Checklist AVG/GDPR voor ZZP en MKB

De tijd begint te dringen. Nog zo’n 2,5 maand voor de AVG van kracht wordt en de Autoriteit Persoonsgegevens boetes uit mag gaan delen (nee, zullen ze vast niet meteen doen en anders vast eerst bij de grote jongens, maar toch). Wat kan en moet je doen om aan de nieuwe privacywet te voldoen?

checklist AVG GDPR voor ZZP en MKB

Wat is AVG of GDPR?

AVG staat voor Algemene Verordening Gegevensbescherming.
GDPR staat voor General Data Protection Regulation.

Het zijn beide afkortingen voor hetzelfde. De AVG of GDPR is de nieuwe Europese privacywet die twee jaar geleden al werd aangekondigd, zodat iedereen de tijd had om zich er op aan te passen en eventueel bedrijfsprocessen anders in te richten. De verordening is dus al in werking getreden, maar wordt pas 25 mei 2018 van kracht. Voor alle bedrijven en instanties die persoonsgegevens verzamelen zal er iets veranderen.

Checklist privacy ZZP/MKB

Een hoop zaken moesten onder de huidige privacywet, de Wet bescherming persoonsgegevens, ook al geregeld worden. Echt nieuw is het dus niet, maar zorg in elk geval voor het volgende:

  • Update de privacyverklaring. Deze moet nu meer informatie bevatten en gemakkelijker te lezen zijn.
  • Beveilig alle persoonsgegevens goed. Niet alleen met wachtwoorden, maar bijvoorbeeld ook door encryptie.
  • Update verwerkersovereenkomsten met partijen die voor jou gegevens opslaan, zoals een hostingprovider en bedrijven waar je SaaS-producten afneemt.
  • Zorg bij voorkeur dat gegevens binnen de EU staan opgeslagen of anders bij een bedrijf dat de gegevens voldoende beschermd en waar de gegevens niet zomaar door verkeerde overheden kunnen worden opgevraagd.

Soms extra verplichtingen

In de volgende situaties heb je extra verplichtingen:

  • Wanneer je bijzondere gegevens verzamelt, zoals medische gegevens, ras, geloofsovertuiging, seksuele voorkeur.
  • Wanneer je grote hoeveelheden gegevens verzamelt
  • Wanneer je structureel gegevens verzamelt
  • Het verzamelen van gegevens een kernactiviteit is

Bedrijven die handelen in databases met persoonsgegevens hebben daardoor bijvoorbeeld extra verplichtingen. Zorgverleners en coaches ook. Zo valt er nog wel veel meer te verzinnen.

Marketing en privacy

Je mag profielen maken van de gegevens die je hebt, maar deze mogen niet gebruikt worden voor automatische besluitvorming. Je mag dus niet op basis van een profiel software laten besluiten dat de een wel en de ander iets niet ontvangt, bijvoorbeeld.

Verder mogen gegevens niet voor andere doeleinden gebruikt worden waarvoor ze zijn verkregen. Marketing kan overigens wel een gerechtvaardigd doel zijn. Is er sprake van direct marketing, retargeting en dat soort zaken, wees er dan van bewust dat als iemand vraagt daarmee te stoppen, je de verplichting hebt de persoon niet meer op deze manier te benaderen.

Wil je weten wat jij allemaal moet doen? Wij kunnen je daarover adviseren en waar nodig meehelpen de documenten op orde te krijgen.
Hulp bij nieuwe privacyverplichtingen

Comments

  1. Hey Charlotte,
    Ik heb een vraag. Hoe zit het eigenlijk met reacties op een website/ blog.
    Stel een persoon plaatst een reactie en vult deze dan ook in met haar of zijn gegevens. Moet je daar dan ook toestemming voor vragen dat je deze gegevens bewaard? Want hoe lang mag je dan een reactie bewaren?

    • Hi Sanne, de privacyverklaring is natuurlijk wel op die personen van toepassing. Je zou dan kunnen zeggen dat de reactie zo lang blijft staan als ook de blogpost online blijft staan. Je hebt geen extra toestemming nodig. Wie immers gegevens invult om een reactie te plaatsen, weet al dat die gepubliceerd zullen worden. Je mag die gegevens verwerken met het doel de reactie te kunnen publiceren.

      • Dankjewel, heb je voor die reacties ook een toestemmingsregister nodig? En als een persoon een mail naar je stuurt, heb je dan ook een toestemmingsregister nodig?

