Je leest er veel over: de nieuwe wet Algemene Verordening Persoonsgegevens (AVG), of General Data Protection Regulation (GDPR). Ook de e-mails die je ineens ontvangt van bedrijven waarin ze je vragen of je nog steeds op de hoogte wilt blijven van hun activiteiten, hebben met deze wet te maken.

Doel van de AVG

Die nieuwe wet gaat per 25 mei in en heeft als doel de persoonsgegevens van consumenten beter te beschermen. De oude Wet Bescherming Persoonsgegevens (wbp) komt daarmee te vervallen.

Die bescherming is hard nodig want de laatste jaren delen we steeds meer gegevens online en daar gaan niet alle bedrijven even voorzichtig mee om. Als er geld aan te verdienen valt, dan zijn persoonsgegevens gewoon handel. Kijk maar naar alle commotie rondom Facebook. Ben je daar zelf ook niet voorzichtiger door geworden?

Maar dat zijn grote bedrijven, die grote hoeveelheden data opslaan, zul je denken. Dat klopt. Maar de nieuwe wet geldt voor iedereen. Ook voor jou als ZZP-er. De wetgever kan natuurlijk geen onderscheid maken. En daarom moet jij ook zorgen dat de persoonsgegevens die je beheert, veilig zijn. Voor hackers bijvoorbeeld, of voor Google die misschien de bezoeken op je website volgt.

Wat als ik niks doe?

In deze blog vertel ik je wat ik heb gedaan als ZZP-er om aan de AVG te voldoen. Ik ben geen jurist dus ik claim niet dat dit 100% dekkend is, maar je kunt in ieder geval de Autoriteit Persoonsgegevens aantonen wat je hebt gedaan. Dat is belangrijk want de boetes zijn behoorlijk: maximaal € 20.000.000,- of 4% van je omzet.

Misschien denk je: “het waait wel over” of “ze beginnen niet bij zzp-ers”. Dat kan, maar zelfs als je het niet voor de AVG doet, doe het dan voor je klanten en bezoekers. Zij zullen het waarderen als je hun gegevens beschermt. En ze zullen eerder geneigd zijn zich in te schrijven voor je nieuwsbrief als jij duidelijk bent waarvoor je hun gegevens gaat gebruiken.

Wat moet ik doen als ZZP-er?

Hieronder geef ik een stappenplan waarin ik zo eenvoudig mogelijk beschrijf wat je (in ieder geval) moet doen.

1.      Privacy statement

De eerste stap is te kijken naar de privacy statement die je op je website moet hebben. Hierin vermeld je hoe je omgaat met persoonsgegevens die je ontvangt. Je vermeldt de contactgegevens van de verantwoordelijke (jijzelf dus), welke persoonsgegevens je verzamelt, met welk doel, wat de juridische grondslag daarvoor is en hoe lang je de gegevens opslaat.

Er zijn 6 juridische grondslagen. Die kun je vinden op de website van de Autoriteit Persoonsgegevens. Een daarvan is bijvoorbeeld de uitvoering van een overeenkomst. Als je een opdracht uitvoert voor een klant heb je natuurlijk wel zijn gegevens nodig. Een andere grondslag is toestemming: als een bezoeker van je website zich inschrijft voor jouw blog dan geeft hij expliciet toestemming zijn gegevens op te slaan. Let wel op: je mag deze alleen met dat doel gebruiken. Je mag dus niet zomaar andere aanbiedingen gaan sturen, als je daar geen toestemming voor hebt.

Het is belangrijk dat je privacy statement begrijpelijk is. Gebruik geen ingewikkelde, juridische taal en zorg dat hij beschikbaar is in de talen waarin je diensten levert.

Er zijn volop model privacy statements te vinden op internet die je zelf op maat kunt maken voor jouw bedrijf. Of je laat deze opstellen door een jurist. Zie bijvoorbeeld LadyLawyer of Young Law.

2.      Cookie melding

Als je bijhoudt wie jouw website bezoekt, bijvoorbeeld met Google Analytics, dan moet je een cookie op je website opnemen. Daarin vermeld je dat je een cookie plaatst. In je privacy statement kun je daar verder op ingaan. Wil je geen cookie plaatsen? Zet dan alles op anoniem in Google Analytics of schakel deze uit.

Eigenlijk moet je een bezoeker ook toelaten zonder een cookie te plaatsen. De norm onder AVG is namelijk opt in. Dat wil zeggen dat de bezoeker expliciet toestemming moet geven.
Ook moet je een bezoeker de mogelijkheid geven om te kiezen waarvoor je een cookie mag plaatsen:  noodzakelijk (om de website te laten werken), functioneel (voor analyse van je website) of optimaal (om website en social media te verbeteren). De laatste geldt bijvoorbeeld als je een Facebook Pixel hebt geïnstalleerd. Uitgebreide informatie over cookies en de AVG vind je hier.

