Hoe gaat de zelfstandig ondernemer om met privacygevoeligheid?

In een wereld waarin er steeds meer met data gewerkt wordt, is het belangrijk om na te denken over de privacy van gegevens. Zelfstandig ondernemers die bijvoorbeeld persoonsgegevens van medewerkers, klanten of anderen gebruiken, moeten zich aan bepaalde privacyregels houden van de Algemene Verordening Gegevensbescherming (AVG), de Europese privacywet. Wat houden deze privacyregels precies in voor zelfstandigen en met welke checklist kunnen ze zich aan de privacywet houden?

Wat houdt de AVG in?

De AVG is een Europese privacywet die in het Engels "General Data Protection Regulation" (GDPR) heet. Deze privacywet bevat regels voor de zorgvuldige verwerking van persoonsgegevens door bedrijven en organisaties. Deze bedrijven en organisaties moeten bijvoorbeeld goede redenen hebben om persoonsgegevens te mogen verwerken, waarnaast zij niet meer persoonsgegevens mogen gebruiken dan nodig is. De AVG is van toepassing op alle lidstaten van de Europese Unie (EU) en Liechtenstein, IJsland en Noorwegen.

De AVG is ingevoerd voor de bescherming van de privacy van mensen in de EU en dwingt ondernemers, dus ook interim, freelance en zzp professionals, om zorgvuldig met persoonsgegevens om te gaan. Hierbij moeten ze kunnen aantonen dat ze zich aan de privacywet houden met betrekking tot het verzamelen, opslaan, gebruiken, verspreiden en verwerken van persoonsgegevens van klanten, medewerkers en anderen waarvan ze persoonsgegevens verzamelen en gebruiken. De Autoriteit Persoonsgegevens (AP) ziet erop toe dat bedrijven en organisaties zich aan de privacywet houden en mogen ook boetes uitdelen als regels overtreden worden.

Voorbeelden van persoonsgegevens

Wat zijn precies persoonsgegevens? Dit zijn alle gegevens die een directe link hebben met iemand of waarvan iemand af te leiden is. Denk hierbij aan een naam, woonplaats, adres, foto's, e-mailadres, IP-adres en telefoonnummer. Er is ook nog de categorie "bijzondere persoonsgegevens", waaronder gevoelige informatie over iemand valt. Gegevens zoals ras, godsdienst of levensovertuiging, gezondheid, seksuele leven, politieke voorkeuren, bsn-nummer en strafrechtelijk verleden vallen hieronder. Zowel gewone als bijzondere persoonsgegevens mogen niet verwerkt worden, tenzij hier specifiek toestemming voor gegeven is.

Toepassingsgebied AVG

Op wie is de AVG precies van toepassing? Deze privacywet geldt voor alle bedrijven en organisaties die gevestigd zijn binnen de Europese Economische Ruimte (EER) en hier persoonsgegevens verwerken en gebruiken. Dit betekent dat ook interim, freelance en zzp professionals zich aan de AVG moeten houden, ongeacht of ze gegevens geautomatiseerd of handmatig verwerken. Daarnaast geldt de wet ook als iemand anders gegevens voor een bedrijf of zelfstandige verwerkt. Concreet betekent dit dat zelfstandigen al bij het versturen van een nieuwsbrief, offerte of factuur rekening met de AVG moeten houden.

Wat zijn belangrijke privacyregels voor zelfstandigen?

Verschillende regels binnen de AVG zijn belangrijk voor zelfstandigen om rekening mee te houden, waaronder de volgende regels.

Toestemming vragen

Een van de belangrijkste regels is dat bedrijven toestemming moeten vragen voor het bewaren en gebruiken van persoonsgegevens. Klanten moeten bijvoorbeeld weten welke gegevens waarvoor bewaard worden, waarvoor specifieke toestemming vereist is. Dit betekent dat zelfstandigen moeten uitleggen aan klanten waar ze hun gegevens voor gaan gebruiken. Vervolgens mogen deze gegevens ook alleen gebruikt worden voor de doeleinden waarvoor de klant toestemming gegeven heeft. Ter illustratie, als een klant aangeeft de maandelijkse nieuwsbrief te willen ontvangen, mogen zijn of haar contactgegevens niet gebruikt worden voor actiekortingen.

