Valt best mee, die AVG

De nieuwe privacywetgeving (AVG), wat betekent dat voor jou als zzp'er?

Misschien heb je het je nog niet gerealiseerd, maar jij als zzp'er hebt ook te maken met de nieuwe privacywetgeving. De nieuwe wet, de Algemene Verordening Gegevensbescherming, AVG dus, gaat op 25 mei in. Dat is, nu ik dit schrijf, nog maar 23 dagen!

Misschien heb je de afgelopen weken mailtjes van grote bedrijven gehad, bijvoorbeeld Twitter en Facebook, dat zij hun voorwaarden aanpassen aan de nieuwe wet. Ze doen soms net alsof zij hun privacybeleid hebben aangescherpt omdat zij privacy belangrijk vinden en lief voor jou willen zijn, maar laat je niet bedotten: Dit moeten ze gewoon hoor ;)

"Help! Hoe zit dat? Moet ik wat? En zo ja, wat moet ik doen dan?"

Nou, je hebt geluk, Joep en ik zijn er voor ons bedrijf jodiBooks ook druk mee bezig. Ik kan je er denk ik wel wat over vertellen. Ik ben geen jurist, maar ook van ons wordt verwacht dat we wel op zijn minst begrijpen waar het om draait. En we moeten ons aan de wet houden natuurlijk. Dus heb ik me er wat in verdiept. Als ik iets schrijf wat niet klopt, dan zou ik het waarderen als je het me laat weten. Eventuele correcties vind je onderaan deze post.

Heel kort samengevat, draait het bij de AVG om het volgende: Kies jij er als zzp'er voor om naam, adres, telefoonnummer, e-mailadres en rekeningnummer van je klanten te bewaren? Dan ben jij volgens de AVG een zogenaamde Verwerkingsverantwoordelijke. Lang woord, maar heel simpel: Jij bent verantwoordelijk, want jij kiest welke gegevens je bewaart en waarvoor je ze bewaart. Ja, ook als de belastingdienst wil dat je je facturen 7 jaar bewaart, dan nog blijf jij verantwoordelijk voor die gegevens. Ze staan tenslotte in jouw archiefkast.

Vaak is het 'waarvoor'heel simpel, bijvoorbeeld:

• Je moet facturen sturen en die facturen bewaren.
• Je moet afspraken met je klanten kunnen maken.
• Je ziet hun rekeningnummer omdat ze jou (hopelijk..) betalen.

Als het goed is verzamel jij die gegevens dus voor een terecht doel en dan valt het nog wel mee, die AVG. Ook als je een e-mailadres of telefoonnummer van je klant hebt, omdat je hem moet mailen of bellen als je klaar bent met uitvoeren van je werk, hoef je niet in paniek te raken. Ja, je moet wel iets doen om je aan de AVG wetgeving te houden, maar er is geen reden voor paniek.

Om het nog wat meer in perspectief te zetten: Pas als jij gegevens opslaat die gevoelig zijn, zoals informatie over iemands ras, godsdienst of gezondheid, moet je voorzichtig zijn (de volledige lijst vind je hier). Je hebt dan zwaardere verplichtingen. Werk jij met zulke gegevens of twijfel je of sommige gegevens in de categorie 'bijzonder' of 'gevoelig' vallen? In zo'n geval raad ik je zeker aan om even met de Autoriteit Persoonsgegevens te bellen! Zij hebben mij heel vriendelijk te woord gestaan toen ik bezig was dit uit te pluizen. Kort samengevat: Als je geen gevoelige of bijzondere gegevens opslaat, dan zijn de gevolgen van de AVG minder ingrijpend.

Dus, als jij bruidsfotograaf bent of kapster en jij doodgewoon je werk doet zonder dat je met bijzondere of gevoelige gegevens te maken hebt, dan valt het als het goed is allemaal wel mee. (Notitie: Een foto is ook een persoonsgegeven.)

"Wat is er dan allemaal aan de hand met die AVG? Wat betekent dat voor mij?"