        • Je hebt niet per se een register nodig waarin je opslaat dat er toestemming is gegeven. De toestemming blijkt in dit geval uit de handeling zelf. Een verwerkersregister heb je alleen nodig als je veel en/of bijzondere gegevens opslaat.

  2. Beste Charlotte,

    Interessante blog! in jouw blog en op de site van de AVG staat dat goed beveiligen noodzakelijk is, maar wat wordt er verstaan onder een goede beveiliging? en wat moet je minimaal geregeld hebben om hieraan te voldoen?

    • Hi Nienke, zeer begrijpelijke vraag. Vervelende is dat hier niet een vaste maatstaf voor is, omdat ze dit juist techniekneutraal hebben willen formuleren en het ook wel afhangt van hoe gevoelig de gegevens zijn. Bankgegevens en wachtwoorden etc. moeten natuurlijk wel beter beschermd worden dan alleen een voor- en achternaam. In principe moet je uitgaan van encryptie en beveiliging met goede wachtwoorden. Voorkom bijvoorbeeld dat je gegevens in een excelbestand hebt staan en iedereen daar bij kan als ze jouw computer in handen krijgen (waar je waarschijnlijk maar een eenvoudig wachtwoord voor gebruikt).

  3. Bedankt voor het delen Charlotte!

    Wat is het toch met Europese wetgeving dat het vaak door het voltallige bedrijfsleven als onduidelijk, verwarrend, angstaanjagend en ondoorzichtig wordt ervaren? ūüėČ Doen ze het express? Zijn er zoveel uitzonderingen te bedenken, dat ze het maar zo algemeen mogelijk maken?

    Het is hier in de comments al eerder deels benoemt: vooral in de bloggerscommunity is deze wetgeving een hot topic. Wat het vooral lastig maakt voor bloggers, is dat ze geconfronteerd lijken te worden met bedrijfswetgeving, terwijl ze hobbymatig bezig zijn. Veel hebben geen KvK nummer, zijn niet BTW-plichtig en zijn zich eigenlijk van geen ‘kwaad’ bewust.

    Een voorbeeld dat ik wel eens gehoord heb: “het is alsof je BUMA rechten moet afdragen als je op zolder gitaar speelt voor je zoontje”.

    Heb jij een idee hoe het zit? Geldt de wetgeving voor bedrijfsmatige website, of voor alle?
    Moet een mama- of travelblogger opeens een privacyverklaring hebben voor gegevens waar ze nooit iets mee doen?

    • Goed dat je dat vraagt. Het is zeker niet zo dat de Wbp (huidige privacywet) of de AVG (vanaf 25 mei 2018) voor elke blogger geldt. Voor de echte hobbyblogger geldt dat het al snel onder huishoudelijke activiteit zal vallen.

      Het hangt dus meer af van wat je doet met gegevens, dan wie je bent.
      Wanneer er adressen verzameld worden voor een nieuwsbrief, zal dat waarschijnlijk al niet meer onder huishoudelijk vallen. Ook reacties onder blogposts vallen niet meteen onder de uitzondering. Dan zou je dus zelfs als hobbyblogger een privacyverklaring moeten hebben.

  4. Hoi Charlotte,
    Dank je wel voor je blogs.
    Ik ben er al aardig ingedoken allemaal. Ik heb alleen een vraag over bestaande mensen in ons klantenbestand. We hebben ze ooit gevraagd om onze digitale nieuwsbrieven te mogen sturen. Maar niet max. zoveel keer etc. En we verzenden ook wel eens een mail over de veranderingen in ons bedrijf of een vacature die vrijkomt. Mogen we die mensen beide soorten berichten blijven sturen of moeten we opnieuw toestemming vragen?

    En zit er verschil in het echt reclame-achtig sturen van ons nieuwe aanbod aan activiteiten/trainingen en het op de hoogte brengen van onze oud-leerlingen over onze ontwikkelingen binnen ons geheel.

    • Je mag bestaande klanten mailen over zaken die voldoende in verband staan met dat wat ze eerder hebben afgenomen. Aanverwante cursussen bijvoorbeeld. Ze moeten wel een opt-out mogelijkheid hebben. Je mag altijd informatieve e-mails sturen over bijvoorbeeld een verhuizing, nieuw telefoonnummer en dat soort praktische zaken. Vacatures en onderwerpen waar oud-leerlingen eerder ook nooit iets mee te maken hebben gehad, zijn geen zaken waar je ze nu over zou mogen mailen. Overigens is deze regel niet nieuw onder de AVG hoor, dat was eigenlijk al zo. Wel is de toestemming strenger geworden.

