Als kleine ondernemer of ZZP'er aan de slag met de AVG/ de nieuwe privacywet, oftewel: hoe maak jij jouw bedrijf AVG proof? mamalifestyleblog, mamablog, mamablogger
Mama onderneemt / werkt

Als kleine ondernemer of ZZP’er aan de slag met de AVG/ de nieuwe privacywet, oftewel: hoe maak jij jouw bedrijf AVG proof?

Ondernemers en ZZP’ers moeten er toch echt aan geloven: de nieuwe privacywet die per 25 mei ingaat, oftewel de AVG (Algemene Verordening Gegevensbescherming). Ook al noemen veel mensen en bedrijven de AVG ook wel privacywet, de AVG is geen wet, maar een verordening. Geen idee wat het verschil is, ik ben wat dat betreft als kleine ondernemer ook maar een leek. Feit is dat elke ondernemer aan de nieuwe privacywet moet voldoen, ook als je een kleine ondernemer of ZZP’er bent. Zelfs sportverenigingen, voetbalclubs en scholen moeten aan de AVG voldoen. Zij moeten er bijvoorbeeld rekening mee houden dat ze niet zonder toestemming foto’s van leden en leerlingen op hun website mogen plaatsen. De AVG geldt zowel voor B2B (business to business) als business to consumer. Ik heb me de afgelopen tijd flink verdiept in de AVG. In deze blog vind je heel veel informatie over wat je als kleine ondernemer of ZZP’er moet regelen voor de AVG/de nieuwe privacywet. Tips die ik zelf op internet heb gevonden en heel graag met jou deel en stappen die ik zet om mijn bedrijf en mijn blog AVG proof te maken. 

Wanneer gaat de AVG in?

De nieuwe privacywet gaat op 25 mei 2018 in en vervangt de wet Bescherming Persoonsgegevens. Zodra de AVG geldt, betekent dit dat dezelfde privacyregels in heel Europa van toepassing zijn. Op 25 mei moet alles dus zoveel mogelijk op orde zijn voor de AVG. Eigenlijk is de nieuwe privacywet helemaal niet zo nieuw. Deze bleek al 2 jaar geleden ingegaan te zijn, maar er was een overgangsperiode. Vanaf dat moment hadden ondernemers 2 jaar de tijd, dus tot 25 mei 2018, om hun zaken op orde te brengen. 

Wat houdt de nieuwe privacywet kort in? 

De privacywet of de AVG  gaat erom met welke persoonsgegevens je als bedrijf te maken hebt en hoe je hier mee omgaat. Je kunt niet zomaar allerlei gegevens aan een klant vragen, er moet een gegronde reden voor zijn.  Dat kan bijvoorbeeld een adres zijn, omdat je spullen moet opsturen naar een klant of een telefoonnummer, omdat je de klant telefonisch moet kunnen benaderen vanwege een aanvraag. Maar ook de offertes die je als ondernemer maakt en op je laptop opslaat bevatten persoonlijke gegevens. Immers, elk gegeven wat naar een persoon te herleiden is, is een persoonsgegeven. Je mag nog steeds persoonsgegevens opvragen, maar je moet er dus een gegronde reden voor hebben én je moet zorgen dat niemand zomaar bij deze gegevens kan. Dit betekent dat je bijvoorbeeld je laptop, je externe harde schijf en je telefoon moet beveiligen met een wachtwoord. Daarnaast kan een klant jouw bedrijf vragen om persoonsgegevens te wissen. Dit heet het recht op vergetelheid, oftewel het recht om vergeten te houden. Belangrijk is dus om te registreren op welke locaties je persoonsgegevens bewaart en hoe lang je deze bewaart. Qua bewaartermijn wordt er niets aangegeven in de AVG. Wel moet je persoonsgegevens niet langer bewaren dan nodig is. Wanneer een klant je overigens vraagt bepaalde persoonsgegevens te wissen, maar je moet deze bewaren voor de Belastingdienst, dan gaat de wet boven de AVG. Dus: je mag deze gegevens niet verwijderen vanwege de verplichte bewaartermijn voor de Belastingdienst. 

Hoe hoog is de boete wanneer je bedrijf niet AVG proof is?

