Je praktijk AVG-proof in 5 stappen
AVG-proof ondernemen
Wist jij dat zowel grote als kleine ondernemers vanaf 25 mei 2018 verplicht zijn om te voldoen aan de eisen en richtlijnen van de AVG (Algemene Verordening Gegevensbescherming)?
Nee, dat wist ik niet.
Ben jij startend ondernemer? Ook al werk je slechts deeltijd in je eigen bedrijf of maak je (nog) geen winst. Ook jij bent verplicht om je als ondernemer te houden aan deze Verordening. Doe je dat niet, dan loop je het risico op hoge boetes.
In dit artikel vertel ik je meer over de AVG en wat dit voor jou als ondernemer betekent. Daarnaast help ik je om jouw praktijk in 5 stappen klaar te maken voor de AVG.
Ja, ik weet het wel, maar ik moet er nog aan beginnen.
Je hebt al wel gehoord van de AVG (Algemene Verordening Gegevensbescherming), maar je bent nog niet begonnen aan het implementeren van deze verordening in jouw praktijk. Lees dan in dit artikel hoe je jouw praktijk AVG-proof maakt in 5 stappen.
Ja, ik weet het en ik ben er mee bezig.
Wat goed van je dat je al aan de slag bent met het implementeren van de AVG. Gebruik dit artikel gerust ter aanvulling op je proces.
Ja, ik weet het en ik ben er al helemaal klaar voor.
Jouw bedrijf is al helemaal klaar voor de AVG. Super! Wat goed van je. Mogelijk vind je het fijn om even snel het stappenplan na te lopen om te zien of je niets hebt gemist.
Wat is de AVG?
AVG staat voor Algemene Verordening Gegevensbescherming. Met deze verordening wordt dezelfde nieuwe privacywetgeving in heel Europa van kracht. De Nederlandse Wet bescherming persoonsgegevens (Wbp) komt daarmee te vervallen.
In Nederland noemen we de nieuwe privacywet de AVG. In Europese verbanden wordt het ook wel aangeduid onder de Engelse naam: General Data Protection Regulation (GDPR).
Privacyrechten
De AVG heeft betrekking op de privacyrechten van van personen. In de Algemene Verordening Gegevensbescherming worden deze privacyrechten versterkt en uitgebreid ten opzichte van de Wbp.
De nieuwe privacywetgeving voorziet daarmee in de verandering van de tijd. Veel persoonsgegevens worden tegenwoordig uitgewisseld en/of opgeslagen via digitale wegen en op digitale locaties. De oude privacywetgeving was daar niet op ingericht.
Informatief
De AVG zorgt ervoor dat personen worden geïnformeerd over de wijze waarop door bedrijven en instanties (groot en klein):
- Persoonsgegeven worden opgeslagen,
- Waar de gegevens worden opgeslagen.
- Hoelang deze gegevens worden bewaard.
- Waarom ze worden bewaard.
- Hoe de persoon wiens gegevens het betreft deze kan wijzigen en of verwijderen.
Wie heeft er te maken met de AVG?
Elke ondernemer. Dus zowel de kleine (startende) ondernemer die voltijd of deeltijd een eigen praktijk/bedrijf heeft, als de grote gevestigde multinational.
Wanneer je als ondernemer persoonsgegevens opslaat en/of verwerkt (al dan niet geheel of gedeeltelijk digitaal), val je onder de AVG. Naast bedrijven geldt de AVG ook voor stichtingen en andere instanties.
Omdat ik met startende ondernemers werk die over het algemeen allemaal een eenmanszaak beginnen, richt ik me in dit artikel op de kleine zelfstandige ondernemer. De informatie die je hieronder aantreft is daar op afgestemd.
Je verwerkt persoonsgegevens:
- Wanneer je een contactformulier op je website hebt staan waar mensen hun gegevens, bijvoorbeeld naam en telefoonnummer of mailadres, invullen om contact op te nemen.
- Wanneer je een e-book weggeeft via je website waarvoor een naam en mailadres worden gevraagd.
- Wanneer je betalingen verwerkt via een online betaalprogramma, overboeking of een factuur.
- En uiteraard ook wanneer je offertes of contracten op naam verstuurt.
Herkenning
Persoonsgegevens zijn gegevens waardoor je een persoon kunt herkennen of die te herleiden zijn naar een persoon, zoals natuurlijk een naam en geboortedatum, foto, maar bijvoorbeeld ook een postcode met huisnummer, ras, geloof, geslacht, ect. (Lees meer over ‘wat zijn persoonsgegevens‘)
De Algemene Verordening Gegevensbescherming geldt niet alleen voor ondernemers en instanties, maar ook voor consumenten en andere personen voor wiens bescherming deze privacywetgeving juist is aangescherpt. Linksom of rechtsom krijgen we dus allemaal te maken met de invoering van de AVG.
