is die organisatie de marketingpartij. Verkoopt de marketingpartij de gegevens door aan derden, dan moeten deze derden expliciet worden genoemd in de opt-in. Is hiervan geen sprake dan kan deze derde de gegevens niet gebruiken voor het doen van aanbiedingen. Kortom, winacties van derde partijen, waarbij een automatisch vinkje aanstaat met daarachter de tekst: “met deze deelname vindt u het goed dat u van onze partners aanbiedingen ontvangt”, behoren tot het verleden. Wel kan je als marketingpartij een winactie starten met de opt-in: “door deelname vindt u het goed dat u van feestwinkel Jansen, Slijterij De Bruijn, Café De Lekkende Tap en Herenmode zaak De Broekzak aanbiedingen ontvangt”. Je merkt al dat de AVG hiermee een stokje probeert te steken voor het eindeloos verhandelen van persoonsgegevens. De toekomst zal leren of het ook daadwerkelijk effectief gaat zijn en of het verhandelen tegen gegaan kan worden.

Zorg er voor jezelf dus in ieder geval altijd voor dat de leadwerver jouw bedrijfsnaam expliciet noemt in de opt-in én dat de betrokkene een handeling moet verrichten alvorens de nieuwsbrief te verkrijgen. Uiteindelijk bestaat er een gezamenlijke verantwoordelijkheid bij jou en de leadwerver voor het op juiste wijze verwerken van de persoonsgegevens en kunnen de boetes dus ook voor jou zijn!

Verwerkerslijsten

In het voorbeeld hiernaast geven we weer hoe je mogelijk de verwerkerslijst kan bijhouden. Dit kan prima gerealiseerd worden via Excel. Ook met een goed boekhoud- en facturatieprogramma kan je vaak je verwerkerslijst bijhouden. Denk er wel aan dat je in dat geval de gegevens verwerkt met een derde-partij en dat er op de verwerking een verwerkersovereenkomst van toepassing is (zie stap 8). Het beste werkt een systeem waarbij de wijzigingen die een betrokkene doorvoert op je site (persoonlijke account) of via je nieuwsbrief ook automatisch worden aangepast. Dit kan je zelf doen, maar hiervoor zijn ook gespecialiseerde bedrijven te vinden.

Let op! Veel leadwervers proberen je te strikken met andere mogelijkheden, zoals bijvoorbeeld het huren van leads of de overdracht van leads, waarbij jij als verwerker optreedt. Ga terughoudend om met deze opties. Het is maar zeer de vraag in hoeverre dit mag. Zorg er voor dat de leadwervers de opt-in waarmee ze de lead geworven hebben meesturen met de lead, zodat je kan bewijzen dat je de gegevens met expliciete toestemming van betrokkene hebt verkregen.


Stap 4 Data Protection Impact Assessment (DPIA)

Voor het verwerken van bijzondere persoonsgegevens is het voor bedrijven verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. Het gaat hier om... gegevensverwerkingen die een hoog privacy risico met zich meebrengen. Denk aan het verzamelen van locatiegegevens (GPS-tracking), maar ook het verwerken van een pasfoto of een Burgerservicenummer.

Een DPIA is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen en vervolgens de maatregelen te kunnen nemen om de risico`s te verkleinen. Wij adviseren je wanneer je te maken hebt met het verzamelen van bijzondere persoonsgegevens een gespecialiseerd bedrijf én een functionaris gegevensbescherming in de arm te nemen, dan wel heel bewust te kijken of je de bijzondere gegevens daadwerkelijk nodig hebt voor het uitvoeren van je ondernemersactiviteiten.

Naast de locatiebepaling (GPS-tracking), de pasfoto en het Burgerservicenummer moet je bij bijzondere persoonsgegevens denken aan gegevens over iemands:

• godsdienst of levensovertuiging;
• ras;
• politieke voorkeur;
• gezondheid;
• seksuele leven;
• lidmaatschap van een vakbond;
• strafrechtelijke verleden.

Het verwerken van deze bijzondere gegevens mag alleen wanneer daarvoor een wettelijke grondslag is. Anders gezegd, alleen wanneer in een wet staat dat je de gegevens moet opslaan, mag je het doen. Je mag dus als organisatie niet zomaar bijzondere persoonsgegevens verwerken.


