De AVG tijger en arme jij

Het is donderdag 26 april 2018, 16:09 en ik start als ondernemer nu (al) mijn onderzoek naar concrete handvaten als het gaat om de impact van de AVG en de e-privacyverordening (2019). Het roept de associatie op met ‘The Eye of the Tiger‘ van Survivor, het grote gevecht tegen de stortvloed aan regels waar je ook als kleine onderneming mee te maken krijgt.

Laatste update 14 mei 2017: deze blog post krijgt best wat reacties met aanvullende hulp en ik ben nog steeds bezig mijn zaken op orde te krijgen. Ik update daarom as-we-go, maar alleen met wat ik voor mijzelf relevant vind.

Er zijn twee losse wetten die in elkaar grijpen en waar je als kleine ondernemer van alles mee moet op korte termijn:

  1. De AVG gaat alleen over het beschermen en verwerken van persoonsgegevens. De wet geldt al langer en vervangt de Wet bescherming persoonsgegevens (Wbp). Vanaf 25 mei 2018 wordt de AVG gehandhaafd. De AVG is hetzelfde als de GDPR. Dit staat voor General Data Protection Regulation.[3].
  2. De ePrivacyverordening vervangt in 2019 de Telecommunicatiewet.

Maar wat wordt er nu EXACT van mij (en jou) als kleine ondernemer verwacht? Ik hoor veel broodjes aap verhalen en veel onderschattingen. Ook bij mijn vaak grote klanten zijn ze nog helemaal niet zo ver. Ik neem je mee op mijn reis en beperk me alleen tot de haltes die voor mij als kleine ondernemer nu relevant zijn. Eerst de AVG, want dat heeft haast.

AVG ook voor jou en mij

Ten eerste dit geruststellende bericht 😉 [2]: “Alleen gegevens voor persoonlijke gebruik – denk aan de gegevens in je telefoonboekje, de verjaardagskalender, telefoonnummers in je telefoon en WhatsApp-groepen, en in persoonlijke notities – vallen niet onder de AVG.”. Maar ook deze: De AVG bestaat namelijk voor 80% uit bestaande regels. [4]

Ja, ook jij moet er iets mee! Als je persoonsgegevens hebt op je laptop, Mailchimp of in je boekenkast waarin personen direct of indirect identificeerbaar zijn, zoals een e-mail adres of telefoonnummer dan moet je wel iets met de AVG. Ook een IP-adres of een cookie is een persoonsgegeven.[10] Bovendien beschouwt de AVG alle handelingen die je met die persoonsgegevens uitvoert als verwerkingen, zelfs het verwijderen van persoonsgegevens is al een verwerking. [3][4]

ACTIE 1: Bewustwording, toestemmingen kennen en kunnen aantonen

De AVG geeft diverse grondslagen voor het vastleggen en verwerken van persoonsgegevens [2][7]:

Bij de uitvoering en marketing van jouw bedrijf val je vaak onder de laatste: ‘gerechtvaardigd belang’. Je mag iemands data gebruiken als het past binnen je gerechtvaardigd (marketing)belang en de impact op de privacy beperkt is [4]. Je mag gewoon lekker mailen mits je je aan de bestaande Telecomwet houdt.

Een bestaande klantrelatie wordt overigens gezien als ‘soft-optin’ toestemming. [3] [4] Het ontvangen van een visitekaartje valt onder ‘toestemming van de gebruiker’. [2] Mythe buster: je hoeft die kaartjes dus niet weg te gooien na 25 mei, wel te beschermen, en je moet kunnen uitleggen waarom je het (zo lang) bewaart! Stel jezelf de vraag “waarom heb ik deze nog?” Is het antwoord ‘Interessant’ of ‘leuk’ dan is dat geen goede reden om de gegevens te ‘verwerken’. [5] Twee van de eisen die de AVG stelt aan ‘toestemming’ zijn dat deze ‘geïnformeerd’ en ‘specifiek’ gegeven is. Om geldige toestemming aan te tonen is het dan ook essentieel dat je kunt laten zien op basis van welke informatie de betrokken personen de toestemming hebben gegeven. Het is dus onvoldoende om alleen de toestemming zelf vast te leggen! [8] En het moet vóóraf bewezen duidelijk zijn waar iemand mee instemt.[9]

Over grondslagen voor het bewaren van gegevens is het ook van belang te weten dat er niet van grondslag gewisseld mag worden. Heb je eenmaal ‘toestemming’ als grondslag gebruikt, dan kan er niet na intrekking van die toestemming alsnog gebruik gemaakt worden van de wettelijke verplichting of andere grondslag. [2]. Jeetje, dit wordt hogere wiskunde!

 

 

~ Ga dus na in je gegevensdragers (telefoon, visitekaartjes, excel sheets, mailchimp lijsten) of behoud van de persoonsgegevens nog past bij de grondslag waarop het gegeven werd. Dient het nog een doel? Ik ga mensen 2 jaar na het laatste contact verwijderen.

