Het zal je niet zijn ontgaan: sinds 25 mei 2018 is de nieuwe privacywet, de AVG, van kracht. Eind juni meldde de Autoriteit Persoonsgegevens, die toeziet op naleving van de wet, dat er al ruim 600 klachten waren ingediend. Hieruit blijkt dat mensen zich bewust zijn van hun rechten en van bedrijven verwachten dat er op een juiste manier wordt omgegaan met hun persoonsgegevens. We merken dat er nog veel misverstanden over de AVG leven onder zelfstandig ondernemers. Daarom 3 veelvoorkomende misverstanden op een rij.
Misverstand #1: De AVG is niet op mij van toepassing
Een grote misvatting is dat de AVG alleen geldt voor grote bedrijven die met veel data werken, maar niets is minder waar. De AVG is een Europese wet die geldt voor álle bedrijven, verenigingen en stichtingen die persoonsgegevens verwerken. Zowel voor grote multinationals zoals Shell en Unilever als voor MKB-ondernemers en zzp’ers - en alles daar tussenin. Dus ook als zelfstandig ondernemer ben je verplicht om aan de AVG te voldoen en zul je maatregelen moeten nemen. Je moet kunnen aantonen dat je je aan de wet houdt.
Misverstand #2: Maar ik verwerk helemaal geen persoonsgegevens
Er zijn natuurlijk heel veel soorten persoonsgegevens. De meest voor de hand liggende persoonsgegevens zijn iemands naam, adres, woonplaats, telefoonnummer, geboortedatum, geboorteplaats en e-mailadres. Maar wat betekent het woord verwerken nou precies? Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Dit is natuurlijk een ruime definitie. Laten we het even wat concreter maken en als voorbeeld de delicatessenwinkel op de hoek gebruiken. Op kleine schaal ‘verwerkt’ deze MKB-ondernemer ook persoonsgegevens. Op de website van de winkel staat namelijk een contactformulier en ze sturen wel eens een mail naar klanten of een factuur naar bedrijven. Af en toe plaatsen ze een foto op Facebook met daarop bijvoorbeeld een blije klant die een prijs heeft gewonnen. Ook kleine ondernemers en zelfstandigen verwerken dus persoonsgegevens.
Misverstand #3: Ik heb al een privacyreglement, dus verder hoef ik niks meer te regelen
Je bent wettelijk verplicht om richting je klanten transparant te zijn over hoe je omgaat met persoonsgegevens. Meestal worden klanten hierover geïnformeerd via een privacyreglement. Maar met alleen een reglement ben je er nog niet. Alles wat je in dit document beschrijft of belooft moet je natuurlijk ook doen, pas dus je beleid en bedrijfsvoering hierop aan. De AVG verplicht je ook om een verwerkingsregister en een datalekregister bij te houden. En als je gebruik maakt van cookies op je website, dan dien je een cookieverklaring te hebben. Er komt dus heel wat bij kijken. Bovendien is voldoen aan de AVG géén eenmalige exercitie. De privacy huishouding binnen jouw onderneming moeten op orde zijn en blijven. De AVG is geen hype die wel weer over waait, privacy zal juist een steeds grotere rol gaan spelen.
Deze blog is geschreven door Privacy Zeker. Privacy Zeker begeleidt MKB-ondernemers en zzp’ers om te kunnen voldoen aan de privacywetgeving. Leden van PZO ontvangen korting op de dienstverlening van Privacy Zeker. Ben jij lid van PZO en wil je de kortingscode ontvangen? Mail naar secretariaat@pzo.nl en vraag de code aan. Meer informatie over Privacy Zeker vind je op de website.