Toegang tot gegevens

Het is ook belangrijk om een goed overzicht te hebben van wie er toegang heeft tot de gegevens binnen een bedrijf en vanaf welk apparaat. Hiervoor kan bijvoorbeeld een autorisatiematrix gebruikt worden, waarmee toegangsrechten worden geregeld.

Hoog privacyrisico gegevens

Als een zelfstandige wil werken met gegevens met een hoog privacyrisico moet er volgens de AVG een "Data Protection Impact Assessment" (DPIA) uitgevoerd worden. Dit is een onderzoek waarmee risico's van de gewenste gegevensverwerking in kaart gebracht kunnen worden. Vervolgens kunnen maatregelen genomen worden om deze risico's te verkleinen.

Databeveiliging en datalekken

Ondernemers dienen ook maatregelen te nemen om gegevens goed te beveiligen, bijvoorbeeld door middel van een antivirusprogramma en door alleen bepaalde mensen toegang te geven tot de gegevens. Als er toch een datalek optreedt, moet dit gedocumenteerd worden voor de AP.

Functionaris voor Gegevensbescherming

Soms is het noodzakelijk voor ondernemers om een Functionaris voor Gegevensbescherming (FG) aan te stellen, die binnen een onderneming toezicht houdt op de naleving van de AVG-privacyregels. Dit moet overigens wel iemand zijn waarbij er geen sprake is van een risico op belangenverstrengeling.

Wat is een handige privacychecklist voor zelfstandigen?

De volgende punten zijn handig voor zelfstandig ondernemers om te voldoen aan de AVG-privacywet en persoonsgegevens op een veilige, zorgvuldige manier te gebruiken:

• Verwerk alleen noodzakelijke persoonsgegevens: Zonder het door te hebben, kunnen ondernemers veel persoonsgegevens verwerken. Het is dus goed om na te gaan welke gegevens er allemaal verwerkt worden, welke ook daadwerkelijk verwerkt moeten worden, en of er niet per ongeluk bijzondere persoonsgegevens worden gebruikt.
• Let op de privacyrechten: Iedereen van wie persoonsgegevens worden verwerkt, heeft recht op onder andere inzage, aanvulling, rectificatie, vergetelheid, dataportabiliteit, geautomatiseerde besluitvorming, beperking van verwerking, openheid over informatie en bezwaar maken. Het is dus belangrijk om ervoor te zorgen dat deze rechten ook uitgeoefend kunnen worden.
• Houd het verwerkingsregister up-to-date: Het is verplicht volgens de AVG om een register bij te houden met daarin alle verwerkingsactiviteiten. Tevens is het essentieel dat deze up-to-date is, zodat activiteiten gerechtvaardigd zijn.
• Waarborg "privacy by design": "Privacy by design" betekent dat er al bij het ontwerpen van diensten en producten rekening gehouden wordt met de bescherming van persoonsgegevens. Dit houdt bijvoorbeeld in dat een ondernemer gegevens niet langer bewaart dan nodig is en niet meer gegevens verzamelt dan noodzakelijk is.
• Wees voorbereid op een datalek: Het is verstandig om goede maatregelen te nemen om de kans op een datalek te verkleinen. Mocht het toch gebeuren, dan moet dit binnen 72 uur gemeld worden bij de AP. Daarnaast moeten alle betrokkenen ook geïnformeerd worden.

Bij Bureau Ad Interim maken we de ideale match tussen zelfstandige professionals en opdrachtgevers. Stuur je cv naar ons op of meld je aan en wij helpen je snel verder.