Nou, zoals ik al zei wil de AVG ervoor zorgen dat je alleen gegevens van personen bewaart die je mag bewaren. Je mag dus niet zomaar om iemands geboortedatum vragen. Sterker nog, als jouw klant je een e-mailadres van een ander persoon geeft, mag je die niet zomaar opslaan.

Bovendien is het de bedoeling dat de gegevens die jij bewaart, zorgvuldig door jou worden behandeld en niet op straat komen te liggen. Je moet ze verwijderen als je ze niet meer nodig hebt of als de persoon dat vraagt, en je mag ze niet met anderen delen zonder toestemming van deze persoon. Dat betekent dat de AVG jou simpelweg verplicht om daar eens goed over na te denken en aan jouw klanten te laten weten wat je nou eigenlijk met hun gegevens doet.

Als jij als zzp'er alleen die gegevens opslaat:

• A) waar je wettelijk toe verplicht bent (factuur met adres zeven jaar bewaren voor de fiscus) OF
• B) waar je toestemming voor hebt van de persoon zelf (iemand die vrijwillig jou zijn e-mailadres geeft voor een nieuwsbrief) OF
• C) omdat je een contract met je klant hebt waarin dit vermeld staat (er staat bijvoorbeeld in dat je hem moet bellen of e-mailen als het werk klaar is)

en die gegevens zijn niet bijzonder, niet gevoelig en niks met strafrecht (ja, die categorie heb je ook nog), dan is het allemaal wel te overzien. Ja, je moet wel iets gaan doen, dat wel!

Stap 1, het waarom

Zorg ervoor dat je alleen 'gewone' gegevens opslaat die onder A, B of C vallen.
"Okee, gedaan. En nu?" Nu heb je een privacybeleid nodig. In dit document schrijf je het volgende op:

• Precies welke gegevens je verwerkt en waarom (A, B of C) en voor hoe lang je ze bewaart.
• Een verklaring dat je niet méér gegevens verwerkt dan je nodig hebt om je klant te helpen. Verklaar ook dat je de gegevens met niemand deelt zonder hun toestemming.
• Een verklaring dat mensen het recht hebben om hun gegevens in te zien, te wijzigen, te wissen en van jou te ontvangen welke je hebt. En een verklaring dat ze een klacht kunnen indienen bij de Autoriteit Persoonsgegevens (AP).
• Wat jij doet om de gegevens te beveiligen. (Denk aan wachtwoorden van je laptop, telefoon en Wifi. Maak je backups? Hebben die een wachtwoord? Dat soort dingen.)

Dit document mag in gewone mensen taal. Sterker nog, het moet in gewone taal! De AVG zegt dat je leesbare en begrijpelijke teksten moet gebruiken. Dus dit kun je prima zelf doen. Wij hebben hem ook gewoon zelf geschreven. (Wij gaan hem wel door iemand na laten lezen, dat wel.)

Dit privacybeleid is voor jouw (toekomstige) klanten. Je kunt het het beste altijd meesturen in je mails (als je om gegevens vraagt) en offertes. En jij moet je er natuurlijk aan houden: Na zeven jaar verwijder je je oude facturen. En als je klant geen klant meer is, verwijder je zijn gegevens uit je adresboek.

"Okee, en nu? Ben ik er nou dan?"

Nou, dat was het grootste ding van stap 1, maar er is nog één ding waar je voor nu even bij stil moet staan. Gebruik jij online diensten van anderen waar je de gegevens van je klant in opslaat? Je wil nu misschien 'nee' antwoorden, maar wat dacht je van:

• Je website met contactformulier? Heb je een webhoster?
• Je e-mailadres en het adresboek wat je daarin hebt opgeslagen? Gebruik je Gmail, Hotmail of andere online e-maildiensten?
• Je telefoonboek en agenda in je smartphone? Wordt dit gesynchroniseerd met bijvoorbeeld Google of Apple?
• Heb je een administratiepakket of facturatiepakket?

