Onlangs was ik bij een meeting van het netwerk waar ik lid van ben. Daar sprak Willeke van mijn Gereedschapskist over de nieuwe, Europese privacywetgeving die eraan komt in de vorm van de Algemene Vordering Gegevensbescherming (AVG). De AVG vervangt de huidige wetgeving en bevat regels voor het (automatisch) verwerken van persoonsgegevens. Leg jij gegevens vast over klanten, personeel of andere personen? Dan heb ook jij ermee te maken. Ook als je ZZPer bent. Bij onder andere het versturen van een offerte, factuur of een nieuwsbrief is deze wet al van toepassing. De boetes bij het overtreden zijn fors, reden genoeg dus om je hier goed op voor te bereiden. Met onderstaand artikel wil ik je daar vast mee op weg helpen.
Wat wordt er van ondernemers verwacht?
De nieuwe wetgeving ging in op 25 mei 2018. Verschillende aanbieders van digitale diensten zijn hier ook al mee bezig. Hierdoor wordt het voor jou ook mogelijk om beter inzicht te krijgen in jouw gegevens-stromen. Ondanks dat ben je uiteindelijk zelf verantwoordelijk. Je zult dus goed in kaart moeten brengen welke gegevens jij hebt en wat je ermee doet. Dit verwacht de AVG van jou als ondernemer:
-
- Je moet al je klanten informeren over de gegevens die je van hun hebt en waarom je die bewaart. Je kunt dit doen middels een privacyverklaring. Deze moet in duidelijk taal zijn. Een handige (en gratis) tool waarmee je dit kunt doen vond ik hier. Hij moet gemakkelijk te vinden zijn. Je kunt hem bijvoorbeeld op je website plaatsen en ernaar verwijzen tijdens het bestelproces.
-
- Er moet een overzicht komen van de gegevens die je bewaart, hoe je deze verwerkt en met welke andere partijen je deze eventueel deelt. Maak dus een lijst van alle systemen die je gebruikt, zoals MailChimp, MoneyBird of Exact, en noteer wat je van mensen opslaat en met wie je dat vervolgens deelt. Zolang jij kunt laten zien dat je overzicht en toestemming hebt en voorzichtig met de gegevens omgaat is het goed.
-
- Is het verzamelen van persoonsgegevens op grote schaal jouw vak of heb je te maken met zeer gevoelige data dan kan het zijn dat je een Data Privacy Impact Assessment (DPIA) moet laten uitvoeren. Hiermee kunnen de risico’s worden geanalyseerd en zo mogelijk verkleind. Bij het op grote schaal verwerken van data is het ook mogelijk dat de AVG je verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen.
-
- Datalekken moet je voortaan intern vast leggen en documenteren. Verwerk je privacygevoelige data voor opdrachtgevers? Dan ben je straks ook wettelijk verplicht alle datalekken aan hen te melden, zodat zij dit weer aan de Autoriteit Persoonsgegevens kunnen melden.
-
- Als je gegevens van klanten deelt met derden moet je met deze derden een bewerkersovereenkomst sluiten. Hierin moet o.a. worden vastgelegd wat de genomen beveiligingsmaatregelen zijn en wie aansprakelijk is.
Data veilig opslaan op je Mac
Volgens de AVG moet je voorzichtig omgaan met de data van je klanten. Er zijn een aantal acties die je zelf kunt ondernemen om je eigen data en die van je klanten op jouw Mac zo goed mogelijk te beschermen:
Zorg dat je veilig online gaat, gebruik sterke wachtwoorden (ook voor je eigen Mac) en gebruik het liefst een password manager om deze te beheren. Zijn dit wachtwoorden van klanten? Zorg dan dat je inventariseert hoe je aan deze wachtwoorden komt, waarvoor je ze nodig zou hebben en vraag hier ook toestemming voor. Let op: een password manager is ook een derde partij waarmee je gegevens deelt. Let dus goed op hun beveiliging en check of er een bewerkersovereenkomst is.- Verstuur geen privacygevoelige gegevens via de mail. Zeker geen wachtwoorden. Heb liever telefonisch contact en sla ze direct ergens veilig op.
- Voeg waar mogelijk een extra beveiligingslaag toe aan de online diensten die je gebruikt. Zeker als je deze gebruikt om gegevens van klanten in op te slaan. Dit kan bijvoorbeeld voor Dropbox en je Apple ID
- Beveilig bepaalde gevoelige documenten of data apart. Heb je veel privacygevoelige data van klanten op je Mac staan? Voeg dan ook een tweedebeveiligingslaag aan op je Mac met FileVault. Let op: volg de stappen van Apple nauwkeurig op als je FileVault inschakelt. FileVault codeert de hele Mac. Als je zelf het wachtwoord of de herstelsleutel vergeet kun je NIET meer bij de data. Het inschakelen van deze extra beveiliging heeft ook gevolgen voor het maken van een back-up.
Beste Claire, dank voor deze prima info, erg nuttig voor mij als apple gebruiker en zzp-er.
Een extra vraag: mag ik als ondernemer gebruik maken van mijn persoonlijke iCloud om privacygevoelige informatie van klanten op te slaan? Of is hier voor zzp-ers / bedrijven een aparte clouddienst voor?
En dan heb ik weer een verwerkersovereenkomst nodig neem ik aan,
Dank alvast voor je antwoord,
Marcel Schmitz
Beste Marcel,
Fijn dat je wat aan mijn informatie hebt!
Je mag gewoon gebruik maken van iCloud. Waar het om gaat is dat de persoonsgegevens “voldoende beveiligd” worden opgeslagen. Je kunt dus wel zorgen dat je 2-staps-verificatie aan hebt staan en al je apparaten waar iCloud op is ingesteld goed zijn beveiligd. Vergeet daarbij niet je back-up.
Apple heeft (nog) geen verwerkersovereenkomst staan. Dat hoeft ook niet want zij verwerken niet echt gegevens. Ze slaan ze alleen op en kijken er verder niet in. Dit kan ook niet want het is versleuteld. Was ze wel hebben is veel informatie over hun privacybeleid en hoe ze met jouw data omgaan. Dat moet voldoende zijn.
Succes met het voorbereiden op de AVG!
Groetjes,
Claire
Mag een werkgever mijn persoonsgegevens via mail van werk naar mijn prive mail ( icloud) onversleuteld versturen?
Ha Frank,
Ik ben geen jurist, maar ik zie geen reden waarom iemand jouw eigen gegevens niet met jou zelf zou mogen delen? Uiteraard moet de werkgever de mail versleuteld versturen door middel van SSL en ook de computer waar deze gegevens op staan goed beveiligen.
Succes!
Claire