Privacywet AVG (GDPR): hier moeten zzp’ers aan voldoen

Werk je als zzp’er met persoonsgegevens van klanten, opdrachtgevers of leveranciers? Dan moet je voldoen aan de AVG (Algemene Verordening Gegevensbescherming). Die regels gelden al sinds 2018, maar zijn nog steeds actueel en worden actief gehandhaafd. In dit artikel lees je wat de AVG voor jou als zzp’er betekent en welke zaken je op orde moet hebben.

Wat is de AVG (GDPR)?

De AVG is de Nederlandse naam voor de Europese privacywet General Data Protection Regulation (GDPR). Het gaat om dezelfde wet; alleen de afkorting verschilt per taal.

De AVG beschermt de privacy van mensen binnen de Europese Unie en vervangt sinds 25 mei 2018 de oude Wet bescherming persoonsgegevens. Alle ondernemers die persoonsgegevens verwerken, dus ook zzp’ers, moeten zich aan deze regels houden. De Autoriteit Persoonsgegevens houdt toezicht en kan bij overtredingen forse boetes opleggen.

Wat betekent de AVG voor zzp’ers?

Ook als je geen grote databases hebt, krijg je vrijwel altijd met persoonsgegevens te maken. Denk aan klantgegevens, e-mailadressen, facturen of contactformulieren. De AVG verplicht je om bewust om te gaan met die gegevens en vast te leggen wat je ermee doet, waarom en hoe lang.

1. Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens waarmee iemand direct of indirect te identificeren is, zoals:

• naam
• e-mailadres
• telefoonnummer
• adres
• geboortedatum
• IP-adres
• bankrekeningnummer

Daarnaast zijn er bijzondere persoonsgegevens. Dat zijn extra gevoelige gegevens, zoals:

• medische gegevens
• religie of levensovertuiging
• ras of etnische afkomst
• seksuele geaardheid
• politieke voorkeur
• burgerservicenummer (BSN)
• kopieën van identiteitsbewijzen

Deze gegevens mag je alleen verwerken als daar een specifieke wettelijke uitzondering voor is. Voor de meeste zzp’ers geldt: liever niet opslaan.

2. Persoonsgegevens gebruiken en verwerken

Zodra je persoonsgegevens opslaat of gebruikt, moet dat volgens de AVG gebeuren. Dat betekent dat je:

• alleen gegevens verzamelt die je echt nodig hebt
• vastlegt waarvoor je de gegevens gebruikt
• bepaalt hoe lang je ze bewaart
• gegevens verwijdert zodra ze niet meer nodig zijn

Een praktisch uitgangspunt is dataminimalisatie: verzamel niet meer dan noodzakelijk. Een e-mailadres opslaan mag bijvoorbeeld voor facturatie of communicatie over een opdracht, maar niet “voor het geval dat”.

3. Toestemming voor gebruik van persoonsgegevens

Voor sommige verwerkingen heb je expliciete toestemming nodig, bijvoorbeeld voor nieuwsbrieven of marketing. Die toestemming moet:

• vrij gegeven zijn
• specifiek zijn
• duidelijk worden vastgelegd

Een vooraf aangevinkt vakje is niet toegestaan. Klanten moeten zelf actief toestemming geven en die toestemming ook weer eenvoudig kunnen intrekken.

4. Privacyverklaring en overzicht van je gegevens

Als zzp’er ben je verplicht om een privacyverklaring te hebben. Daarin leg je in begrijpelijke taal uit:

• welke persoonsgegevens je verwerkt
• met welk doel
• hoe lang je ze bewaart
• met wie je gegevens deelt
• welke rechten mensen hebben

Daarnaast is het verstandig om intern een overzicht bij te houden van je gegevensverwerking. Zo weet je altijd:

• welke gegevens je van wie hebt
• waarom je ze bewaart
• tot wanneer
• wie er toegang toe heeft

5. Recht op inzage, correctie en verwijdering

Mensen van wie jij persoonsgegevens verwerkt, hebben verschillende rechten. Ze mogen:

• hun gegevens inzien
• fouten laten corrigeren
• hun gegevens laten verwijderen
• bezwaar maken tegen bepaald gebruik

Je moet hieraan meewerken, tenzij je wettelijk verplicht bent gegevens te bewaren, bijvoorbeeld voor de Belastingdienst. Controleer altijd eerst de identiteit van de aanvrager om misbruik te voorkomen.

6. Beveiliging en datalekken

Je bent verplicht om persoonsgegevens goed te beveiligen. Denk aan:

• sterke wachtwoorden
• versleutelde opslag
• beperkte toegang tot gegevens

Gaat er toch iets mis en lekt er data? Dan kan het zijn dat je dit moet melden bij de Autoriteit Persoonsgegevens en soms ook bij de betrokkenen zelf. Het is verstandig om vooraf vast te leggen wat je doet bij een datalek.

7. Wanneer gegevensverwerking je kernactiviteit is

Is het verwerken van persoonsgegevens een belangrijk onderdeel van je werk, bijvoorbeeld omdat je grote hoeveelheden gevoelige data verwerkt? Dan kunnen extra verplichtingen gelden, zoals het uitvoeren van een Data Protection Impact Assessment (DPIA). Voor de meeste zzp’ers is dit niet van toepassing, maar het is goed om dit te checken.

8. Houd geldstromen en gegevens gescheiden

Een overzichtelijke administratie helpt ook bij privacy. Door zakelijke en privézaken te scheiden, verklein je de kans op fouten en datalekken. Met een zakelijke rekening houd je klantgegevens gescheiden van je privétransacties en werk je overzichtelijker. Dat maakt het makkelijker om aan de AVG te voldoen.

Je las zojuist een artikel uit de Knab Bieb. Dé online verzamelplek met honderden praktische artikelen over hoe je je geldzaken als zzp’er slim kunt regelen.