~ De AVG zegt dat je toestemming moet kunnen aantonen, maar er is geen specifieke instructie voor hoe en wat je moet aantonen. Wel dat je de informatie moet kunnen aantonen op basis waarvan iemand toestemming gaf. Dat heb je dus te regelen. Zie hieronder.

~ Zorg dat mensen voordat ze toestemming geven weten waar ze toestemming voor geven. Neem dus bijvoorbeeld een privacy statement op in je formulieren, digitale handtekening, offertes, website. Just do it. Zie hieronder.

ACTIE 2: Privacy verklaring vastleggen en communiceren

Dit moet je voor de AVG simpelweg aantoonbaar hebben. Het privacy statement zegt iets over:

  • Identiteit. Bijvoorbeeld de bedrijfsnaam (zoals die is ingeschreven bij de KvK) en de contactgegevens. [9]
  • Bewaartermijn: je mag persoonsgegevens verwerken zo lang als dat nodig is voor het doel van de verwerking. Bijvoorbeeld door in het privacy-statement te communiceren dat marketingdata van je klanten wordt verwijderd wanneer er twee jaar lang geen aankoop meer is geweest. Ieder bedrijf kan tot een ander redelijk termijn besluiten.
  • Specifieke doelen en rechtsgronden [9]. Doelen zijn niet vastgelegd in de wet. Die mogen zelf bepaald worden. Belangrijk is alleen wel dat je de betrokkene informeert over het doel en dat de gegevens alleen maar gebruikt worden voor dat doel. [2] De mogelijke rechtsgronden staan bovenin dit artikel. Je moet alle doeleinden beschrijven. [9]
  • Als de verwerking van de persoonsgegevens een wettelijke of contractuele verplichting of noodzakelijke voorwaarde is, moet je ook de gevolgen van het niet verstrekken van de persoonsgegevens vermelden.
  • Duur van de opslag. Je moet aangeven hoe lang de gegevens bewaard worden, of anders: welke criteria bepalen hoe lang het opgeslagen zal worden.
  • Recht op inzage, rectificatie of wissen van de persoonsgegevens. De betrokkene heeft dit recht en daarover moet je hem/haar in de privacyverklaring informeren. Hierbij kun je meteen vermelden hoe de betrokkene dat verzoek kan indienen.
  • Het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens

~ Maak dus een privacystatement en plaats het op relevante plaatsen zodat je relaties weten hoe je te werk gaat. In de comments op dit artikel wees iemand mij op een post van Ilonka Kuis die haar privacy statement al klaar heeft en ter beschikking stelde. Ik gebruikte het als basis voor de mijne: http://www.ilonakuis.nl/privacyverklaring [11]. Die van mij staat nu ook live op www.yvettevanaarle.nl/privacyverklaring.

~ Zorg dat je contacten bekend zijn met je (nieuwe) privacyverklaring. Had je die nog niet toen iemand in je contacten en/of mailinglijst terecht kwam? Dan moet je bijvoorbeeld een mailing sturen zodat je kan aantonen dat mensen weten waar ze akkoord op gaven! En zet een link op je site, in je e-mail handtekening, offerte en nieuwsbrief zou ik zeggen.

ACTIE 3: Regelen van veiligheid van aan jou afgegeven persoonsgegevens

Hoe gevoeliger de data, hoe zwaarder de eisen aan de beveiliging. De gemiddelde zelfstandige hoeft hier dus niet extreem veel mee te doen. Wat precies passende beveiliging is en in welke gevallen is een eigen afweging die jij moet maken. Dit moet je ook goed kunnen beargumenteren wanneer daarnaar gevraagd wordt door de Autoriteit Persoonsgegevens. [4]

Bedenk ook hoe het geregeld is door partijen buiten de EU aan wie je onbewust klantgegevens ter beschikking stelt [4] zoals OneDrive, Mailchimp, Moneybird, Gmail, Google Drive, We Transfer …

~ Ga eens na of die stapel ontvangen visitekaartjes in je kast nog echt nodig zijn.

~Zorg dat je een secure website hebt door over te stappen op ‘https’. Certificaat en installeren is in een dag geregeld met je hosting partij.

~ Denk vanaf nu extra goed na als je in een e-mail diverse ontvangers in de cc zet. Dat is in principe al een datalek, immers je deelt ongevraagd iemand z’n gegevens! En een (interne) e-mail sturen met als attachment een excel sheet met persoonsgegevens – niet doen, maar was al. [5] Overweeg dan maar te melden bij de Autoriteit Persoonsgegevens.

ACTIE 6: Google Analytics aanpassen

~ Log in op je Google Analytics account [12] [13].

  1. Aanpassing gegevensverwerking: Log in bij Google Analytics. > Klik op Beheerder (onderin links) > accountinstellingen > Aanpassing van de gegevensverwerking > aanpassing bekijken > klik op opslaan.
  2. Gegevens delen: zorg dat je in accountinstellingen ook alle vinkjes voor ‘Instellingen voor gegevens delen’ uit hebt staan. Kijk dan ook even bij ‘Trackinginfo’ of daar alles uit staat onder ‘gegevensverzameling ‘en ‘User-ID’.
  3. Anonimiseren IP-adres: voeg in je website code aan je tracking code de volgende regels toe: ga(‘set’, ‘forceSSL’, true) //Gebruik https ga(‘set’, ‘anonymizeIp’, true) //zet IP-masker aan. Als iemand de ‘achterkant’ van je site beheert vraag je het hen.

De Autoriteit Persoonsgegevens heeft zeer sympathiek deze handleiding gemaakt.[13]

ACTIE 5: Verwerkersovereenkomsten

Met verwerkers moet je afspraken maken (jouw opdrachtgever dus ook met jou als je met klantdata gaat werken). Dat kan via een verwerkersovereenkomst (=bewerkersovereenkomst [4]) maar ook via algemene voorwaarden of je opdrachtovereenkomst. DDMA heeft een model verwerkersovereenkomst opgesteld, deze vraag je hier aan. Als je als marketeer een opdrachtgever hielp met CRM, klantonderzoek, een nieuwe website….overeenkomst hebben! [5] De eisen staan op de site van de Autoriteit Persoonsgegevens [8].

~ Check of je zo’n overeenkomst met partners nodig hebt. En controleer dus toch maar rond de 25e of je ondertussen akkoord ging met de verwerkersovereenkomsten van cloud partijen zoals Moneybird, Mailchimp, Google, Gmail, Dropbox, OneDrive. [5]

ACTIE 6: Verwerkingsregister

Er wordt in de AVG ook gesproken over een ‘verwerkingsregister’ en ‘het bijhouden van een register van verwerkingsactiviteiten’ [8]. OSO (Ons Soort Organisaties) hoeven alleen over een register te beschikken wanneer wij data niet incidenteel wordt vastgelegd, een hoog risico inhoudt voor de rechten en vrijheden van de personen en/of waarvan de gegevens vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens. [8]

~ In principe geen actie

Uitzonderingen voor de ZZP-er

Een kleine troost tot slot: in de Uitvoeringswet AVG is een amendement van kamerlid van der Staaij opgenomen (waarvoor dank) waarin wordt verzocht bij de toepassing van de verordening rekening te houden met de omvang van bedrijven en organisaties. De eisen voor handhaving zijn voor ‘ons’ kleine ondernemers-ers dus wel wat minder heftig. [4] Ook hoef je geen Functionaris Gegevensbescherming aan te stellen omdat je waarschijnlijk niet doet aan grootschalige gegevensverwerkingen. [4]

Test jezelf

Zo, je bent er nog! Om maar te spreken van de songtekst waar ik mee begon “Went the distance, now I’m back on my feet, Just a man and his will to survive”. Hopelijk snap je nu wat je te doen staat. Het valt dus nog best mee.

Spoiler alert

Ik ben geen jurist en geen AVG specialist. Maar mijn bronnen heb ik transparant gemaakt. Ben je wél expert en heb ik die bronnen verkeerd geciteerd? Laat me het weten en ik pas de tekst aan.

Bronnen:

[1] https://www.frankwatching.com/archive/2017/05/22/de-cookiewet-wijzigt-in-2018-dit-zijn-de-gevolgen-voor-je-website/

[2] https://www.frankwatching.com/archive/2018/03/21/5-meest-gestelde-vragen-over-avg-gdpr/

[3] Mailplus, https://kennis.mailplus.nl/module/avg-compliance/?user-type=marcom

[4] https://ddma.nl/mythes/

[5] https://www.impres.nl/blog/veelgestelde-vragen-avg/

[6] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg

[7] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/avg_in_een_notendop.pdf

[8] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/verantwoordingsplicht

[9] https://www.frankwatching.com/archive/2018/01/12/zo-is-je-privacyverklaring-avg-gdpr-proof/

[10] https://sitecoach.alphamega.nl/avg-introductie

[11] https://www.linkedin.com/pulse/keep-calm-get-your-avg-done-ilona-kuis/?lipi=urn%3Ali%3Apage%3Ad_flagship3_feed%3BemcQoYj4Q1K9rFlJj71afw%3D%3D

[12] https://www.drijfveermedia.nl/5-stappen-om-google-analytics-avg-vriendelijk-in-te-stellen/

[13] https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_privacyvriendelijk_instellen_google_analytics_mrt_2018.pdf

Ben je super gemotiveerd? Lees dan deze en vertel me of ik wat miste 😉 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleidingalgemeneverordeninggegevensbescherming.pdf