Waarom wordt de AVG ingevoerd?
Elke EU lidstaat voorzag tot voor kort in zijn eigen privacywet. In Nederland werd deze wetgeving uitgevoerd zoals omschreven in de Wet bescherming persoonsgegevens (Wbp). Echter zowel de Nederlandse als de Europese wetgeving rondom de bescherming van persoonsgegevens vinden hun basis in privacy richtlijnen uit 1995.
Deze zijn met de opkomst van het internet enorm verouderd. Dat maakt nieuwe wetgeving noodzakelijk.De Algemene Verordening Gegevensbescherming voorziet in de behoefte van Europese privacywetgeving anno 2018.
De AVG wijzigt ten opzichte van de Wbp op de volgende punten:
- Het versterkt en geeft uitbreiding van privacyrechten;
- Verantwoordelijkheden voor organisaties worden vergroot;
- Gelijke bevoegdheden voor handhaving van de privacywetgeving binnen alle Europese lidstaten.
Per wanneer geldt de AVG?
De ingangsdatum van de AVG is 25 mei 2018. Vanaf die datum dien je als ondernemer je privacy-beleid op orde te hebben en moet je voldoen aan de eisen die de AVG aan ondernemers stelt.
Ik kan me voorstellen dat dat voor jou misschien nogal overweldigend aanvoelt. In eerste instantie dacht ik ook: “Pfff, wat een gedoe allemaal. Misschien moet ik het ondernemerschap maar loslaten…”
Verplicht
Een Algemene Verordening Gegevensbescherming klinkt al zo groots van zichzelf. Toen ik zag dat de daarbij behorende sancties kunnen oplopen tot boetes van 20 miljoen euro, was ik al bijna afgehaakt. Echter raakt het iets dat gerelateerd is aan angst. De angst om het niet goed te doen en daarop afgestraft te worden.
.
Wat mij geholpen heeft om mijn ondernemerschap er niet door te laten overschaduwen is exact dat waar ik mijn cliënten ook altijd mee help. Namelijk het opdelen van de berg in kleine behapbare stapjes.
Laat je niet ontmoedigen door de AVG
Ik help je stap voor stap bij de start van je eigen bedrijf en dus ook bij de invoering van de AVG. Je bent en blijft natuurlijk wel altijd zelf verantwoordelijk voor een juiste interpretatie en uitvoering van de AVG en andere Wet- & regelgeving.
Europese voorbereiding op de AVG
De invoering van de AVG komt niet zomaar uit de lucht vallen. Het wetsvoorstel is op 4 mei 2016 gepubliceerd in het Publicatieblad van de Europese Unie. Twintig dagen na deze publicatie is de AVG in werking getreden.
Per 25 mei 2018 is de AVG van toepassing. De tussenliggende periode is gebruikt ter voorbereiding, zodat zowel bedrijven en instanties, maar ook toezichthouders hun privacy-beleid en sanctiebeleid hebben kunnen vormgeven voor de implementatietermijn.
Voor kleine zelfstandig ondernemers zoals jij en ik wordt de invoering van de nieuwe privacywet vooral actueel nu deze per 25 mei 2018 in werking treedt.
Ondernemer worden na 25 mei 2018
Wanneer je als startende ondernemers na 25 mei 2018 je eigen praktijk of bedrijf begint, geldt de AVG uiteraard direct vanaf het moment van opstarten. Houdt daar bij de voorbereiding rekening mee.
Zoals je misschien wel hebt gemerkt is het privacy-beleid een hot item en een belangrijk onderdeel in je AVG voorbereiding. De ene na de andere melding van organisaties die hun privacy-beleid hebben aangepast verschijnt rondom 25 mei 2018 in mijn mailbox.
Je gaat het ook merken wanneer je online een e-book aanschaft een product koopt, een contactformulier invult of ergens anders je persoonsgegevens achter laat. Binnenkort zal je overal gewezen worden op de privacyverklaring, het privacy-beleid of het privacy-statement van de betreffende organisatie.
Ontvang praktische stap voor stap begeleiding bij de start van je bedrijf.
Bekijk het Starten Zonder Stress Handboek
Maak jouw praktijk AVG-proof in 5 stappen
Het allerbelangrijkste rondom de AVG is dat je als ZZP/MKB ondernemer zelf verantwoordelijkheid neemt voor een juiste uitvoering van de privacyrichtlijnen zoals omschreven in de AVG. Hiervoor zijn 5 stappen van cruciaal belang:
1) INFORMEREN
Voorzie jezelf van correctie informatie omtrent de toepassing van de Algemene Verordening Gegevensbescherming.