Stap 5 Privacy by Design & Privacy by Default

Een uitgangspunt van de nieuwe wetgeving komt tot uiting in Privacy by Design en Privacy by Default. Van belang... bij Privacy by Design is dat je telkens bij het “ontwerpen” van producten en/of diensten nadenkt over hoe je persoonsgegevens gaat beschermen. En daarnaast dat je niet meer gegevens verzamelt dan strikt noodzakelijk en dat jij die gegevens niet langer bewaard dan strikt noodzakelijk.

Onder Privacy by Default wordt verstaan dat je de technische en organisatorische maatregelen moet nemen om, als standaard, alleen die persoonsgegevens te verwerken die voor dat doel noodzakelijk zijn. In feite is Privacy by Default de uitvoering van Privacy by Design.

a) Privacy by Design
Voordat je producten gaat verkopen of je dienst kan gaan leveren moet je bedenken welke informatie je nodig hebt van klanten en voor welk doel. Je hebt bijvoorbeeld voor het verkopen en verzenden van de producten noodzakelijke gegevens nodig. Denk aan de naam en adresgegevens van de klant, voor het versturen van het product of het leveren van de dienst, een telefoonnummer, voor het verzenden van de bevestiging en een emailadres voor het versturen van de factuur. Maar is het ook noodzakelijk dat je weet of de klant een man of een vrouw is? Moet je ook weten hoe oud de klant is of specifieker nog, wanneer de klant jarig is? Of heb je van iedere klant wel de bankgegevens nodig. Dit is wellicht interessante informatie voor marketing doeleinden of wanneer een ontevreden klant zijn geld terug vraagt, maar niet voor het uitvoeren van de primaire overeenkomst.

Hoewel het niet verboden is ook de klant te vragen welk geslacht de klant heeft of wanneer die geboren is, moet je erover hebben nagedacht hebben waarom je de gegevens gaat gebruiken. Gebruik je de gegevens, omdat je de klanten aanschrijft met beste meneer Jansen, dan heb je de gegevens over het geslacht nodig. Ga je de gegevens slechts gebruiken om bijvoorbeeld in de toekomst gericht marketing te kunnen gebruiken en wil je weten hoe oud je klantenkring is of van welk geslacht? Sla dan de gegevens geanonimiseerd op. Wanneer de informatie niet meer tot een persoon te herleiden valt, valt het opslaan van die informatie niet meer onder de werking van de AVG. Dus sla voor marketing doeleinden niet op dat meneer Jansen, wonend in de Dorpstraat 17 te Assen, geboren is op 3-9-1983. Maar zorg dat je meneer Jansen indeelt in de groep mannen tussen de 35 en 40 uit Drenthe en verwijder zijn persoonsgegevens. Op die manier kan je voor marketing doeleinden kijken wie je doelgroep is voor een bepaald product, zonder dat je gebonden bent aan de AVG.

Daarnaast moet je gaan kijken naar hoe lang je de gegevens gaat bewaren. Aangegeven wordt dat je gegevens niet langer bewaard dan strikt noodzakelijk. Maar wat is strikt noodzakelijk? Dit is lastig te zeggen en hierbij moet je een zorgvuldige afweging maken tussen het opslaan van gegevens en bijvoorbeeld klantvriendelijkheid. Stel dat de garantie op het product dat je levert twee jaar is. Mag je dan twee jaar de gegevens van de klant opslaan? En wat als de klant in de tussentijd te kennen geeft dat hij uit je systeem verwijderd wil worden?

Het lijkt er op dit moment op dat het bewaren van de gegevens voor twee jaar op zich te verantwoorden is. Echter dit is in feite slechts te verantwoorden voor klanten die uiteindelijk een probleem met het product krijgen. Hoe zit het met tevreden klanten? Of klanten die de overeenkomst binnen 14 dagen willen ontbinden. Moet je ook de gegevens van tevreden klanten twee jaar bewaren? En hoe weet je of een klant een tevreden klant is?

Wetgeving kan daarnaast bepalen dat je bepaalde gegevens voor een bepaalde termijn moet bewaren. In bepaalde gevallen zelfs vijf, zeven of vijftien jaar. Een voorbeeld is het verplicht bewaren van facturen voor de belastingdienst.

Ook klanten zelf hebben invloed op de bewaartermijn. Zo zal je gehoor moeten geven aan klanten die verwijderd willen worden. Maar wat als een uit het systeem verwijderde klant een klacht heeft over je product? En als je de klant verwijderd, kan je dan nog wel voldoen aan de wettelijke verplichting van de belastingdienst om facturen zeven jaar te bewaren. Dit is de spagaat waarin je je als ondernemer bevindt en waar je goed over moet nadenken, voordat je een bepaald product gaat leveren.

