25 januari 2018Ondernemen
AVG ook voor freelancers en zzp’ers!
Vanaf 25 mei 2018 wordt de huidige Nederlandse Wet bescherming Persoonsgegevens (Wbp) vervangen door de nieuwe Europese privacywet Algemene Verordering Gegevensbescherming (AVG en in het Engels: GDPR). Wat betekent dit voor freelancers en zzp'ers.
Per wanneer gaat de AVG in?
Vanaf 25 mei 2018 wordt de huidige Nederlandse Wet bescherming Persoonsgegevens (Wbp) vervangen door de nieuwe Europese privacywet Algemene Verordering Gegevensbescherming (AVG en in het Engels: GDPR). Vanaf dat moment geldt in de hele Europese Unie dezelfde privacywetgeving. De Autoriteit Persoonsgegevens (AP) ziet toe op naleving van de AVG en kan bij overtreding van de regels forse boetes opleggen (maximaal 20 miljoen euro of 4% van de jaarlijkse omzet). De introductie van de AVG, is de grootste wijziging op het gebied van gegevensbescherming in ruim twintig jaar.
Voor wie is de AVG?
Veel zzp’ers en freelancers denken dat deze nieuwe privacywetgeving alleen voor grote bedrijven gevolgen heeft. Dat is niet juist! Iedereen die met privacygevoelige gegevens werkt, moet zich aan de regels van de AVG houden. Met persoonsgegevens bedoelen we alle gegevens die naar een persoon te herleiden zijn. Van naam- en adresgegevens tot bijvoorbeeld klantprofielen en medische data. Praktisch iedere ondernemer verwerkt persoonsgegevens, dus ook zzp’ers en freelancers.
Waarom deze nieuwe privacywet ?
Het hoofddoel van de AVG is om de controle over de eigen data terug te geven aan de rechtmatige eigenaar. Straks moeten al je klanten weten wat er met hun gegevens gebeurt. Ze moeten hun persoonsgegevens kunnen inzien en op hun verzoek door jou kunnen laten verwijderen.
Wat moet ik doen om aan deze nieuwe privacywet te voldoen?
Voor sommige activiteiten van je bedrijfsvoering zet je externe partijen in. Bijvoorbeeld: het bezorgen van de pakketjes voor je klanten door een pakketbezorgdienst, het voeren van je financiële administratie door een accountant of het gebruik van een softwarepakket in de cloud. Aan al die partijen geef je op dat moment persoonsgegevens door van je klanten of leveranciers. Het maakt daarbij niet uit of je drie klanten per jaar hebt of drieduizend. De regels zijn hetzelfde.
Op het moment dat je persoonsgegevens doorgeeft aan zo’n externe partij verplicht de privacywetgeving je om met die partij afspraken te maken over de bescherming van deze persoonsgegevens. Dit doe je in een verwerkersovereenkomst. In de huidige privacywetgeving (Wbp) noemen we dit een bewerkersovereenkomst. Bij de nieuwe privacywetgeving AVG horen meer verplichtingen voor ondernemers. Een ander belangrijk aandachtspunt is het inzagerecht van degene waarvan je informatie bijhoudt. Hieronder valt ook het recht op dataportabiliteit. Hierdoor kunnen klanten hun gegevens makkelijk opvragen om deze door te geven aan andere organisaties. Bij invoering van de AVG word je ook verplicht om een Privacy Impact Assessment (PIA) uit te voeren als je data verwerkt met een hoog privacy risico.
Onder de huidige privacywetgeving moet je al afspraken maken over de volgende punten:
- waarom de persoonsgegevens worden verwerkt;
- welke soort persoonsgegevens worden verwerkt;
- van welke soort personen de gegevens zijn (bijvoorbeeld: klanten, leerlingen, werknemers);
- hoe de persoonsgegevens op een passende manier worden beveiligd;
- hoe lang de externe partij de gegevens mag bewaren en hoe ze die gegevens kunnen teruggeven;
- of de externe partij de gegevens in het buitenland opslaat en onder welke voorwaarden dat dan gebeurt;
- of de externe partij op haar beurt weer andere partijen inschakelt die de gegevens ook ontvangen.
Onder de AVG komen de volgende nieuwe punten erbij:
- dat je bij de externe partij mag controleren of ze de gemaakte afspraken nakomen en hoe je deze controles uitvoert;
- afspraken over de geheimhouding van de persoonsgegevens;
- de bewaartermijnen, back-up en vernietiging van de persoonsgegevens;
- hoe de externe partij medewerking verleent aan de verzoeken om inzage, correctie en verwijdering die je ontvangt van je klanten;
- hoe de aansprakelijkheid tussen jou en de externe partij geregeld is voor schade als afspraken uit de verwerkersovereenkomst niet worden nagekomen.
Aandachtspunten AVG
- Heb je al een bewerkersovereenkomst afgesloten? Check of deze voldoet aan de nieuwe eisen voor een verwerkersovereenkomst zoals in de nieuwe privacywetgeving is opgenomen. Je kunt het lijstje hierboven als checklist gebruiken.
- Check met wie je een verwerkersovereenkomst moet afsluiten. De gemakkelijkste manier om dit na te gaan is het opstellen van een verwerkingenregister. Dit is een document waarin je bijhoudt welke persoonsgegevens je hebt, waar ze opgeslagen zijn en wat je aan beveiliging hebt gedaan.
- Let op: als je geen verwerkersovereenkomsten sluit, kun je een boete krijgen van maximaal 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet.
Informatie over de AVG
Op de website van de Autoriteit Persoonsgegevens (AP) vind je een uitgebreide toelichting op de nieuwe wet.
Download een AVG stappenplan en de minigids AVG. Of bekijk een film met uitleg over de AVG.
Zelf je risico’s beperken
Als ondernemer wil je natuurlijk, los van de AVG, altijd je risico’s beperken. Maar het helemaal uitsluiten van alle risico’s is helaas nooit mogelijk. Naast een bedrijfsaansprakelijkheidsverzekering biedt een cyberriskverzekering dekking voor specifieke risico’s die uit de AVG voortvloeien. Laat onze adviseurs je informeren over een bij jouw bedrijf passende verzekering.
Deel dit bericht