Zoals gezegd, de AVG gaat op 25 mei in. Is jouw bedrijf op die datum nog niet AVG proof? Ga er dan als een speer mee aan de slag. Wanneer je namelijk als bedrijf niet voldoet aan de nieuwe privacywet, kun je een boete opgelegd krijgen. En deze boetes zijn niet mals. De Autoriteit Persoonsgegevens kan bedrijven een boete opleggen van maximaal 20 miljoen euro. Dat kan je als kleine ondernemer behoorlijk zenuwachtig maken. Niet alleen de hoogte van de boete, maar ook hoe je dat allemaal geregeld krijg. Als kleine ondernemer heb je geen juridische afdeling waar je het AVG proof van je bedrijf aan uit handen kan geven. Vaak moet je het als kleine ondernemer of ZZP’er zelf uitzoeken. Tenzij je budget hebt om een juridisch expert in te huren. Gelukkig is er veel informatie over de AVG op internet te vinden. In deze blog lees je welke informatie ik heb gevonden en wat ik heb gedaan om met mijn bedrijf aan de nieuwe privacywet te voldoen. 

Welke persoonsgegevens beheer ik en waarom?

De eerste stap is om uit te zoeken welke persoonsgegevens er op je laptop, tablet of harde schijf staan. Ik was zelf wel een dag bezig om alle bestanden uit te zoeken. Nu heb ik bestanden die ik niet nodig heb, verwijderd en alle losse bestanden naar mappen gesleept. Ook heb ik de structuur van mijn mappen wat aangepast. De persoonsgegevens die ik bewaar zijn offertes, personeelsadministratie en e-mails. E-mails bevatten immers ook persoonsgegevens. Ook al ontvang ik een mailtje van een bedrijf, onderaan de mail staat toch altijd een naam van de contactpersoon met mobiel nummer van die persoon en bovendien is het emailadres vaak ook herleidbaar tot een natuurlijk persoon. Vanaf 25 mei moet ik een gegronde reden hebben om bestanden en e-mails met persoonsgegevens te bewaren. Ik moet dus heel bewust omgaan met de gegevens van mijn klanten en van mijn personeel. 

Welke grondslagen zijn er om persoonsgegevens te bewaren? Oftwel: wanneer is het toegestaan om persoonsgegevens op te vragen en te beheren?

De toegestane redenen voor het opvragen en bewaren van persoonsgegevens worden ook wel grondslagen genoemd. In totaal zijn er 6 grondslagen:

  1. Toestemming van de persoon van wie de gegevens zijn.
  2. De persoonsgegevens heb je nodig voor de uitvoering van een overeenkomst.
  3. De verwerking van de persoonsgegevens is nodig voor het naleven van een wettelijke verplichting. Denk hierbij aan het bijhouden van je administratie voor de Belastingdienst. 
  4. De gegevensverwerking is noodzakelijk voor de vitale belangen. 
  5. De gegevensverwerking is noodzakelijk voor een algemeen belang of uitoefening van openbaar gezag. 
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardige belangen.

Voor ondernemers gelden meestal alleen de eerste 3 grondslagen. 

Alles over de grondslagen lees je op de site van Autoriteit Persoonsgegevens. 

Hoe houd ik persoonsgegevens bij in een verwerkingsregister?

De persoonsgegevens die je beheert, houd je bij in een verwerkingsregister. In dit register houd je bij welke persoonsgegevens je bijhoudt, hoe je hiermee omgaat, wie er inzage heeft in deze persoonsgegevens en hoe je deze beveiligd hebt. Wanneer de Autoriteit Persoonsgegevens het verwerkingsregister van jouw bedrijf bij je opvraagt, moet je deze kunnen laten zien. Op de site van Autoriteit Persoonsgegevens wordt precies uitgelegd wat er nu allemaal in een verwerkingsregister moet staan. 

Verwerkersovereenkomst voor het delen van gegevens met derden

Een deel van de persoonsgegevens die ik beheer, deel ik met derden. Denk aan mijn accountant, het salarisadministratiekantoor of mijn hosting provider. Deze derden ontvangen persoonsgegevens van mij, maar wijzigen hier verder niets aan. Met dit soort partijen moet je hiervoor een verwerkersovereenkomst sluiten. Grote organisaties hebben meestal al een verwerkersovereenkomst klaarliggen. In een verwerkersovereenkomst staat omschreven wat er met de persoonsgegevens gebeurt en wie er verantwoordelijk is voor de gegevensverwerking. Een voorbeeld van een verwerkersovereenkomst vind je hier Let op: deze verwerkersovereenkomst heb ik niet juridisch gecheckt of laten checken, deze dient slechts als voorbeeld. Op internet zijn nog veel meer voorbeeldovereenkomsten te vinden. In mijn geval heb ik van mijn accoutant en salairsadministratiekantoor een verwerkersovereenkomst toegestuurd gekregen. En ook mijn hosting provider, Mijndomein, had al een verwerkersovereenkomst klaarliggen (klik hier voor de verwerkersovereenkomst van Mijndomein).  

