Misschien heb je het je nog niet gerealiseerd, maar jij als zzp'er hebt ook te maken met de nieuwe privacywetgeving. De nieuwe wet, de Algemene Verordening Gegevensbescherming, AVG dus, gaat op 25 mei in. Dat is, nu ik dit schrijf, nog maar 23 dagen!
Misschien heb je de afgelopen weken mailtjes van grote bedrijven gehad, bijvoorbeeld Twitter en Facebook, dat zij hun voorwaarden aanpassen aan de nieuwe wet. Ze doen soms net alsof zij hun privacybeleid hebben aangescherpt omdat zij privacy belangrijk vinden en lief voor jou willen zijn, maar laat je niet bedotten: Dit moeten ze gewoon hoor ;)
Nou, je hebt geluk, Joep en ik zijn er voor ons bedrijf jodiBooks ook druk mee bezig. Ik kan je er denk ik wel wat over vertellen. Ik ben geen jurist, maar ook van ons wordt verwacht dat we wel op zijn minst begrijpen waar het om draait. En we moeten ons aan de wet houden natuurlijk. Dus heb ik me er wat in verdiept. Als ik iets schrijf wat niet klopt, dan zou ik het waarderen als je het me laat weten. Eventuele correcties vind je onderaan deze post.
Heel kort samengevat, draait het bij de AVG om het volgende: Kies jij er als zzp'er voor om naam, adres, telefoonnummer, e-mailadres en rekeningnummer van je klanten te bewaren? Dan ben jij volgens de AVG een zogenaamde Verwerkingsverantwoordelijke. Lang woord, maar heel simpel: Jij bent verantwoordelijk, want jij kiest welke gegevens je bewaart en waarvoor je ze bewaart. Ja, ook als de belastingdienst wil dat je je facturen 7 jaar bewaart, dan nog blijf jij verantwoordelijk voor die gegevens. Ze staan tenslotte in jouw archiefkast.
Vaak is het 'waarvoor'heel simpel, bijvoorbeeld:
Als het goed is verzamel jij die gegevens dus voor een terecht doel en dan valt het nog wel mee, die AVG. Ook als je een e-mailadres of telefoonnummer van je klant hebt, omdat je hem moet mailen of bellen als je klaar bent met uitvoeren van je werk, hoef je niet in paniek te raken. Ja, je moet wel iets doen om je aan de AVG wetgeving te houden, maar er is geen reden voor paniek.
Om het nog wat meer in perspectief te zetten: Pas als jij gegevens opslaat die gevoelig zijn, zoals informatie over iemands ras, godsdienst of gezondheid, moet je voorzichtig zijn (de volledige lijst vind je hier). Je hebt dan zwaardere verplichtingen. Werk jij met zulke gegevens of twijfel je of sommige gegevens in de categorie 'bijzonder' of 'gevoelig' vallen? In zo'n geval raad ik je zeker aan om even met de Autoriteit Persoonsgegevens te bellen! Zij hebben mij heel vriendelijk te woord gestaan toen ik bezig was dit uit te pluizen. Kort samengevat: Als je geen gevoelige of bijzondere gegevens opslaat, dan zijn de gevolgen van de AVG minder ingrijpend.
Dus, als jij bruidsfotograaf bent of kapster en jij doodgewoon je werk doet zonder dat je met bijzondere of gevoelige gegevens te maken hebt, dan valt het als het goed is allemaal wel mee. (Notitie: Een foto is ook een persoonsgegeven.)
Nou, zoals ik al zei wil de AVG ervoor zorgen dat je alleen gegevens van personen bewaart die je mag bewaren. Je mag dus niet zomaar om iemands geboortedatum vragen. Sterker nog, als jouw klant je een e-mailadres van een ander persoon geeft, mag je die niet zomaar opslaan.
Bovendien is het de bedoeling dat de gegevens die jij bewaart, zorgvuldig door jou worden behandeld en niet op straat komen te liggen. Je moet ze verwijderen als je ze niet meer nodig hebt of als de persoon dat vraagt, en je mag ze niet met anderen delen zonder toestemming van deze persoon. Dat betekent dat de AVG jou simpelweg verplicht om daar eens goed over na te denken en aan jouw klanten te laten weten wat je nou eigenlijk met hun gegevens doet.
Als jij als zzp'er alleen die gegevens opslaat:
en die gegevens zijn niet bijzonder, niet gevoelig en niks met strafrecht (ja, die categorie heb je ook nog), dan is het allemaal wel te overzien. Ja, je moet wel iets gaan doen, dat wel!
Zorg ervoor dat je alleen 'gewone' gegevens opslaat die onder A, B of C vallen.
