De meestgestelde vragen van zzp'ers over de AVG (en antwoorden)
Nederland telt zo'n een miljoen zzp'ers die zich moeten houden aan de de nieuwe privacywet. Maar hoe precies? We bespreken de meestgestelde vragen met experts uit het veld.
In De Grote Privacyshow vertelden we je deze maand hoe jouw organisatie privacy-proof kan worden gemaakt. Sinds 25 mei moeten ondernemers zich houden aan de Algemene verordening gegevensbescherming (AVG).
Tijdens en na de uitzending kwamen er veel vragen binnen, onder meer van zzp'ers. Om te beginnen: eenpitters hoeven niet meteen bang te zijn voor een boete, maar je moet wel laten zien dat je eraan werkt.
Niet meteen hard aangepakt
"Maak je geen zorgen, maar maak wel af waar je mee bezig bent", zei Frank Alfrink, directeur van ZZP Nederland, er eerder over. Minister Sander Dekker (Rechtsbescherming) bevestigde dat. Kleine bedrijven worden niet meteen hard aangepakt.
De nieuwe privacywet vraagt desondanks van zzp'ers dat zij zorgvuldig omgaan met de gegevens van hun (potentiële) klanten. Zoals telefoonnummers en persoonsgegevens die je opslaat voor het versturen van offertes en facturen.
Charlotte Meidersma van Charlotte's Law en Fine Prints is er maar druk mee. "95 procent van het werk dat we nu doen heeft te maken met privacy", zegt de jurist. Ook adviesbureau Privacy Zeker helpt veel kleine ondernemers met vragen en documenten. "Veel mensen snappen weinig van de AVG", zegt commercieel directeur Kor de Boer. De experts beantwoorden een aantal veelgestelde vragen.
In de notendop, wat moet ik als zzp'er minimaal op orde hebben?
"Veel ondernemers snappen niet dat de AVG puur om persoonsgegevens gaat. Daar ben je verantwoordelijk voor en de rest is bijzaak", aldus de Boer. Persoonsgegevens kunnen alles zijn, van telefoonnummers tot namen en adressen. Zzp'ers hebben daarvoor een privacyreglement, register en verwerkersovereenkomst nodig. Ook moeten ze datalekken registreren.
Daarnaast moet je praktische maatregelen nemen om de persoonsgegevens goed te beveiligen. "Vergrendel je pc als je pauze neemt, beveilig je servers en stel goede wachtwoorden (en encryptie) in", zegt Meindersma. Ook moet je zo min mogelijk gegevens bewaren en gegevens wanneer dat kan verwijderen.
Check hier wat de AVG van ondernemers vraagt en of dat ook geldt voor jou.
Wat moet ik doen met mijn huidige klantgegevens?
Gegevens van je klanten mag je gewoon bewaren. "Er gelden alleen regels voor", weet De Boer. Je moet een termijn stellen aan hoe lang je gegevens bewaart. Die termijn is niet per se vast, zegt Meindersma, maar als je iets bewaart dan moet je dat goed kunnen onderbouwen.
Dus heb je goede redenen om gegevens op te slaan, communiceer dat dan in een register en in je privacyverklaring. Facturen en offertes moet je bijvoorbeeld zeven jaar bewaren voor de fiscus, maar de persoonsgegevens hoeven niet per se in een apart crm-systeem te staan.
Heeft een klant zich aangemeld voor jouw nieuwsbrief, dan blijft dat in principe zo totdat deze persoon zich uitschrijft of die wens kenbaar maakt.
Moeten mijn klanten de nieuwe privacyregels accepteren?
Nee. Een privacyverklaring is een eenzijdig document en gebruik je om je beleid te verantwoorden. Klanten hoeven er geen akkoord op te geven, maar ze moeten er wel naar kunnen handelen. Daarom moet de verklaring altijd goed vindbaar zijn, zodat een klant zijn rechten kan inroepen als hij of zij dat wil.
Mag ik gegevens opslaan van (potentiële) klanten die ik haal uit offertes of leads?
