Op 25 mei 2018 is de AVG, ook wel GDPR genoemd, in werking getreden. Wat moet je daarvoor regelen als je een eenmanszaak hebt, ZZP’er bent of een MKB-ondernemer bent? Daarom wat meer uitleg over de AVG en een checklist voor ZZP en MKB.
Wat is AVG of GDPR?
AVG staat voor Algemene Verordening Gegevensbescherming.
GDPR staat voor General Data Protection Regulation.
Het zijn beide afkortingen voor hetzelfde. De AVG of GDPR is de nieuwe Europese privacywet die twee jaar geleden al werd aangekondigd, zodat iedereen de tijd had om zich er op aan te passen en eventueel bedrijfsprocessen anders in te richten. De verordening is dus al in werking getreden, maar wordt pas 25 mei 2018 van kracht. Voor alle bedrijven en instanties die persoonsgegevens verzamelen zal er iets veranderen.
Checklist privacy ZZP/MKB
Een hoop zaken moesten onder de huidige privacywet, de Wet bescherming persoonsgegevens, ook al geregeld worden. Echt nieuw is de AVG dus niet, maar zorg in elk geval voor het volgende:
- Update de privacyverklaring. Deze moet nu meer informatie bevatten en gemakkelijker te lezen zijn.
- Beveilig alle persoonsgegevens goed. Niet alleen met wachtwoorden, maar bijvoorbeeld ook door encryptie.
- Update verwerkersovereenkomsten met partijen die voor jou gegevens opslaan, zoals een hostingprovider en bedrijven waar je SaaS-producten afneemt.
- Zorg bij voorkeur dat gegevens binnen de EU staan opgeslagen of anders bij een bedrijf dat de gegevens voldoende beschermd en waar de gegevens niet zomaar door verkeerde overheden kunnen worden opgevraagd.
-
Privacyverklaring€ 69,00
Soms extra verplichtingen
In de volgende situaties heb je extra verplichtingen:
- Wanneer je bijzondere gegevens verzamelt, zoals medische gegevens, ras, geloofsovertuiging, seksuele voorkeur.
- Wanneer je grote hoeveelheden gegevens verzamelt
- Wanneer je structureel gegevens verzamelt
- Het verzamelen van gegevens een kernactiviteit is
Bedrijven die handelen in databases met persoonsgegevens hebben daardoor bijvoorbeeld extra verplichtingen. Zorgverleners en coaches ook. Zo valt er nog wel veel meer te verzinnen.
Een kleine onderneming
Als ZZP’er ben je natuurlijk maar alleen. MKB-bedrijven zijn ook niet al te groot, met weinig personeel. Is de AVG dan toch van toepassing?
Ja, zodra je persoonsgegevens verwerkt is de AVG van toepassing. Dus alleen al het ontvangen van e-mails van klanten, het noemen van namen in offertes of facturen, zorgt ervoor dat je aan de AVG moet voldoen.
Verwerk je geen bijzondere persoonsgegevens en geen grote hoeveelheden, dan heb je gelukkig geen Functionaris Gegevensbescherming nodig en hoef je ook aan een aantal andere extra zware vereisten niet te voldoen, maar zorg wel dat de basis op orde is.
Marketing en privacy
Je mag profielen maken van de gegevens die je hebt, maar deze mogen niet gebruikt worden voor automatische besluitvorming. Je mag dus niet op basis van een profiel software laten besluiten dat de een wel en de ander iets niet ontvangt, bijvoorbeeld.
Verder mogen gegevens niet voor andere doeleinden gebruikt worden waarvoor ze zijn verkregen. Marketing kan overigens wel een gerechtvaardigd doel zijn. Is er sprake van direct marketing, retargeting en dat soort zaken, wees er dan van bewust dat als iemand vraagt daarmee te stoppen, je de verplichting hebt de persoon niet meer op deze manier te benaderen.
Wil je weten wat jij allemaal moet doen? Wij kunnen je daarover adviseren en waar nodig meehelpen de documenten op orde te krijgen.
Hulp bij nieuwe privacyverplichtingen