DISCLAIMER: In dit artikel geef ik je naar eer en geweten informatie over deze privacywet. Ik ben echter geen jurist en informatie kan in de loop van de tijd worden aangescherpt. Zorg er daarom voor dat je de juistheid ervan checkt bij de bron. Ik zal suggesties voor links over dit onderwerp hieronder invoegen. Daar heb ik ook mijn informatie vandaan.
2) INVENTARISEREN
Maak een overzicht van alle onderdelen binnen jouw bedrijf waarop je persoonsgegevens van je (potentiële) klanten e.a. registreert. Dit geeft jou inzicht. Inzicht is van cruciaal belang voor een goede uitvoering van de AVG.
Door bedrijfsprocessen te inventariseren zie je in één oogopslag. Waar voor jou de verbeterpunten liggen en waar je jouw privacy-beleid op moet inrichten.
Zo kwam ik zelf bijvoorbeeld tot de conclusie dat het registreren van een telefoonnummer en mailadres bij verkoop van een los product niet direct noodzakelijk is voor de afhandeling van de koop. Zolang registratie van deze gegevens geen heldere functie dient is het overbodig om die gegevens te vragen en op te slaan.
Tabel
Ik heb mijn bedrijfsprocessen waarbij ik persoonsgegevens verwerk ter inventarisatie in een tabel gezet. Zo kon ik per dienst en product aanvinken welke gegevens ik noteer. Kijk hoe je dit voor jezelf het prettigst kunt inventariseren.
Wat je in elk geval moet noteren is:
- Bij welke diensten/producten/processen vergaar je als ondernemer persoonsgegevens?
- Welke persoonsgegevens vergaar je (bij welk dienst/product/proces)?
- Heb je toestemming van betreffende personen om deze persoonsgegevens volgens het (door jou wellicht nog te formuleren) Privacy-statement op te slaan.
- Waar sla je deze gegevens op?
- Met wie je deel je deze gegevens?
- Hebben de partijen met wie je de gegevens deelt hun privacy-beleid op orde? (Oftewel wordt er door derden ook zorgvuldig en volgens AVG-richtlijnen met persoonsgegevens om gegaan?)
- Hoe lang bewaar je de persoonsgegevens?
- Waar kan de persoon om wie het gaat zijn/haar persoonsgegevens inzien/wijzigen/verwijderen of opvragen (bijvoorbeeld in het geval je met een patiëntendossier werkt.)
3) INTEGREREN
Integreer de informatie die je hebt vergaard en de inventarisatie die hebt gemaakt van jouw verwerking persoonsgegevens in een privacy-statement of privacyverklaring (net hoe je het wilt noemen).
Laat je hierbij gerust inspireren door andere ondernemers en organisaties wiens privacy-statement je de komende tijd tegenkomt. Haal eruit wat op jouw onderneming van toepassing is en beschrijf je eigen proces.
Handige link
Ik kan je van een handige link voorzien waarop je een privacyverklaring kunt invullen zodat je een basisdocument genereert dat je naar eigen wensen en interpretatie kunt aanpassen en aanvullen. Dit kan onder andere via: https://veiliginternetten.nl/privacyverklaring/
Wil je helemaal zeker zijn van je zaak, laat dan je privacyverklaring opstellen, nalezen en/of eventueel aanscherpen door een jurist. Ook daarbij geldt dat je te allen tijde zelf verantwoordelijk bent voor een juiste invulling, uitvoering en toepassing van AVG.
4) IMPLEMENTEREN
Plaats jouw privacyverklaring op je website, in je correspondentie en op overige plaatsen waarop je om persoonsgegevens vraagt.
Belangrijk
Laat de persoon in kwestie bij het achterlaten van zijn/haar persoonsgegevens expliciet toestemming geven voor verwerking hiervan, zoals door jou omschreven in de bijgeleverde privacyverklaring. Je mag in dit geval dus NIET werken met een vooraf aangevinkt vakje wat men moet uitvinken bij niet akkoord.
Toestemming
Je verkrijgt alleen toestemming wanneer er door de persoon zelf een handeling voorafgaat door het geven van akkoord. Bijvoorbeeld doordat hij/zij zelf een vakje aanvinkt met akkoord volgens het privacy-statement of een handtekening plaatst onder een (overeenkomst met) Privacy-statement.