Google Analytics AVG proof maken

Wanneer je je statistieken van je website bijhoudt in Google Analytics, moet je je Google Analytics account AVG proof maken. Dit doe je in vijf stappen. Ten eerste moet je de verwerkersovereenkomst van Google Analytics accepteren. De tweede stap is om Google niet het volledige IP-adres te laten verwerken, oftewel het IP-adres van je bezoeker te laten anonimiseren. De derde stap is dat je de opties voor het delen van gegevens met Google uit vinkt. Bij stap vier schakel je de opties uit voor het delen van gegevens met Google voor advertentiedoeleinden.  Als laatste check je of de functie voor gebruikers ID’s staat uitgeschakeld. Op de site van Autoriteit Persoonsgegevens wordt alles stap voor stap uitgelegd zodat je heel makkelijk jouw Google Analytics account AVG proof maakt.

Cookies op je site & cookieverklaring

Na het wijzigen van je instellingen bij Google Analytics ga je aan de slag met de cookieverklaring. Er zijn functionele cookies en analytische cookies. Cookies zijn tekstbestanden met je persoonlijke voorkeuren die worden opgeslagen op je laptop, telefoon of tablet. Voor functionele cookies heb je geen toestemming nodig van de bezoeker van je site, bij niet functionele cookies wel. Functionele cookies zijn er om je website goed te laten functioneren. Denk aan het gebruik van bepaalde plugins op je WordPress site. Niet functionele cookies zijn analytische cookies (zoals Google Analytics), social media cookies (share buttons op je site) en advertentie cookies. Andere sites maken weer onderscheid tussen functionele, analytische en tracking cookies. 

De niet functionele cookies die mijn site gebruikt zijn inderdaad o.a. Google Analytics. Je kunt als ondernemer ook na 25 mei gebruik blijven maken van Google Analytics, maar je moet wel op je site vermelden dat bezoek gemeten wordt. Dit kun je doen via een cookie- en privacyverklaring. Wanneer jij je Google Analytics account AVG proof hebt gemaakt, kun je in je cookieverklaring en privacybeleid vermelden dat je Google Analytics gebruikt, maar dat de gegevens geanonimiseerd zijn. Voorheen kon je een cookieverklaring op je site plaatsen die bezoekers eenmalig aanklikten. Daarna verdween de cookieverklaring. Dit mag niet meer. De cookieverklaring moet nu elke keer in beeld verschijnen zodat de bezoeker bij elk bezoek kan overwegen of hij/zij wel of niet de cookies accepteert. Dit heet een opt-out mogelijkheid (uitschrijfmogelijkheid). Een cookiewall mag al helemaal niet, iedereen moet je website kunnen bezoeken. Of hij/zij nu wel of niet de cookies accepteert. 

 

Privacyverklaring

Op je site moet behalve een cookieverklaring ook nog een privacyverklaring geplaatst worden. De privacyverklaring moet in begrijpelijke taal geschreven zijn. In de privacyverklaring vermeld je welke persoonsgegevens je gebruikt, op basis van welke grondslag en met welk doel, hoe lang je de persoonsgegevens bewaart, of je de gegevens deelt met derden, of jouw site gebruik maakt van Google Analytics of cookies, hoe de gegevens beveiligd worden, hoe de klant inzage kan krijgen in de aan aan jou verstrekte persoonsgegevens en hoe de klant deze kan laten verwijderen, oftewel wat de rechten van de klant zijn. Op de site van Veilig Internetten vind je een gratis privacyverklaring generator die je hiervoor kunt gebruiken.

Toestemming voor het verwerken van persoonsgegevens

Verzamel alleen de persoonsgegevens die je echt nodig hebt en vraag toestemming aan de klant voor het verwerken van deze gegevens. Op onze bedrijfswebsite heb ik een apart vakje gemaakt bij het contactformulier waarbij de bezoeker toestemming moet geven voor het verwerken en opslaan van de ingevulde gegevens. Dit vakje mag niet automatisch aangevinkt zijn. De klant moet deze actief, dus zelf, aanklikken voor akkoord.Nieuwsbrieven mag je natuurlijk nooit ongevraagd aan iemand versturen. Iemand moet zich zelf aanmelden voor het ontvangen van nieuwsbrieven. En iemand moet ook altijd de mogelijkheid hebben om zich uit te kunnen schrijven. 

Meer informatie over de AVG

Nog veel meer informatie over de AVG kun je vinden op de volgende site van de Autoriteit Persoonsgegevens: regelhulp voor bedrijven voor de AVG

Heb je zelf nog tips of aanvullingen om je bedrijf AVG proof te maken? Deel deze vooral onderaan in de reacties. 

mamalifestyleblog, mamablog , mamablogger, blog voor ondernemende moeders, eigen bedrijf, ZZP, mompreneur

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *