Naar de navigatie Naar de inhoud

Privacywet AVG: wat zzp’ers moeten weten

De Algemene Verordening Gegevensbescherming (AVG) is met ingang van 25 mei 2018 van toepassing. Deze Europese wet bepaalt hoe organisaties moeten omgaan met de verwerking van persoonsgegevens, zowel online als offline. Zzp’ers moeten zich ook houden aan de eisen die de wet stelt. In dit artikel leest u wat de AVG voor zzp’ers betekent.

De AVG, ook wel bekend als de General Data Protection Regulation (GDPR), vervangt de Wet bescherming persoonsgegevens (Wbp) in Nederland per 25 mei 2018 en zal in de hele Europese Unie gelden. De AVG kent strengere maatregelen en hogere boetes dan de Wbp. De AVG legt meer verantwoordelijkheid bij organisaties om aan te tonen dat ze aan de privacyregels voldoen. Een voorbeeld hiervan is de verantwoordingsplicht. Daarnaast gaat de Autoriteit Persoonsgegevens (AP) actief handhaven vanaf 25 mei 2018. Organisaties die zich niet aan de AVG houden, riskeren een boete van maximaal € 20 miljoen of 4% van de jaaromzet.

AVG: ook voor zzp’ers

De AVG geldt voor alle organisaties die persoonsgegevens verwerken. Dus ook voor zzp’ers die gegevens verwerken. U verwerkt persoonsgegevens als u bijvoorbeeld een contactformulier op uw website heeft, een nieuwsbrief via een mailinglist verstuurt of als u een factuur stuurt. Als zzp’er is het daarom goed om u bewust te worden van de persoonsgegevens die u verwerkt.

Definitie persoonsgegevens

Om u als zzp’er aan de AVG te kunnen houden, is het belangrijk om te weten wat de definitie is van ‘persoonsgegevens’. Volgens de Autoriteit Persoonsgegevens gaat het om informatie die direct over een persoon gaat of terug te brengen is naar deze persoon. Er zijn veel verschillende soorten persoonsgegevens. Voorbeelden van persoonsgegevens zijn:

  • Naam, adres en woonplaats
  • Telefoonnummer
  • IP-adres
  • E-mailadres
  • Bankgegevens
  • Medische gegevens
  • Kentekengegevens
  • Vingerafdrukken
  • Pasfoto’s
Onder de AVG vallen ook bijzondere persoonsgegevens. Dat zijn persoonsgegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. De verwerking van bijzondere persoonsgegevens is daarom verboden, op enkele uitzonderingen na. Voorbeelden van bijzondere persoonsgegevens zijn:
  • Gezondheid
  • Ras
  • Godsdienst
  • Strafrechtelijk verleden

Grondslagen

Als zzp’er mag u persoonsgegevens verzamelen en bewaren, als u daarvoor een wettelijke grondslag heeft. De AVG kent 6 verschillende grondslagen:

  • U heeft toestemming van de betrokken persoon. Denk aan het vragen van toestemming voor de verzameling van cookies op uw website.
  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  • De verwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. Bijvoorbeeld als u een bevel van de politie heeft om persoonsgegevens aan hen te geven.
  • De verwerking is noodzakelijk ter bescherming van vitale belangen. Bijvoorbeeld als iemands leven in gevaar is en u diegene niet om toestemming kunt vragen.
  • De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag. U plaatst bijvoorbeeld een camera voor de openbare veiligheid.
  • De verwerking is noodzakelijk voor de behartiging van gerechtvaardigde belangen. Hier zijn 3 voorwaarden aan verbonden: gerechtvaardigd belang, noodzakelijkheid en afweging belangen.
Er is sprake van een gerechtvaardigd belang als de verwerking van gegevens aantoonbaar noodzakelijk is voor uw werk, zoals de salarisadministratie. De verwerking van gegevens moet noodzakelijk zijn. Als de verwerking ook op een minder ingrijpende wijze kan, kan de verwerking van persoonsgegevens toch nog onrechtmatig zijn. Als derde voorwaarde moet u een afweging maken tussen uw belangen en de belangen van de personen van wie u persoonsgegevens verwerkt.
  • Als u de gegevensverwerking niet kunt onderbouwen op minimaal één van de grondslagen, heeft u niet het recht om de persoonsgegevens te verwerken.

Verantwoordingsplicht

De AVG legt meer verantwoordelijkheid bij u om aan te tonen dat u aan de privacyregels voldoet. Bij het vrijkomen van gegevens (datalek) of onrechtmatige verwerking van gegevens kunt u als verantwoordelijke aansprakelijk worden gesteld. Als ondernemer heeft u een verantwoordingsplicht. Dit betekent dat u als zzp’er moet kunnen aantonen dat u zich houdt aan de AVG. Dit doet u door een register bij te houden. In dit register legt u vast welke persoonsgegevens van klanten, leveranciers of andere relaties u verwerkt, wat het doel ervan is en wat ermee gebeurt. Wanneer bijvoorbeeld andere partijen toegang tot de gegevens hebben, dan moet dit hierin worden vermeld. In Artikel 30 van de wet leest u wat er allemaal in het register moet staan.

Bepaal uw rol

De AVG kent een aantal rollen. Voor de wet moet u voor uzelf bepalen welke van deze 3 rollen op u van toepassing is. Op die manier weet u wie aansprakelijk is voor eventuele boetes bij het niet naleven van de nieuwe privacywet.

  • Verantwoordelijke: de persoon of organisatie die het doel en de middelen van de gegevensverwerking vaststelt
  • Verwerker: de persoon of organisatie die voor de verwerkingsverantwoordelijke persoonsgegevens verwerkt
  • Betrokkene: persoon van wie persoonsgegevens worden verwerkt

Verwerkersovereenkomst

Als zzp’er werkt u waarschijnlijk regelmatig samen met externe partijen. Voor alle externe partijen waarmee u persoonsgegevens deelt, moet u een verwerkersovereenkomst afsluiten. Denk bijvoorbeeld aan de accountant die uw facturen bekijkt. Dan bent u de verantwoordelijke.

Als zzp’er is het ook goed mogelijk dat u de externe partij bent. Als u dan met persoonsgegevens werkt, bent u de verwerker. In dat geval sluit de verantwoordelijke een verwerkersovereenkomst met u af. In de verwerkersovereenkomst staan namelijk de rollen vastgelegd en wie aansprakelijk is voor eventuele boetes en schadevergoeding bij bijvoorbeeld een datalek. Op internet kunt u hiervoor handige checklists vinden.

Meer rechten voor klanten

Als ondernemer heeft u meer verantwoordelijkheid om aan te tonen dat u aan de privacyregels voldoet. De personen van wie u gegevens verzamelt, krijgen ook meer rechten. Zij mogen bijvoorbeeld de gegevens die u verzamelt inzien. Ook moeten de gegevens op een veilige manier worden bewaard. Daarnaast hebben mensen ‘het recht om vergeten te worden’. Op basis van de wet mogen zij van u eisen dat u bepaalde gegevens definitief verwijdert.

De AVG vraagt de nodige aanpassingen van organisaties, dus ook u als zzp’er. Denk bijvoorbeeld aan het register waarin u bijhoudt welke persoonsgegevens u verwerkt. Het is daarom belangrijk om goed voorbereid te zijn op de nieuwe regels. Wilt u meer lezen over de AVG? De Nederlandse tekst van de AVG kunt u hier vinden. Een handleiding van het ministerie van Justitie is hier te raadplegen.

Stel uw vraag via WhatsApp

Binnen 15 minuten antwoord

Zakelijk contact via Whatsapp

We beantwoorden uw vragen graag zo snel mogelijk. Daarom zijn we ook via WhatsApp bereikbaar. Doordeweeks van 8 tot 21 uur en op zaterdag van 9 tot half 6. U krijgt binnen 15 minuten antwoord.

Hulp bij Internet Bankieren