Autoriteit Persoonsgegevens minder streng voor zzp’ers inzake AVG

Geen enkele zzp’er zal het zijn ontgaan: op 25 mei is de nieuwe Europese wet Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Zelfs als je het probeerde te negeren, werd je er constant aan herinnerd door de talloze mailtjes van bedrijven die hun privacybeleid conform de nieuwe wet hebben aangepast. Voldoet jouw privacybeleid nog niet aan de nieuwe wetgeving? Geen nood, de Autoriteit Persoonsgegevens gaat niet direct over tot het uitdelen van boetes aan de zzp’er.

Het doel van de AVG

Veel ondernemers zien de AVG als de zoveelste maatregel die het zelfstandig ondernemen nodeloos moeilijk maakt. Het doel van de Europese wet is echter dat jij als ondernemer bewust wordt van de waarde van iemands privacy. Een klant geeft jou in vertrouwen zijn persoonsgegevens. De meeste ondernemers zien het als vanzelfsprekend om hier zorgvuldig mee om te gaan. Voor deze ondernemers verandert er niet veel, behalve dat zij aan de klant laten zien wat ‘zorgvuldig omgaan met persoonsgegevens’ binnen het bedrijf precies inhoudt.

Boetes voor zzp’ers?

Om het handelen volgens de AVG te stimuleren en te handhaven, staan er hoge boetes op het niet naleven van de wet. Er wordt gesproken over boetes die wel tot miljarden euro’s kunnen oplopen. Deze boetes zijn met name bedoeld voor de grote bedrijven die herhaaldelijk de nieuwe regelgeving aan hun laars lappen, voor de zzp’er zal het zo’n vaart niet lopen. Minister Dekker heeft onlangs zelf aangegeven dat er aan zzp’ers zeker in het begin geen boetes opgelegd zullen worden, zolang zij aan kunnen tonen serieus bezig te zijn met het AVG-proof maken van het privacybeleid.

De rol van de Autoriteit Persoonsgegevens

In tegenstelling tot wat veel zzp’ers denken, gaat de Autoriteit Persoonsgegevens niet zelf actief op zoek naar overtreders van de wet. Zelfs al zou de Autoriteit Persoonsgegevens dit willen, dan nog zou dit praktisch niet haalbaar zijn. De Autoriteit Persoonsgegevens heeft op dit moment namelijk al te weinig mankracht om alle taken te kunnen verrichten. De Autoriteit Persoonsgegevens reageert enkel op meldingen over bedrijven. Afhankelijk van het aantal meldingen en de ernst van deze melding(en) zal de Autoriteit Persoonsgegevens een onderzoek instellen. In de meeste gevallen zal een onderzoek allereerst leiden tot een waarschuwing. Als je binnen een gestelde deadline zorgt dat je privacybeleid op orde is, volgen er geen maatregelen. Alleen het (herhaaldelijk) niet nakomen van afspraken zal uiteindelijk kunnen leiden tot maatregelen zoals boetes.

Zelf doen of uitbesteden?

De invoering van de AVG is voor diverse bedrijven een goede inkomstenbron gebleken. Veel zzp’ers zoeken hun toevlucht bij een bedrijf dat voor hen een privacybeleid opstelt. Deze bedrijven rekenen vaak hoge kosten en beloven certificaten die in de regel niets waard blijken te zijn. Bovendien laten deze bedrijven het vaak na om een privacybeleid op te stellen dat volledig is afgestemd op jouw activiteiten als zzp’er. Het gevolg is een duur document dat je zelf misschien niet eens begrijpt. Daarmee schiet dit het doel van de AVG volledig voorbij. Zeker als kleine zelfstandige kun je heel goed zelf een privacybeleid opstellen.

Maak je privacybeleid zelf AVG-proof

De rode draad van een privacybeleid conform de AVG is dat je aangeeft welke persoonsgegevens je verzamelt, waarom je deze gegevens nodig hebt, hoe je deze bewaart en voor hoe lang je deze gegevens zal bewaren. Daarnaast dien je de klant in te lichten over het eventuele gebruik van automatische computersystemen en cookies die gevolgen kunnen hebben voor hun privacy. Er is heel veel mogelijk binnen de AVG, als je het maar inzichtelijk maakt voor de klant en deze vraagt om toestemming. Op internet zijn diverse tools en voorbeelden te vinden die jou kunnen helpen een privacybeleid op te stellen dat conform de AVG is en volledig is afgestemd op jouw bedrijf.

Nieuwe en bestaande klanten moeten toestemming geven

In de talloze mailtjes over het gewijzigde privacybeleid van verschillende bedrijven, komt direct een veel gemaakte fout naar voren. Het is niet voldoende om je huidige klanten enkel te wijzen op het nieuwe privacybeleid. Wanneer jij huidige en potentiële klanten op de hoogte brengt van het nieuwe privacybeleid, moet jij ook aangeven hoe zij hiermee akkoord kunnen gaan. Je mag niet stellen dat je zonder tegenreactie ervan uitgaat dat je hun akkoord hebt. De klant moet actief en schriftelijk toestemming geven. Dit doe je eenvoudig door een button toe te voegen in de mail of op de website waarmee zij jou toestemming geven tot het verwerken van hun persoonsgegevens volgens jouw nieuwe privacybeleid.

Het privacybeleid: ook voor de zzp’er meer dan alleen een tekstdocument

Na het opstellen van een privacybeleid dat conform de regels van de AVG is, ben je er nog niet. Het belangrijkste is dat je deze richtlijnen zelf toe gaat passen. Vraag enkel de persoonsgegevens die je daadwerkelijk nodig hebt om een opdracht uit te voeren. Verwerk en bewaar de persoonsgegevens ook zoals jij dit in je privacybeleid hebt weergegeven. Bescherm de persoonsgegevens met de juiste software. Meld datalekken binnen 72 uur aan de Autoriteit Persoonsgegevens en de betrokkenen. Uiteindelijk blijft dit altijd het doel van de AVG: het waarborgen van de privacy van jouw klanten.

Plaats een reactie