Als ondernemer ben je volgens de AVG verplicht om verkregen toestemming te registreren met naam, datum en via welke weg de toestemming is verkregen. Dit wordt de verantwoordingsplicht genoemd.
In geval van aanmelding voor een nieuwbrief gebeurt dit bijvoorbeeld middels registratie in het mailprogramma dat je gebruikt. Het betreffende mailprogramma is in dit geval een derde partij met wie jij de gegevens van jou (potentiële) klant e.a. deelt.
5) NALEVEN / HANDHAVEN
Nadat je zelf je privacy-beleid in een AVG conform format hebt gegoten, ben je verantwoordelijk voor het naleven van je eigen privacyverklaring.
Zorg ervoor dat het voor jezelf helder is wie wat waar wanneer toestemming voor heeft gegeven en wees zuiver in het naleven van dat wat je conform AVG met je klanten en contacten hebt afgesproken.
Autoriteit Persoonsgegevens
De AP (Autoriteit Persoonsgegevens) ziet er op toe dat de AVG juist wordt toegepast. De Autoriteit Persoonsgegevens vermeld op haar website hoe je als ondernemer aan verantwoordingsplicht kunt voldoen.
Een exacte registratie van inschrijvingen, wijzigingen en uitschrijvingen in de gegevensverwerking van dient vooral voor grote bedrijven specifiek en uitgebreid te zijn.
Kleine zelfstandig ondernemers kunnen volstaan met een correcte registratie van verkregen toestemming voor het opslaan en verwerken van de benodigde persoonsgegevens.
Het is aan de ondernemer zelf hoe hij de registratiefunctie toepast om aan de verantwoordingsplicht te kunnen voldoen. Voor de meest actuele informatie hierover verwijs ik je graag naar de website van de Autoriteit Persoonsgegevens.
Overleg met collega’s
Bespreek ook vooral met collega ondernemers hoe zij de AVG binnen hun bedrijf toepassen en op welke wijze zij aan de verantwoordingsplicht voldoen. Dit helpt je om voor jezelf een registratiestrategie te bepalen.
Als zelfstandig ondernemer met een eenmanszaak, wil je vast zo veel mogelijk tijd investeren in het werkelijk uitoefenen van je vak en zo min mogelijk bezig zijn met alle randvoorwaarden daaromheen.
Help jezelf daarom aan een zo simpel mogelijk registratiesysteem, zodat je met minimale inspanning maximaal aan je verantwoordingsplicht kunt voldoen.
Het doel van de AVG
Het doel van de Algemene Verordening Gegevensbescherming is o.a. creëren van transparantie. Het is daarom van belang dat je jouw privacyverklaring inzichtelijk maakt op plaatsen waarop je persoonsgegevens opvraagt om je werkzaamheden naar behoren te kunnen uitvoeren.
Ter inspiratie kan je op mijn website kijken hoe ik dit heb gedaan. Mijn privacyverklaring is onder andere te vinden in de footer van mijn website. Daarnaast is deze verwerkt in alle digitale inschrijfformulieren waarop bezoekers een aanvraag doen waarbij ze o.a. naam en mailadres moeten invullen.
Bewustwording
Daarnaast is het doel dat je je als ondernemer bewust wordt van de informatie die je opvraagt en opslaat.
- Is het voor het versturen van een online nieuwsbrief noodzakelijk om iemands woonadres of telefoonnummer te registreren? Nee. In het geval van een digitale nieuwsbrief kan worden volstaan met een voornaam (eventueel achternaam) en een mailadres.
- Voor het versturen van een postpakket zijn adresgegevens wel noodzakelijk, maar is bijvoorbeeld registratie van een BSN (Burger Servicenummer) niet relevant.
Meer grip op gegevensverwerking
De AVG geeft personen meer grip op de wijze waarop hun persoonsgegevens worden opgeslagen. Via de website Autoriteit Persoonsgegevens vind je meer informatie over de AVG. Dit is tevens de grootste bron die ik gebruikt heb voor totstandkoming van dit artikel.
Aan de slag met de AVG
Heel veel succes met het stap voor stap doorvoeren van de AVG in jouw praktijk.
- Kom je er niet uit?
- Voel je je overweldigd door wat de AVG van je vraagt.
Je wordt geacht als startende ondernemer aandacht te hebben voor het inventariseren, inrichten en implementeren van de privacywet. Het is heel logisch dat dat voor stress zorgt. Zeker als het nog onbekend terrein voor je is.
Starten zonder stress is mijn missie. Ik help je dan ook graag je AVG-stress te beperken. Neem gerust contact met me op, wanneer je hulp nodig hebt bij de start of opbouw van je bedrijf.