1. Artikel in:
  2. Ondernemen
  3. Juridisch
Zzp & ondernemen
Financiering
Beleggen
Sparen & investeren
Hypotheken
Inkomsten & uitgaven
Pensioen

Nieuwe privacywet GDPR / AVG: hier moeten zzp’ers aan voldoen

Vanaf 25 mei 2018 moeten ondernemers voldoen aan de nieuwe privacywet GDPR / AVG. Daarom hebben hebben we een checklist gemaakt van zaken die een zzp’er nú geregeld moet hebben. Doorloop deze praktische lijst om snel aan de nieuwe privacyregelgeving te voldoen. Knab to the rescue!
Gepubliceerd
24 mei 2018
Laatst geüpdatet
22 februari 2022
Leestijd
5 minuten
- Gepubliceerd: 19 mei 2018
- Laatst geüpdate: 22 februari 2022
- Leestijd: 5 minuten

Vanaf 25 mei 2018 moeten ondernemers voldoen aan de nieuwe privacywet GDPR / AVG. Daarom hebben hebben we een checklist gemaakt van zaken die een zzp’er nú geregeld moet hebben. Doorloop deze praktische lijst om snel aan de nieuwe privacyregelgeving te voldoen. Knab to the rescue!

Ondernemer met tikkende klok en post-its

De nieuwe privacywet GDPR / AVG: wat is het?

Eerst nog even kort over deze wet: de Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse vertaling van de General Data Protection Regulation (GDPR). Er is dus geen inhoudelijk verschil tussen beide termen.

Met deze nieuwe regels wordt de privacy van inwoners van de Europese Unie beter beschermd. Deze wet vervangt de Wet Bescherming Persoonsgegevens (WBP). Alle Nederlandse ondernemingen, en dus ook zzp’ers, moeten dus vanaf 25 mei 2018 voldoen aan deze nieuwe privacyregels.

De Autoriteit Persoonsgegevens is de verantwoordelijke toezichthouder op de AVG en controleert dan ook de naleving van de wet. De boetes die kunnen worden opgelegd bij het overtreden van de wet zijn niet mals en kun je beter voorkomen. Hoe? Dat leggen we je nu uit.

Wat betekent GDPR voor zzp’ers?

Nu je weet dat er een nieuwe privacywet komt, wil je deze natuurlijk meteen goed implementeren in jouw eigen organisatie. Als zzp’er heb je misschien geen ingewikkelde databases, toch is het goed om een aantal zaken te regelen. We beginnen bij het begin: de persoonsgegevens.

1: Persoonsgegevens: wat zijn dat eigenlijk?

Als zzp’er moet je bekend zijn met het begrip persoonsgegevens. Onder persoonsgegevens vallen alle gegevens die identificatie van een individu mogelijk maken. 

Er zijn twee soorten persoonsgegevens:
1. Persoonsgegevens zijn alle zaken die herleidbaarheid tot een individu mogelijk maken. Denk aan: 

- naam - telefoonnummer
- geboortedatum - e-mailadres
- adres - IP-adres
- woonplaats - bankrekeningnummer


2. Bijzondere persoonsgegevens zijn gevoelige gegevens over die ‘iets zeggen’ over iemand.Denk aan:

- foto's  - ras
- medische data - religie
- seksuele geaardheid - vingerafdruk 
- politieke voorkeur - burgerservicenummer (BSN)
- strafrechtelijk verleden
- kopieën of scans van een paspoort, ID-kaart of rijbewijs		  - kopieën van bankpassen, creditcards en andere passen met persoonsgegevens


Let op: je mag geen bijzondere persoonsgegevens opslaan of verwerken, tenzij hier een wettelijk uitzondering voor is. Denk dan bijvoorbeeld aan een psycholoog die deze gegevens verwerkt voor vergoeding door de zorgverzekeraar. 

2: Persoonsgegevens gebruiken en verwerken

Zodra je persoonsgegevens gaat opslaan en verwerken, moet je dit volgens de privacywet doen. Je legt vast waarom je dit doet en wie er binnen jouw bedrijf verantwoordelijk voor is.

Bedenk daarom eerst welke gegevens je van klanten of cliënten wél en welke je niet nodig hebt. Het uitgangspunt hierbij is: leg alleen de gegevens vast die noodzakelijk zijn en verwijder deze als ze niet meer nodig zijn.

Een voorbeeld: e-mailadres opslaan
Een ondernemer mag alleen een e-mailadres opslaan als een klant iets bij de ondernemer bestelt. Of als deze klant toestemming geeft om het e-mailadres te gebruiken voor een nieuwsbrief. Je mag niet zomaar om een e-mailadres vragen omdat je denkt dat dit in de toekomst ‘wel handig’ kan zijn. Je moet bij de klant aangeven waar je de gegevens voor gebruikt. En hoelang je de gegevens bewaart.

3: Toestemming voor gebruik van persoonsgegevens

Je moet altijd toestemming hebben van je klant om specifieke gegevens te verwerken. Ook het doel van het gebruik moet duidelijk zijn. Dit kun je doen door per persoonsgegeven duidelijk te vermelden waar een klant toestemming voor geeft.