  5. Paul Harmelink says:

    Beste Charlotte,

    Ik heb een vraag:
    Ik maak foto’s van bijvoorbeeld een hardloop evenement en plaats deze dan op een verkoopsite http://www.oypo.nl Deelnemers kunnen dan de foto kopen. Ik heb verder geen namen en dergelijke en deze worden ook niet vermeld. Dit is nu openbaar terrein, mag ik dit dan na 25 mei nog doen? Het is niet mogelijk om iedereen toestemming te vragen. Ik kan dit niet echt terug vinden?

  6. Hallo Charlotte, zeer bruikbare video. Dank je wel!
    Voor wat betreft databescherming, hoor ik nu regelmatig dat er verzekeringen aangeboden worden tegen datalekken/cybercrime. Behalve dat het weer een soms prijzige verzekering is, is mijn vraag of dit ook echt nodig is als eenmanszaak. Wat is jouw visie hierop?

    • Een verzekering dekt alleen een financieel risico en zou dan de boete betalen die jij van het AP opgelegd krijgt. Zegt dus niets over je beveiliging. Ik zou het geld niet steken in de verzekering, maar in de beveiliging zelf. Veel prettiger voor jezelf en je klanten en contacten.

  7. Hoi Charlotte,
    Wat een fijne blogs en handige informatie allemaal. Dank je wel!!

    Ik vroeg me af of je zo’n verwerkingsregister dus ook moet bijhouden met een webwinkel als je alleen de gegevens vraagt die je nodig hebt om de bestelling te verwerken. Mensen kunnen een account aanmaken als ze willen, hoeft niet. Voor de nieuwsbrief kunnen ze zich aanmelden met een formuliertje als ze daar zelf moeite voor doen.

  8. Erwin Bodde says:

    Hallo Charlotte,

    Ik ben als gevorderd amateur als sportfotograaf actief en sta vrijwel ieder weekend langs de lijn bij diverse sporten.
    Mijn foto’s verkoop ik via een derde partij (Oypo) en de foto’s worden ook met regelmaat gebruikt √©n gepubliceerd op internet door diverse sportbonden. Ook heb ik een eigen website, waarop ik geen foto’s publiceer maar wel hyperlinks naar Oypo.
    Ik ben echter géén bedrijf en geef mijn met fotografie verkregen inkomsten op in box 3 bij de belastingaangifte.

    In hoeverre raakt de AVG mij? En wat moet ik regelen?

  9. Paula van Gemen says:

    Dag Charlotte,

    Wat schrijf je fijn en helder. Ik twijfel of ik een mail moet sturen om mensen te laten opt-innen voor een van mijn diensten.

    Het zit zo: ik heb een online training die 26 weken duurt. Mensen krijgen elke week 1 mail met daarin een link naar de nieuwe les. Die training is 100 euro waard maar heb ik als promotie nu gratis aangeboden. Mensen hebben zich hier zelf voor aangemeld met een opt-in (Aweber). Uitschrijven kan altijd. Ze krijgen geen andere mails dan deze 26 lessen + eventuele nieuwe lessen als ik die maak.

    Moet ik nou wel of geen nieuwe opt-in sturen?

    1. Wel een opt-in: dan is het risico dat ze vergeten te klikken op ‘ja ik wil mails blijven ontvangen’ aanwezig en kom ik in feite mijn belofte (26 trainingslessen) niet na. Ergo: kan ik mijn dienst niet meer leveren.

    2. Geen opt-in: dan is er een risico dat het niet AVG-proof is. Of zie ik dat verkeerd?

    Ik ben heel benieuwd hoe jij dit ziet.
    Heel hartelijk dank alvast voor jouw reactie.

    Vrolijke groet!
    Paula

  10. Hallo Charlotte,

    Hoe valt bijvoorbeeld Google Analytics in het AVG?
    We willen toch weten hoe onze bezoekers op onze webpagina komen.

Trackbacks

  1. […] Bonus 2: AVG/GDPR wetgeving¬†Bij het verzamelen en bewaren van contactgegevens is het belangrijk dat je je aan de AVG / GDPR wetgeving houdt. Meer informatie hierover via Charlotte‚Äôs Law charlotteslaw.nl/2018/01/checklist-avg-gdpr-zzp-en-mkb/ […]

Speak Your Mind

*

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.