In 2018 trad de AVG (Algemene Verordening Gegevensbescherming) in werking. Niet alleen grote bedrijven moeten aan de privacyregels voldoen. Ook als zzp’er die persoonsgegevens verwerkt, online of offline, moet je aan een aantal eisen voldoen. Jij bent dus ook gewoon verplicht om aan de privacyregels te voldoen en hebt zelfs een verantwoordingsplicht. Doe je het niet helemaal goed, riskeer je boetes tot 4% van je jaaromzet.
Je verwerkt sneller persoonsgegevens dan je denkt
Ook als zzp’er verwerk je al snel persoonsgegevens. Persoonsgegevens is een ruim begrip en omvat bijvoorbeeld namen, adressen, telefoonnummers, mailadressen, bankgegevens of IP-adressen. Zelfs wanneer je systematisch visitekaartjes catalogeert, bijvoorbeeld door ze alfabetisch op te slaan, verwerk je persoonsgegevens.
Het hoeft dus zeker niet om bijzondere persoonsgegevens te gaan. Meer nog: de verwerking van bijzondere persoonsgegevens is in principe verboden. Voorbeelden van bijzondere persoonsgegevens zijn iemands ras, iemands medische gegevens of iemands religieuze overtuiging.
Verwerkingsverantwoordelijke of verwerker?
Om te weten wat je verplichtingen zijn, moet je weten wat je rol is. De AVG onderscheidt de verwerkingsverantwoordelijke en de verwerker.
Als jij zelf het doel en de middelen van de verwerking vaststelt, ben jij de verwerkingsverantwoordelijke. Ook als een ander de gegevens verwerkt, zoals een marketingkantoor, draag jij nog steeds de verantwoordelijkheid. Daarom moet je altijd een verwerkersovereenkomst opstellen waarmee je de regels vastlegt waaraan de verwerker moet voldoen.
In sommige gevallen leg niet jij het doel en de middelen van de verwerking vast. Het gaat dan bijvoorbeeld om zzp’ers in de zorg die voor een instelling werkt. In zo’n geval is het de instelling die de gegevens verzamelt. Soms ben je dan wel nog steeds een verwerker en moet jij op jouw beurt aan de regels van de verwerkingsovereenkomst voldoen.
Verplichtingen van de verwerkingsverantwoordelijke
De meeste zzp’ers zijn zelf de verwerkingsverantwoordelijke. Je blijft dan altijd verantwoordelijk, ook als je de verwerking uitbesteedt.
In de eerste plaats ben jij degene die bepaalt welke gegevens je verzamelt en verwerkt. Deze gegevens mag je alleen verwerken als je daarvoor een geldige grondslag hebt. Er zijn zes grondslagen voorzien (toestemming, noodzakelijkheid, wettelijke verplichting, bescherming vitale belangen, taak van algemeen belang of openbaar gezag en gerechtvaardigd belang). Over die grondslagen moet je ook transparant communiceren in je privacy statement en privacy policy. Ook in het verwerkingsregister neem je de grondslagen op.
Daarnaast moet jij garanderen dat de rechten van betrokkenen, zoals het recht op vergetelheid of het recht op inzage, worden gerespecteerd. Jij staat ook in voor een passende beveiliging en je moet bij eventuele datalekken meteen een melding doen bij de Autoriteit Persoonsgegevens.
Als iemand anders de gegevens verwerkt, ben je dan ook verplicht om duidelijke afspraken te maken. Als verantwoordelijke leg jij nu eenmaal de regels vast waaraan de verwerker zich moet houden.
Verplichtingen van de verwerker
De AVG legt ook een aantal specifieke verantwoordelijkheden op aan verwerkers. Zo ben je als verwerker verplicht om de instructies van de verwerkingsverantwoordelijke te respecteren, behalve wanneer ze strijdig zijn met de wet. Daarnaast moet je over een verwerkersovereenkomst beschikken, ben je verplicht om de gegevens passend te beveiligen en mag je alleen na een schriftelijke toestemming van de verwerkingsverantwoordelijke persoonsgegevens uitbesteden.
Ten slotte ben je net als de verwerkingsverantwoordelijke verplicht om datalekken te melden en heb je ook gewoon een verantwoordingsplicht. Als zzp’er heb je in principe minder dan 250 medewerkers, maar toch kan het ook dan noodzakelijk zijn om een verwerkingsregister bij te houden. Dat is bijvoorbeeld het geval als het niet louter om incidentele verwerkingen gaat.
Laat je adviseren
We merken dat veel zzp’ers niet altijd weten wat hun verwerkingsrol is. En zo weten ze al helemaal niet aan welke verplichtingen ze moeten voldoen. Met ons AVG-pakket zorg je ervoor dat je eenvoudig aan alle AVG-verplichtingen voldoet. Het AVG-pakket omvat onder andere een verwerkersregister, verwerkersovereenkomst, privacy statement, disclaimer en cookieverklaring. Vraag vandaag nog een gratis adviesgesprek aan.
MKBrecht.nl Bedrijfsjuristen & Advocaten
Met onze brede expertise binnen onze praktijkgebieden bedienen we cliënten in uiteenlopende sectoren. Van MKB, beursgenoteerde bedrijven en internationale ondernemingen tot (semi-)overheden en non-profit. We bieden juridische adviezen op alle niveaus, van boardroom tot individuele medewerker. Kenmerkend voor onze dienstverlening zijn de hoge kwaliteit, betrouwbaarheid en verdieping in specialismen.
Op zoek naar:
Meer weten over onze dienstverlening? Bel 085 25000 44