Een methode is bijvoorbeeld een speciaal systeem aanhouden voor alleen de facturen, zodat je kan voldoen aan de wettelijke verplichting. Een klant die verwijderd wenst te worden kan je verder uit al je databases verwijderen (zoals je klantenbestand, CRM systeem, e-mailadressenbestand, nieuwsbrief). Een mededeling naar de betreffende klant, dat je zijn gegevens hebt verwijderd, behalve van de factuur om zo te kunnen blijven voldoen aan de wettelijke verplichting van de belastingdienst, is dan voldoende.

Iedere sitautie is anders en een eenduidige bewaartermijn is niet te geven. Kijk bij het bepalen van de bewaartermijn dus altijd naar de omstandigheden van het geval en mogelijk ook wettelijke bepalingen.

Realiseer je ook hier dat je geanonimiseerde informatie wel zolang mag bewaren als je wilt, omdat die informatie niet onder de werking van de AVG valt.

b) Privacy by Default
Nadat je hebt bepaald hoe lang en voor welk doel je bepaalde gegevens verzamelt en opslaat, ga je kijken hoe je die gegevens gaat verzamelen en wat er nodig is om de informatie te verkrijgen, te bewaren en te beveiligen, kort gezegd te verwerken.

Je gaat bijvoorbeeld een formulier opnemen op je website, waarop klanten hun gegevens achterlaten om een product te kunnen kopen of een offerte aan te vragen. Van belang is nu dat de klanten hun gegevens achterlaten in een veilige omgeving. Dit is werk voor specialisten. Zorg ervoor dat je dit laat uitvoeren door iemand met kennis van zaken. Zorg ook voor een systeem waarbij bepaalde gegevens automatisch van je database verwijderd worden, overeenkomstig wat je bepaald hebt in je Privacy Statement.

Ook een aanvraag per mail is hierbij denkbaar uiteraard. Zorg er dan voor dat de persoonsgegevens uit de mail worden opgeslagen in een daarvoor bestemde offerte- of aanvraaglijst en verwijder de persoonsgegevens uit je mailbox.

Dan resteert de vraag hoe nu om te gaan met problemen rondom garantie en dergelijke en hoe verhoudt zich dat tot het verwijderen van klantgegevens.

Een oplossing zou kunnen zijn het werken met een tweede modelformulier op je website voor vragen en klachten (of uiteraard een tweede lijst in geval van andere aanvragen). In het meest ideale scenario neem je als uitgangspunt dat iedere klant een tevreden klant is en dat je na de aankoop of levering van de dienst, de gegevens van de klant niet meer nodig hebt. Door de tweede database voor vragen en klachten maak je eenvoudig een onderscheid tussen de tevreden en ontevreden klanten, waarbij op beide lijsten een ander regime van toepassing is. Uiteraard betreft het hier slechts die gegevens die je nodig hebt voor het oplossen van de klacht. Bedenk je dus goed wat je nodig hebt van de klant. Is dat een naam en een e-mailadres of telefoonnummer of ook de adresgegevens of zelfs de bankgegevens indien je geld moet terugstorten?

Tot slot is het denkbaar dat je een lijst bijhoudt van mensen die in het verleden problemen hebben veroorzaakt, zoals wanbetalers of mensen die overlast veroorzaken. Deze zogenaamde zwarte lijst mag je eeuwig bewaren. Wees wel heel terughoudend met het opnemen van mensen in een dergelijke lijst en met name ook met de verspreiding van dergelijke gegevens. Er moet een gegronde reden zijn voor het opstellen van een zwarte lijst.


Stap 6 Functionaris Gegevensbescherming

Onder de AVG kan het voor sommige bedrijven verplicht zijn een functionaris gegevensbescherming aan te stellen. Dit geldt... echter lang niet voor alle bedrijven en in de meeste gevallen geldt dit niet voor jou als zzp’er. Toch kan het geen kwaad op de hoogte te zijn van het bestaan van de functionaris gegevensbescherming. Met name als je nu nog als zzp’er werkt, maar je bedrijf een groei doormaakt en je in de toekomst werknemers gaat aannemen kan het geen kwaad je eens goed te laten informeren door een gespecialiseerde jurist. Bedenk hierbij altijd dat het niet meteen noodzakelijk is om zelf een jurist in dienst te nemen. Het is zeker mogelijk om AVG-specialisten in te huren op opdrachtbasis, die je dus alleen inschakelt indien dit noodzakelijk is.