Een voorbeeld: toestemming vragen
Klanten moeten op je website zelf een vinkje kunnen aantikken voor toestemming van het gebruik van hun e-mailadres. Je mag dit adres alleen opslaan en verwerken voor het doel dat je bij het vinkje hebt omschreven. Dit kan bijvoorbeeld een wekelijkse nieuwsbrief zijn. Het vinkje mag niet al automatisch aan staan of op een manier zijn ingesteld dat klanten een vinkje moeten aanklikken om juist niet akkoord te gaan.

4: privacy statement én klantendatabase

Ondernemers zijn verplicht om de volgende zaken op te nemen in een privacy statement. Deze mogen niet omslachtig worden omschreven. Iedereen moet kunnen begrijpen wat je met de gegevens doet.

De volgende zaken zou je moeten vermelden in je privacy statement:

  • welke persoonsgegevens je bewaart en verwerkt;
  • hoe je deze persoonsgegevens bewaart en verwerkt;
  • met welk doel je een bepaald soort persoonsgegevens bewaart en verwerkt; 
  • hoe je toestemming hebt verkregen om de persoonsgegevens te bewaren en verwerken;
  • voor welke periode je een deze gegevens bewaart en verwerkt;
  • met welke derden en welk doel je deze data deelt of niet deelt. 

De volgende zaken zou je moeten opnemen in je klantendatabase:

  • welke gegevens je ontvangt voor welk doel;
  • hoe je toestemming hebt verkregen om individuele persoonsgegevens op te slaan en te verwerken;
  • tot wanneer je de gegevens van een specifiek persoon bewaart en verwerkt;
  • welke derden toegang hebben tot gegevens van een specifiek persoon en tot wanneer.

5: Recht op inzage en verwijdering mogelijk maken

Klanten en werknemers hebben recht op inzage in al hun persoonsgegevens. Dit moet jij dus mogelijk maken.

Je mag geen informatie achterhouden, ook niet in persoonlijke notities. Ook alle correspondentie die je met je klant hebt gevoerd en hebt opgeslagen, valt onder dit recht.

Belangrijk: zorg dat je een klant eerst identificeert voordat je inzage geeft. Op deze manier voorkom je een privacy- en datalek.

Naast het recht op inzage waarborgt de AVG ook de volgende rechten waar je rekening mee moet houden:

  • Recht op rectificatie
    Het recht op rectificatie geeft personen het recht om hun persoonsgegevens te laten corrigeren als deze foutief zijn. Deze gegevens vallen namelijk onder hun verantwoordelijkheid.
  • Recht op verwijdering
    Daarnaast hebben deze klanten en werknemers het recht op verwijdering van al hun persoonsgegevens. Je mag dit niet weigeren, tenzij je bijvoorbeeld nog een lopend contract hebt met een klant. Je moet natuurlijk wel altijd inzage geven.
  • Recht op bezwaar
    Klanten mogen na de invoering van de nieuwe privacywet weigeren om hun gegevens door jou te laten gebruiken voor bijvoorbeeld onderzoek of marketingactiviteiten.
  • Recht op weigering van geautomatiseerde besluitvorming en profilering Dit recht beschermt personen tegen het risico dat er een nadelige beslissing wordt gemaakt zonder tussenkomst van een mens. Dit is voor jou als zzp’er nu misschien minder relevant, maar kan het in de toekomst wel worden. Je mag systemen bijvoorbeeld niet zodanig instellen dat een sollicitant automatisch wordt geweigerd.

6. Dealen met beveiliging & privacy- of datalekken

Bij het beschermen van persoonsgegevens hoort ook goede beveiliging van deze gegevens. Een privacy- of datalek van persoonsgegevens is niet alleen heel vervelend voor een klant, maar kan ook de reputatie van jouw onderneming ernstig schaden.

Daarnaast is het met deze nieuwe wet écht jouw taak om de persoonsgegevens van je klanten goed te beschermen. Bedenk goed hoe je ervoor zorgt dat je deze gegevens veilig en versleuteld opslaat. En dat andere mensen niet zomaar bij de gegevens van een van je klanten of cliënten kan. Leg dit vast in een protocol. Is er toch sprake van een lek? Dan ben je soms verplicht om dit te melden bij de Autoriteit Persoonsgegevens.

7. Als gegevensverzameling jouw kernactiviteit is

Is het bewaren en verwerken van persoonsgegevens jouw kernactiviteit? Dan moet je een Functionaris voor de gegevensbescherming (FG) aanstellen en een Data Protection Impact Assessment (DPIA) uitvoeren.

8. Geldstromen scheiden met een zakelijke rekening

Een goede administratie helpt je om overzichtelijk te ondernemen. Ontvang je ook betalingen van je klanten? Zorg dan voor een zakelijke rekening. Zo houd je de gegevens van je klanten gescheiden van je eigen transacties. Zo kun jij gewoon onbezorgd bankieren met hét zakelijk bankpakket voor zzp'ers.

Daarnaast krijg je:

  • 500 gratis transacties per jaar
  • Maximaal vijf betaalrekening
  • Zoveel spaarrekeningen als je wil

Stenfinn Deguelle

Stenfinn Deguelle
Stenfinn werkte in 2018 en 2019 voor Knab. Hij schreef verschillende artikelen over (zakelijke) financiën.

Deel via:
Hét zakelijk bankpakket voor zzp'ers! Check de Knab-rekening

Profiteer nu bij Knab van hét zakelijk bankpakket voor zzp'ers

Lees meer over Knab Zakelijk