Voor nu wordt alleen een melding dat je een cookie plaatst nog geaccepteerd, maar mogelijk verandert dat in de toekomst.

3.      Verwerkingsregister

Als je gegevens verzamelt, ben je onder de AVG de verwerkingsverantwoordelijke. Als je een opdracht verstrekt aan een ander bedrijf (een verwerker) waarbij dat bedrijf persoonsgegevens verwerkt waarvoor jij verantwoordelijk bent, dan moet je die afspraken vastleggen in een verwerkersovereenkomst.

Stel dat je je boekhouding uitbesteedt, dan kan je boekhouder persoonsgegevens van je klanten zien. In dat geval moet je dus een verwerkersovereenkomst met hem afsluiten.

Ik heb een model van deze overeenkomst aangeschaft via LadyLawyer, die kan ik zelf invullen. Op internet kun je aanbieders vinden van een model of een verwerkingsregister op maat laten maken.

4.      Huidige nieuwsbrieflezers en inschrijvingen

Heb je al een mailinglijst? Of kunnen mensen zich via jouw site inschrijven wanneer je een blog plaatst? Dan moet je na 25 mei vragen of die mensen nog steeds op de hoogte gehouden willen worden. Onder de AVG geldt namelijk een opt in optie. Geïnteresseerden moeten dus expliciet toestemming geven voor de inschrijving. Je moet kunnen aantonen bij de Autoriteit Persoonsgegevens dat je die hebt gekregen. Verwijs bij inschrijvingen ook altijd duidelijk naar je privacy statement.

Vroeger mocht je een vinkje al aanzetten op een formulier. Bezoekers konden deze dan uitvinken als ze geen interesse hadden. Dat mag niet meer!

Werk je met WordPress dan vind je je volgers in de betreffende plugin onder followers. Vaak krijg je geen bericht van WordPress als iemand zich inschrijft, dus kijk zelf wie zich hebben ingeschreven!

5.      Meldplicht

Als je vermoedt dat je gegevens zijn gelekt, bijvoorbeeld omdat je computer is gehackt of gestolen of wanneer er bij een van je verwerkers (zie punt 3) is ingebroken, dan heb je de plicht om dit binnen 72 uur te melden aan de Autoriteit Persoonsgegevens. Ook moet je kunnen aantonen dat je alles hebt gedaan om de gegevens te beschermen. De verwerkingsovereenkomst onder punt 3 is een van die maatregelen. Neem in de overeenkomst ook op dat het bedrijf dat voor jou werkt, verplicht is jou te melden als ze een datalek vermoeden.

Overall bewustzijn

De AVG is vooral ingevoerd om de consument te beschermen tegen misbruik van zijn gegevens. Als ZZP-er zul je niet zoveel data verzamelen zoals grote organisaties als Albert Heijn of Facebook dat doen. Toch is het belangrijk dat je je bewust bent dat je wel degelijk persoonsgegevens in je beheer hebt. Daarvoor ben jij verantwoordelijk. Ga daar voorzichtig mee om want gegevens van je klanten zijn bedrijfskapitaal.

Vraag altijd of je gegevens mag gebruiken en meldt duidelijk voor welk doel je ze gebruikt. Sla de toestemming ook op. De klant heeft onder de AVG altijd het recht om zijn toestemming te herroepen of zijn gegevens op te vragen, aan te laten passen of te verwijderen. Zorg dat je hier aan kunt voldoen.

Als jij laat merken zorgvuldig om te gaan met deze gegevens dan zul je het vertrouwen van je klanten sneller winnen.

Tot slot

Bovenstaande stappen zijn belangrijke maatregelen voor het opvolgen van de AVG. Dit zijn de maatregelen die ik heb ondernomen om te voldoen aan de nieuwe wetgeving. Ze zijn echter niet uitputtend  en ik ben zelf ook nog steeds bezig om verder aan de AVG te voldoen. Bijvoorbeeld door mijn cookie statement verder te verbeteren. Deze blog is bedoeld om zzp-ers te helpen met deze ingewikkelde wetgeving. Ik heb me zoveel mogelijk verdiept in de materie maar ik ben geen jurist en je kunt geen rechten ontlenen aan dit advies.

Mocht je hulp nodig hebben bij bovenstaande stappen of heb je vragen, neem dan gerust contact met me op. Om maar gelijk aan de AVG te voldoen: ik gebruik je e-mailadres zolang als nodig is om de vraag te beantwoorden. Je hoeft dus niet bang te zijn dat ik je daarna ga lastigvallen met aanbiedingen. Zie ook mijn privacy statement. ?