In ieder geval zijn de volgende bedrijven verplicht een functionaris gegevensbescherming aan te stellen:

• Overheden en publieke organisaties;
• Bedrijven die op grote schaal individuen volgen;
• Bedrijven die op grote schaal bijzondere persoonsgegevens verwerken.


Mocht jouw onderneming voldoen aan een van de vereisten, laat je dan goed informeren.


Stap 7 Meldplicht Datalekken

Eerder in deze prospectus is al melding gemaakt van de verplichting om datalekken te melden bij de Autoriteit Persoonsgegevens. Deze verplichting is... niet nieuw en is sinds 1 januari 2016 ook een onderdeel van de Wet bescherming persoonsgegevens. Wel wordt de documentatieplicht voor de datalekken die zich in jouw bedrijf voordoen strenger, zodat de Autoriteit de datalekken ook kan controleren. Dit vereiste gaat veel verder dan de voorheen geldende wetgeving. Meldingen van het datalek worden gedaan via het meldpunt datalekken van de Autoriteit Persoonsgegevens. Om te bepalen of sprake is van een datalek heeft de Autoriteit Persoonsgegevens beleidsregels meldplicht datalekken opgesteld. Het gaat te ver om deze beleidsregels op te nemen in deze prospectus. Het enkel verwijzen naar de website van de Autoriteit (http://autoriteitpersoonsgegevens.nl) lijkt ons voor nu voldoende. Via deze website bereik je eenvoudig het meldpunt datalekken.

Wel van belang is te vermelden dat onder een datalek niet slechts hacken wordt verstaan. Ook het verliezen of gestolen worden van een USB-stick, laptop, mobiele telefoon of andere duurzame gegevensdrager wordt onder een datalek verstaan. Ook bijvoorbeeld het verzenden van persoonlijke informatie van een betrokkene naar een verkeerd e-mailadres is in beginsel een datalek, waar een uitvoerige documentatie- en meldplicht voor geldt. Neem dit niet te licht op, want de boetes zijn erg hoog.

Realiseer je dat een datalek iedereen kan overkomen. Je wordt niet beboet, vanwege het “veroorzaken” van een datalek (mits je dit uiteraard niet bewust of opzettelijk hebt gedaan), maar omdat je in die situatie niet adequaat hebt gereageerd. Zorg er dus in ieder geval voor dat je binnen 72 uur na het ontdekken van het datalek het lek hebt gemeld bij de autoriteit en dat je er alles aan doet om de schade bij de betrokkenen tot een minimum te beperken. Dit begint bij het informeren van je klanten en de Autoriteit Persoonsgegevens.

Tot slot publiceert de Autoriteit Persoonsgegevens ieder kwartaal algemene en sectorspecifieke overzichten van datalekken. Op die manier kan je altijd op de hoogte blijven van de gevaren die gelden in jouw branche en met name ook het voorkomen van datalekken.


Stap 8 Verwerkersovereenkomsten

Iedere verwerking van persoonsgegevens met een derde partijen moet je vastleggen in een overeenkomst. Zorg dat je hier... actief mee bezig bent en dat de voorwaarden in die overeenkomst je uitsluiten van iedere verantwoordelijkheid voor schadevergoeding. Of het nu je opdrachtgever betreft, je boekhouder, een leverancier, je E-mail Service Provider, je webhosting partij, een collega zzp’er met wie je samenwerkt of een Leadwerver, je hebt altijd te maken met de verwerking van persoonsgegevens. In een verwerkersovereenkomst leg je met name vast wat de derde partij mag en niet mag met de door jou verzamelde gegevens. Grofweg laten zich twee situaties onderscheiden waarop verwerkersovereenkomsten van toepassing zijn:

a) Verwerkingsverantwoordelijke-Verwerker
Het kan zijn dat je bepaalde zaken uitbesteedt aan derde partijen, zoals een Payment Provider, een boekhouder of een webhosting partij. Dergelijke partijen verwerken gegevens voor je waaronder vermoedelijk persoonsgegevens van je klanten of cliënten. Uiteindelijk bepaal jij voor die partijen de doeleinden waarvoor ze de gegevens mogen verwerken, namelijk het verzorgen van de betaling, het doen van je boekhouding of het onderhouden van je website. Je wilt dat de door jou ingeschakelde derde-partij de gegevens niet gebruikt voor andere doeleinden, maar ook dat je er van op de hoogte wordt gesteld wanneer die ingeschakelde derde een datalek veroorzaakt.

