skip to Main Content

Zzp’ers en de AVG

Sinds 25 mei is de AVG, de Europese privacywetgeving, van kracht gegaan, maar welke impact heeft deze nieuwe wetgeving nou eigenlijk op zzp’ers? Waar moet je allemaal rekening houden? En, wat mag er nou wel en wat mag er niet? In dit artikel geven we antwoord op de meest gestelde vragen rondom de AVG. 

De AVG, wat moet ik er als zzp’er nu echt over weten?

Het is belangrijk om te beseffen dat de AVG puur om persoonsgegevens zoals telefoonnummers, namen, en adressen gaat. Om die correct te beheren hebben ook zzp’ers een privacyreglement, register, en verwerkersovereenkomst nodig. Tegelijkertijd dienen datalekken geregistreerd te worden.

Daarnaast ben je verplicht om praktische maatregelen te nemen die de persoonsgegevens beschermen. Laat bijvoorbeeld je laptop of pc niet onbeheerd achter wanneer je gaat lunchen. Zorg voor goede beveiliging op jouw servers, kies sterke wachtwoorden, en gebruik waar mogelijk encryptie. Je dient in het algemeen gesproken nooit meer gegevens te bewaren dan nodig en oude, overbodige informatie te verwijderen.

Wat doe ik met de gegevens die ik tot nu toe heb verzameld?

Die mag je gewoon bewaren, al zijn daar wel regels voor! Zo moet je vaststellen hoelang je de gegevens wilt bewaren. Daar zijn geen standaard wettelijke termijnen voor, maar je moet wel altijd kunnen uitleggen waarom je gegevens voor een bepaalde periode wilt bewaren. De motivatie voor het opslaan van de gegevens kun je communiceren in een register. Als iemand staat ingeschreven om jouw nieuwsbrief te ontvangen blijft dat zo, totdat diegene zichzelf afmeldt. Je bent niet verplicht om persoonsgegevens in een apart crm-systeem te beheren.

Gaan de regels pas in als klanten deze accepteren?

In principe is een privacyverklaring een unilaterale melding waarvoor geen wederzijds akkoord nodig is. Klanten moeten de verklaring wel altijd makkelijk kunnen vinden zodat zij zich hierop kunnen beroepen wanneer gewenst of nodig.

Hoe zit het met gegevens van (mogelijke) klanten die afkomstig zijn uit offertes of leads?

Als er een wettelijke grondslag voor is, mag je dit soort gegevens ook gewoon bewaren. Zeker als je deze nodig hebt voor een gezonde bedrijfsvoering. Ook hier is het zaak te onthouden dat jij jouw beleid goed moet kunnen verantwoorden. In het algemeen kun je stellen dat je het belang van het bewaren van de informatie moet afwegen tegen het belang van de personen om wiens informatie het gaat. Als je de persoonsgegevens verwijdert mag je de algemene informatie die overblijft eindeloos bewaren.

De wet stelt wel dat je niet op basis van deze gegevens personen direct mag benaderen vanwege commerciële redenen. Daarvoor moet je eerst toestemming hebben. Je kunt wel altijd via een info adres contact opnemen, omdat daar niet direct iemand aan verbonden is.

Heb ik een verwerkersovereenkomst nodig?

Een verwerkersovereenkomst sluit je met derden die namens jou werken met persoonsgegevens. Dit kan een crm-systeem zijn dat door derden wordt beheerd, of bijvoorbeeld iemand die vanwege diens functie toegang heeft tot jouw informatie. Of misschien werk je met een contactformulier waarvan de ingevulde informatie eerst wordt opgeslagen bij een host.

De AVG is specifiek over deze verwerkersovereenkomsten. Komt de derde partij van buiten Europa (Bijv Microsoft Office), dan moeten daar extra afspraken worden gemaakt.

Hoe gebruik ik het (privacy)register?

Hierover lijken nogal wat misverstanden te bestaan en de praktijk leert dat de meeste mensen er te moeilijk naar kijken. Het is niet nodig om exacte namen en rugnummers in het register op te nemen. Het gaat erom dat je bijhoudt welk beleid je voor welke gegevens gebruikt.

Als je het type gegeven benoemt (bijvoorbeeld een laptop met namen en telefoonnummers), omschrijft hoe je dat beveiligt (bijvoorbeeld met een wachtwoord en encryptie), en registreert hoelang je de gegevens bewaart en waarom, voldoe je aan de wettelijke voorschriften.

Maakt het uit of ik alles op papier bewaar of in de computer?

Dat was in het verleden wel zo, maar de huidige AVG stelt dat een ‘bestand’ zowel digitaal als fysiek kan zijn. Of je met een database werkt of met een ouderwetse ordner, de wet geldt voor allebei. Het moet wel om echte documenten gaan; kladblaadjes en losse aantekeningen vallen niet onder de wet.

Experts adviseren om zo min mogelijk papier te gebruiken. Omdat mensen in de praktijk kopieën gaan maken en een eigen administratie opbouwen is de kans op datalekken bij het gebruik van papier groter.

Hoe zit het met de AVG en BTW-nummers?

Je moet als zzp’er je BTW-nummer aan jouw klanten verstrekken. Maar dat nummer is verbonden aan jouw eigen burgerservicenummer en dus is het privacygevoelige informatie. Het is nog niet helemaal duidelijk hoe de politiek hiermee wil omgaan en de huidige situatie lijkt niet echt in lijn te zijn met de gedachte van de AVG. Verschillende specialisten opperen dat het wellicht tijd is om het BTW-nummer voor zzp’ers te veranderen.

Tot die tijd geldt de verplichting het nummer duidelijk kenbaar te maken, ook op jouw website. Doe je dat echter niet, dan wordt dat vooralsnog niet bestraft. Ook het BSN van een klant mag niet zomaar verwerkt worden. Als jij bijvoorbeeld kopieën maakt van de paspoorten van jouw klanten, dan kun je het BSN onleesbaar maken door het door te strepen.

Heb je nog overige vragen of wil je de diepte in gaan rondom een specifiek vraagstuk? Neem dan contact met ons op.

Back To Top