Als iemand tegen jou zegt AVG, denk jij dan onmiddellijk aan privacy? Dat zou wel moeten, want de Algemene Verordening Gegevensbescherming (AVG) is per 25 mei 2018 in de hele Europese Unie van toepassing. De wet zal in Nederland in de plaats treden van de Wet Bescherming Persoonsgegevens en ook zzp’ers zullen vanaf die datum zorgvuldiger met de verwerking van persoonsgegevens moeten omgaan. Marjan Crabtree, zelfbenoemd AVG wijsneus en mede-initiator van AVG Bootcamp legt het ons uit.
We hadden toch al een privacywet en een cookiewet, hoe anders is de AVG?
‘Dat we zorgvuldig om moeten gaan met persoonsgegevens is niet nieuw, maar de mogelijkheden voor handhaving en voor gedupeerden om er werk van te maken zijn met de AVG een stuk verruimd’, vertelt Marjan ons. Zo moeten zzp’ers kunnen bewijzen dat ze toestemming hebben gekregen om de persoonsgegevens te verwerken (voor klanten geldt dit niet) en mensen moeten ook op ieder moment die toestemming weer kunnen intrekken. Andere privacyrechten zijn recht op vergetelheid en recht op dataportabiliteit. Het recht op vergetelheid houdt in dat, mocht jij persoonsgegevens verstrekken aan derden, jij het verzoek om verwijdering ook aan die derden door moet geven. Het recht op dataportabiliteit betekent dat mensen hun gegevens op verzoek in een standaardformaat moeten kunnen ontvangen.
De voornaamste verandering voor zzp’ers is dat de verantwoordelijkheid voor het correct verwerken van persoonsgegevens bij hen komt te liggen, zegt Marjan. Je zal bij een controle moeten kunnen aantonen dat je alles hebt gedaan om te voorkomen dat gevoelige informatie in de verkeerde handen kan komen.
Wat is nou de kans dat ze een kleine zzp’er gaan controleren?
Een gebruiker van jouw diensten of jouw website, heeft de mogelijkheid een klacht in te dienen bij de Autoriteit Persoonsgegevens. Op basis van een klacht zal die autoriteit jouw onderneming controleren en kun je grote problemen krijgen als je niet aan de gestelde zorgvuldigheidseisen voldoet. De boetes kunnen oplopen tot 20 miljoen of 4% van de internationale jaaromzet. ‘Dus straks kan iedereen met een wrok ons een loer draaien met behulp van de Autoriteit Persoonsgegevens?’ vroegen wij Marjan, maar dat blijkt mee te vallen. ‘Ik verwacht dat zo’n klacht zeker goed onderbouwd moet zijn, voordat de autoriteit in een actie komt.’
Oké, die AVG is serieus, wat moet ik doen?
Zelfs voor de zzp’er die denkt niets met privacy te maken te hebben zijn er volgens Marjan, belangrijke aandachtspunten. Ga maar eens na: website, nieuwsbrief, logingegevens, boekhoudsoftware, projectmanagementsoftware, agenda, harde schijf, e-mail, backups… Je slaat zonder erbij stil te staan overal persoonsgegevens op. Iedere zzp’er zal in ieder geval zijn privacyverklaring moeten checken. Die moet heel duidelijk in begrijpelijke taal vertellen wat jij met de privacygevoelige informatie doet. Verder moet je vooral bewust met alle gegevens omgaan en daar aantoonbaar zorgvuldig mee omgaan en waarborgen voor inbouwen. Heb je veilige wachtwoorden? Werk je met betrouwbare software? Wat staat er in de verwerkersovereenkomsten met jouw leveranciers? Jij bent misschien wel zorgvuldig, maar weet jij hoe betrouwbaar jouw boekhoudpakket is? De nieuwe AVG maakt jou als zzp’er verantwoordelijk voor jouw keuzes, processen en de mogelijke gevolgen voor de privacy van gebruikers.
20 miljoen euro boete dus...
‘Niemand zal op dit moment 100% voldoen aan de gestelde regels’, vertelt Marjan. ‘Alleen al omdat een heleboel details nog in de loop van de tijd uitgekristalliseerd zullen moeten worden. Ook zal eind 2018 of begin 2019 de ePrivacy verordening van kracht worden, die in de plaats zal komen van de huidige Telecommunicatiewet. ‘Als je je verantwoordelijkheid hebt genomen en aantoonbaar zorgvuldig met persoonsgegevens omgaat, hoef je geen problemen te verwachten’, benadrukt Marjan. Uiteindelijk zorgt de nieuwe Europese privacywetgeving voor meer transparantie en zekerheid voor iedereen.