Je wilt natuurlijk te allen tijde voorkomen dat je boetes of schadevergoedingen moet betalen voor fouten van door jou ingeschakelde verwerkers. Sluit dus altijd een overeenkomst met deze verwerker. Zorg ervoor dat ze de gegevens alleen gebruiken voor door jou bepaalde doelen en dat ze altijd meldingen maken van welke werknemers of derde-partijen (lees: sub-verwerkers) toegang hebben tot de gegevens en datalekken. Realiseer je dat jij in beginsel verantwoordelijk bent voor de gegevensverwerking en dat de betrokkene niet bepaalt welke partijen jij inschakelt voor de verwerking van de gegevens. Dit betekent ook dat je schadeplichtig bent naar de betrokkenen indien zij schade ondervinden door fouten van door jou ingeschakelde verwerkers.

Het kan natuurlijk ook zijn dat je zelf persoonsgegevens verwerkt voor een verwerkingsverantwoordelijke. Je kan denken aan werkzaamheden als hiervoor genoemd, maar ook is het denkbaar dat je een training verzorgt voor een groep medewerkers van een bedrijf, waarbij de opdrachtgever jou voorafgaand aan de training een deelnemerslijst toestuurt. Ook in dat geval is het van belang dat je een verwerkersovereenkomst afsluit. Je kan wachten tot de verwerkingsverantwoordelijke jou benadert met een verwerkersovereenkomst. Maar actief de opdrachtgever (lees: de verwerkingsverantwoordelijke) benaderen kan hierin zeker geen kwaad. Niet in de eerste plaats omdat je laat zien op de hoogte te zijn van de AVG en privacy dus serieus neemt. In de praktijk horen we steeds vaker zzp’ers die een opdracht mis zijn gelopen omdat ze blijk gaven geen of onvoldoende kennis te hebben van de AVG. Tevens is het zo dat wanneer je zelf het initiatief neemt tot het afsluiten, je in beginsel ook de voorwaarden bepaalt. Denk hierbij aan het uitsluiten of beperken van je aansprakelijkheid of het van toepassing laten zijn van je algemene voorwaarden.

b) Gezamenlijke verantwoordelijkheid
Het kan ook zijn dat je gegevens verwerkt ten behoeve van derde partijen die uiteindelijk zelfstandig verantwoordelijk zijn voor de gegevens of dat een derde partij de gegevens verwerkt met jou en jullie gezamenlijk de verantwoordelijkheid dragen. Denk aan leads kunnen verwerven voor derde partijen, door aanbiedingen te doen voor die derde partijen. In die overeenkomst is het van belang dat je na de overdracht uitsluit dat je zelf nog verantwoordelijk bent voor de gedragingen van die derde partij. Je moet hierbij opletten dat deze gegevensoverdrachten alleen mogelijk zijn, indien je de persoonsgegevens hebt verkregen na expliciete toestemming van de betrokkene. Pas na toestemming mag je de gegevens overdragen. Denk bij nog even terug aan hetgeen besproken is met betrekking tot de juiste opt-in bij stap 3.

Een ander voorbeeld is een betrokkene doorverwijzen naar een specialist. Stel dat je het dossier van de betrokkene wenst over te dragen dan dien je daarvoor expliciete toestemming te vragen. Ook zou ik in een dergelijk geval geen verantwoordelijkheid willen dragen voor de wijze waarop de specialist de gegevens verder bewaart, opslaat of op andere wijze verwerkt.

In tegenstelling tot de verhouding verwerkingsverantwoordelijke vs verwerker is hierop volgens de AVG geen overeenkomst van toepassing. Althans, de handvatten daarvoor worden, in tegenstelling tot de relatie verwerkingsverantwoordelijke vs verwerker, in de AVG niet gegeven. Toch lijkt het zinvol duidelijke afspraken te maken en die vast te leggen in een overeenkomst. Deze overeenkomst biedt echter aanzienlijk veel meer vrijheid tussen partijen dan de verwerkersovereenkomst.