De AVG zegt grofweg het volgende: Jij als Verwerkingsverantwoordelijke, kan anderen inschakelen om jouw gegevens voor jou op te slaan. Je webhoster of online facturatiepakket, bijvoorbeeld. Die anderen (Verwerkers) zijn niet de eindverantwoordelijke voor de gegevens, dat ben jij zelf. Maar jullie zijn samen door de AVG verplicht om een overeenkomst met elkaar te sluiten.

Deze overeenkomst (Verwerkingsovereenkomst) moet aan een aantal regels voldoen. Welke, dat ga ik hier niet samenvatten. (Psst…Ik heb het toch stiekem opgeschreven in een tweede blogpost ;) )

Waarom niet? 
Nou, de AVG zegt dat het niet alleen jouw verantwoordelijkheid is om een overeenkomst met die andere partijen te sluiten. Dat is ook de verantwoordelijkheid van die ander. Jouw webhoster, die waarschijnlijk duizenden klanten bedient, zit er waarschijnlijk niet zo op te wachten om met elke klant een losse verwerkersovereenkomst te sluiten. De kosten voor zijn jurist zouden al snel de pan uit rijzen!

Die andere partijen, zoals jouw webhoster, gaan jou dus waarschijnlijk zo'n Verwerkersovereenkomst voorleggen. Het is bijna 25 mei, dus waarschijnlijk hebben ze dat al gedaan of zijn ze er mee bezig. Dus daar hoef je niet wakker van te liggen.

Stap 2, lees de verwerkersovereenkomst van je verwerkers

Het is verstandig om die verwerkersovereenkomst die je krijgt toegestuurd, door te lezen. Ben je het eens met wat ze geschreven hebben?

Nou is het verhuizen van je website een heel gedoe, daar heb je vast geen zin in, dus je klikt vast gewoon op "Akkoord". Maar vergeet niet: Jij bent de Verwerkersverantwoordelijke, dus je moet eigenlijk wel weten wat er in staat. De AVG heeft heel veel regels opgesteld, dus veel ruimte voor gekke dingen is er niet. Maar toch… lees hem even. Op zijn minst schrijven ze op wat ze doen en waarom en is dat weer inspiratie voor jouw eigen privacybeleid :)

Stap 3, datalek

Oh jee. Tja, hier is het nou natuurlijk deels om te doen. Liefst voorkom je een datalek, daar zijn de regels nou net voor. En als het goed is heb je nooit met stap 3 te maken. Maar wat als je laptop gestolen wordt, of je telefoon? Of wat als de webhoster jou mailt dat er iets is foutgegaan? Als Verwerkersverantwoordelijke moet jij op zo'n moment besluiten of je volgens de AVG verplicht bent de Toezichthouder (=Autoriteit Persoonsgegevens) in te lichten. Als je geen gevoelige of bijzondere informatie opslaat, is dat niet altijd nodig. Bel ze gewoon even, dan weet je waar je aan toe bent. Zij kunnen je vertellen wat je moet doen als het onverhoopt toch mis is gegaan.

Stap 4, relax...

Zoals je ziet, het is allemaal zo'n ramp niet. Ik hoop dat ik met deze post de 'gewone' zzp'er een beetje heb kunnen gerust stellen. Ik dacht eerst ook dat het allemaal heel ingewikkeld zou worden, maar het valt voor veel zzp'ers allemaal best mee, hoor. Het is gezond verstand: Vogel uit welke persoonsgegevens jij in handen krijgt, schrijf op hoe je daarmee om zult gaan en houd je daar aan.

PS. Na meerdere vragen over de verwerkersovereenkomst heb ik een vervolg geschreven: "Eerste hulp bij de verwerkersovereenkomst voor zzp'ers".

PPS. Het privacy statement kan als ik het goed begrijp ook dubbel dienst doen als 'verwerkingsregister'. In de lijst hierboven heb ik bij de privaycverklaring alles opgenomen wat een zzp-er als het goed is ook in zijn register moet hebben staan.

De Autoriteit Persoonsgegevens heeft een "AVG in een notendop" document gemaakt, wat erg handig is. Kijk eens hier: AVG in een notendop