"Okee, gedaan. En nu?" Nu heb je een privacybeleid nodig. In dit document schrijf je het volgende op:
Dit document mag in gewone mensen taal. Sterker nog, het moet in gewone taal! De AVG zegt dat je leesbare en begrijpelijke teksten moet gebruiken. Dus dit kun je prima zelf doen. Wij hebben hem ook gewoon zelf geschreven. (Wij gaan hem wel door iemand na laten lezen, dat wel.)
Dit privacybeleid is voor jouw (toekomstige) klanten. Je kunt het het beste altijd meesturen in je mails (als je om gegevens vraagt) en offertes. En jij moet je er natuurlijk aan houden: Na zeven jaar verwijder je je oude facturen. En als je klant geen klant meer is, verwijder je zijn gegevens uit je adresboek.
Nou, dat was het grootste ding van stap 1, maar er is nog één ding waar je voor nu even bij stil moet staan. Gebruik jij online diensten van anderen waar je de gegevens van je klant in opslaat? Je wil nu misschien 'nee' antwoorden, maar wat dacht je van:
De AVG zegt grofweg het volgende: Jij als Verwerkingsverantwoordelijke, kan anderen inschakelen om jouw gegevens voor jou op te slaan. Je webhoster of online facturatiepakket, bijvoorbeeld. Die anderen (Verwerkers) zijn niet de eindverantwoordelijke voor de gegevens, dat ben jij zelf. Maar jullie zijn samen door de AVG verplicht om een overeenkomst met elkaar te sluiten.
Deze overeenkomst (Verwerkingsovereenkomst) moet aan een aantal regels voldoen. Welke, dat ga ik hier niet samenvatten. (Psst…Ik heb het toch stiekem opgeschreven in een tweede blogpost ;) )
Waarom niet?
Nou, de AVG zegt dat het niet alleen jouw verantwoordelijkheid is om een overeenkomst met die andere partijen te sluiten. Dat is ook de verantwoordelijkheid van die ander. Jouw webhoster, die waarschijnlijk duizenden klanten bedient, zit er waarschijnlijk niet zo op te wachten om met elke klant een losse verwerkersovereenkomst te sluiten. De kosten voor zijn jurist zouden al snel de pan uit rijzen!
Die andere partijen, zoals jouw webhoster, gaan jou dus waarschijnlijk zo'n Verwerkersovereenkomst voorleggen. Het is bijna 25 mei, dus waarschijnlijk hebben ze dat al gedaan of zijn ze er mee bezig. Dus daar hoef je niet wakker van te liggen.
Het is verstandig om die verwerkersovereenkomst die je krijgt toegestuurd, door te lezen. Ben je het eens met wat ze geschreven hebben?
Nou is het verhuizen van je website een heel gedoe, daar heb je vast geen zin in, dus je klikt vast gewoon op "Akkoord". Maar vergeet niet: Jij bent de Verwerkersverantwoordelijke, dus je moet eigenlijk wel weten wat er in staat. De AVG heeft heel veel regels opgesteld, dus veel ruimte voor gekke dingen is er niet. Maar toch… lees hem even. Op zijn minst schrijven ze op wat ze doen en waarom en is dat weer inspiratie voor jouw eigen privacybeleid :)
Oh jee. Tja, hier is het nou natuurlijk deels om te doen. Liefst voorkom je een datalek, daar zijn de regels nou net voor. En als het goed is heb je nooit met stap 3 te maken. Maar wat als je laptop gestolen wordt, of je telefoon? Of wat als de webhoster jou mailt dat er iets is foutgegaan? Als Verwerkersverantwoordelijke moet jij op zo'n moment besluiten of je volgens de AVG verplicht bent de Toezichthouder (=Autoriteit Persoonsgegevens) in te lichten. Als je geen gevoelige of bijzondere informatie opslaat, is dat niet altijd nodig. Bel ze gewoon even, dan weet je waar je aan toe bent. Zij kunnen je vertellen wat je moet doen als het onverhoopt toch mis is gegaan.
Zoals je ziet, het is allemaal zo'n ramp niet. Ik hoop dat ik met deze post de 'gewone' zzp'er een beetje heb kunnen gerust stellen. Ik dacht eerst ook dat het allemaal heel ingewikkeld zou worden, maar het valt voor veel zzp'ers allemaal best mee, hoor. Het is gezond verstand: Vogel uit welke persoonsgegevens jij in handen krijgt, schrijf op hoe je daarmee om zult gaan en houd je daar aan.
PS. Na meerdere vragen over de verwerkersovereenkomst heb ik een vervolg geschreven: "Eerste hulp bij de verwerkersovereenkomst voor zzp'ers".
PPS. Het privacy statement kan als ik het goed begrijp ook dubbel dienst doen als 'verwerkingsregister'. In de lijst hierboven heb ik bij de privaycverklaring alles opgenomen wat een zzp-er als het goed is ook in zijn register moet hebben staan.
De Autoriteit Persoonsgegevens heeft een "AVG in een notendop" document gemaakt, wat erg handig is. Kijk eens hier: AVG in een notendop