Stap 9 Leidende Toezichthouder

Mocht jouw organisatie in meerdere Europese lidstaten vestigingen hebben of heeft jouw gegevensverwerking invloed in meerdere lidstaten dan hoef je... onder de AVG met maar één toezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. In beginsel is de leidende toezichthouder de toezichthouder in de lidstaat waar jij je hoofdvestiging hebt. In sommige gevallen kan ook gekozen worden voor de lidstaat waar jouw gegevensbescherming de meeste impact heeft. Het idee van de leidende toezichthouder is dat deze contacten onderhoudt met de andere Europese toezichthouders.


Stap 10 Toestemming

Voor sommige gegevensverwerkingen heb je toestemming nodig van de betrokkenen. De eisen die de AVG stelt aan... die toestemming zijn strenger dan voorheen. Denk bijvoorbeeld aan de expliciete opt-in. Evalueer altijd de manier waarop je de toestemming vraagt, krijgt en registreert. Hierin is nieuw dat je altijd kan aantonen hoe je de geldige toestemming hebt verkregen en dat betrokkenen net zo makkelijk de toestemming weer moeten kunnen intrekken.


Tot slot

In deze prospectus hebben we je geprobeerd iets meer te vertellen over de AVG. Aan de hand van het stappenplan hebben we een en ander duidelijk hebben gemaakt over de veranderingen die er na 25 mei 2018 binnen de privacywetgeving zijn opgetreden met betrekking tot de verwerking van persoonsgegevens. Wij hopen dat je nu een idee hebt over wat je zult moeten doen om te voldoen aan de AVG.

Het is ons duidelijk dat sommige punten in het stappenplan op dit moment mogelijk voor de meeste zzp’ers (nog) niet van toepassing zijn. Toch hebben we zo volledig mogelijk willen zijn en daarnaast hebben we ook willen waarschuwen voor eventuele gevolgen mocht je in de toekomst wel werknemers krijgen of in ieder geval op andere wijze met persoonsgegevens gaat werken.

We willen ook nog wijzen op het feit dat wetgeving voortdurend in beweging is en dat op het moment van schrijven de AVG nog in de kinderschoenen staat. Veranderingen kunnen zeker plaatsvinden. Het is namelijk nu in het geheel niet bekend hoe streng en actief de Autoriteit Persoonsgegevens gaat handhaven en hoe hoog de boetes zijn. De verwachting is dat de Autoriteit niet direct hoge boetes zal gaan uitdelen. Wel wordt nu gehamerd op het bezig zijn met de nieuwe wetgeving. Fouten maken is menselijk, zolang je maar aantoont dat je actief bezig bent om de nieuwe wetgeving toe te passen én altijd voor ogen houdt dat het beperken van de schade bij betrokkenen de primaire taak is. Uiteindelijk zal de Autoriteit Persoonsgegevens zich richten op partijen die de nieuwe wetgeving bewust negeren.

Het sluiten van verwerkersovereenkomsten wordt binnen de AVG vaak als vermoeiend en lastig gezien. Hierin zie je veel tussen verschillende partijen. Zorg dat je zelf actief bezig bent met het afsluiten van de overeenkomsten en dat je weet wanneer een verwerkersovereenkomst van toepassing is in jouw specifieke geval. Het geeft een professionele uitstraling naar partijen met wie je zaken doet, geeft aan dat je je bewust bent van wat er speelt en je houdt daarnaast in de hand wat in de overeenkomst staat. Schroom niet ook gewoon een overeenkomst te sturen naar grote partijen. Weliswaar komen ze waarschijnlijk terug met een eigen versie, maar uiteindelijk gaat het er om dat de overeenkomst is afgesloten. Blijf altijd kritisch naar de inhoud van de documenten en toegegeven, hoewel het lastig is bij grote partijen de bepalingen te wijzigen, niets staat je in de weg eens aan te kloppen bij de Autoriteit Persoonsgegevens met een vraag of een klacht.

Ieder bedrijf en iedere ondernemer is verschillend. Het kan voorkomen dat je, na het ontvangen van onze stukken of het lezen van deze prospectus, nog vragen hebt over jouw specifieke situatie. Voor vragen over de AVG of over de door ons geleverde stukken en de wijze hoe je die moet implementeren kan je altijd een afspraak maken


Plan een vrijblijvende afspraak in
CONTACT

Namens het hele team van ZZP AVG wensen wij je heel veel succes met het implementeren van de AVG!