In principe wel, je hebt namelijk een zogenoemd gerechtvaardigd belang om dat te doen, weet Meindersma. Je mag dergelijke informatie opslaan als daar een wettelijke grondslag voor is. In dit geval heb je er belang bij om je bedrijf goed te kunnen runnen.
"Maar dit beleid moet je wederom goed onderbouwen", zegt de jurist. "Je moet het altijd afwegen tegen de belangen van de persoon om wie het gaat." Ook mag je deze gegevens niet zo lang bewaren. Wat je wel kan doen: haal de persoonsgegevens eruit. De generieke informatie die overblijft mag je oneindig bewaren.
Overigens mag je volgens de wet personen niet direct benaderen met een commercieel aanbod. Daarvoor moet je eerst toestemming hebben. "Cold calling mag dus niet zomaar, maar contact opnemen via een info-adres kan wel. Daar zit niet direct een persoon aan verbonden", zegt De Boer.
Moet ik als zzp'er een verwerkersovereenkomst opstellen?
Zo'n overeenkomst sluit je af met partijen die voor jou iets doen met jouw persoonsgegevens, denk aan een crm-systeem dat door een ander bedrijf wordt gehost, iemand die de personeelsadministratie doet of een boekhouder die al je facturen kan inzien. Of als je bijvoorbeeld een contactformulier op je website hebt staan en de gegevens die daar worden ingevoerd eerst worden opgeslagen bij een host. Voor dit soort gevallen heb je een overeenkomst nodig.
De AVG stelt specifieke eisen aan de zogenoemde verwerkersovereenkomsten. Ook als de derde partij een bedrijf is dat buiten Europa valt (denk aan Amerikaanse software zoals Microsoft Office). Afhankelijk van het land, moeten er dan extra afspraken worden gemaakt. Lees hier hoe dat zit.
Wat moet ik bijhouden in het (privacy)register?
"Hierover krijgen wij de meeste vragen", zegt De Boer. "Mensen denken er veel te moeilijk over." Er hoeven namelijk geen exacte namen en rugnummers in dat register. Je moet puur bijhouden welk beleid je voor welk gegeven voert.
"Je benoemt het type gegeven, bijvoorbeeld een archiefkast met namen en telefoonnummers, je vertelt hoe je dat beveiligt, bijvoorbeeld met een slot op de kast en de kamer. En je registreert hoe lang je de gegevens bewaart en waarom. Bijvoorbeeld zeven jaar voor de fiscus.
Is er een verschil tussen het opslaan van gegevens op papier of digitaal?
In de oude wet was er nog een onderscheid, maar de AVG gaat nu uit van het principe ' bestand' dat kan zowel digitaal als fysiek zijn. Een database of een map met facturen, de wet geldt voor allebei. "De regels zijn niet van toepassing op kladblaadjes en notities", zegt Meindersma.
"Mijn advies: gebruik zo min mogelijk papier. Dat levert namelijk alleen maar extra risico's op", zegt De Boer. " Mensen gaan kopietjes maken en bewaren een eigen administratie, dat betekent meer kans op datalekken."
Btw- nummers, gaan die wel samen met de AVG?
Als zzp'er ben je verplicht om je btw-nummer te melden aan klanten, maar deze is gekoppeld aan je burgerservicenummer (bsn) en daarmee direct herleidbaar tot een persoon. Privacygevoelige data dus. Hoe hiermee om te gaan is al lange tijd onderwerp van politieke discussie.
"Dit strookt natuurlijk absoluut niet met de AVG en is eigenlijk belachelijk", zegt De Boer. "De politiek moet hier echt iets aan doen. Het btw-nummer zou voor zzp'ers op de schop moeten."
Toch geldt de verplichting nog, maar heb je je nummer niet op je website staan, dan wordt dat op dit moment getolereerd. "Maar je moet het nummer wel melden op je facturen.", zegt Meindersma.
Los hiervan mag een bsn-nummer van een klant ook niet zomaar verwerkt worden. Op een kopie van een paspoort kun je het nummer bijvoorbeeld wegstrepen.
De ultieme privacy checklist (video)