01#2%#0345 # - FNV Zelfstandigen Alles... · 2018-05-22 · 10 Alles over de nieuwe AVG 4.Je...

De nieuwe privacywetgevingper 25 mei 2018

alles over De avg voor zzp’ers

maart 2018

Alles over de nieuwe AVG 03

Inleiding 5

Belangrijke checklist 5

1. Wat houdt de AVG in? 7

AVG ook voor zzp’ers? Jazeker! 7

2. Wat verandert er? 9

3. AVG en cookies? Eerst toestemming vragen 13

Functionele cookies 13

Overige cookies 14

4. Google Analytics tóch gebruiken 19

AVG en e-mails 19

Is een dubbele opt-in verplicht? 20

Toestemming voor monitoring openen/clicks/gedrag 21

5. Je privacyverklaring en cookiestatement 23

Wat moet er in de privacyverklaring staan? 23

Over de Functionaris Gegevensbescherming (FG) 24

Moet ik een Data Protection Impact Assessment (DPIA) maken? 24

6. Sluit verwerkersovereenkomsten af 27

Verwerkersovereenkomsten/Data processing Agreements 27

Wat moet er in een verwerkersovereenkomst staan? 28

Privacy by design 28

Privacy by default 28

Register 28

7. Verbeterde rechten voor personen 31

8. Wat zijn de (nieuwe) rechten van een persoon? 33

1. Recht op dataportabiliteit 33

2. Recht op vergetelheid 35

3. Recht op inzage 37

4.Hetrechtoprectificatieenaanvulling 38

5. Het recht op beperking van de verwerking 39

6. Het recht van bezwaar 40

7. Het recht op een ‘menselijke blik’ bij besluiten 41

9. De privacyverklaring 43

Wat moet er in een privacyverklaring staan? 44

Is een privacyverklaring verplicht? 45

inHouDsopgave

04 Alles over de nieuwe AVG


Op 25 mei wordt de privacywetgeving (de Wet bescherming persoonsgegevens

Wbp) vervangen door de Algemene Verordening Gegevensbescherming (AVG) - in

het Engels General Data Protection Regulation (GDPR) genoemd.

In dit boekje lees je wat de impact van de nieuwe AVG is op zelfstandigen zonder

personeel. Als je dit boekje uit hebt, weet je of jij AVG-proof bent.

We wensen je veel succes met ondernemen!

Belangrijke checklist mBt de avg

1. Doe een nulmeting. Welke gegevens verwerk je nu al?

2. Verwerk alleen noodzakelijk gegevens. Privacy by design.

3. Bewaar persoonlijke gegevens niet te lang.

4. Cookies? Vraag eerst netjes om toestemming.

5. E-mails? Vraag weer netjes om toestemming.

6. Pas je privacyverklaring en cookie statement aan.

7. Sluit verwerkersovereenkomsten af.

8. Stel een register verwerkingsactiviteiten op.

9. Toon aan dat je toestemming hebt van de betrokkene.

10. Zorg voor recht op inzage, wijzigen, portabiliteit en vergeten.

11. Maak een databeveiligingsbeleid/scherp het aan.

We wensen je veel succes met je onderneming!

inleiDing


1. wat HouDt De avg in?


De nieuwe AVG, die al in mei 2016 in werking trad, is een aanscherping van de

Europese regels waarin vastgelegd staat wat je als bedrijf/organisatie moet doen

om het gebruik van data van personen te beschermen. Van organisaties wordt

verwacht dat ze vanaf 25 mei 2018 werken volgens de AVG. Vanaf die datum mag

iedereen organisaties en bedrijven aanspreken op de naleving van de AVG. De

nieuwe AVG geldt voor de hele Europese Unie.

avg ook voor zzp’ers? Jazeker!De nieuwe wet geldt voor alle ondernemers, van eenmanszaak tot multinational.

Dus ook voor zelfstandigen! Heb je als ondernemer je zaken niet goed op orde na 25

mei 2018, dan kun je een boete verwachten van 2% van je omzet.

In de AVG staan regels voor het (automatisch) verwerken van persoonsgegevens.

Met deze nieuwe wet ben je verplicht om als ondernemer meer maatregelen te

treffen wanneer je gegevens over klanten, personeel of andere personen vastlegt.

De nadruk van de nieuwe privacywet ligt op het aantonen dat je je aan de wet

houdt. De wet sluit beter aan bij de eisen van de huidige, digitale tijd en geldt voor

alle zelfstandig ondernemers. Dus ook wanneer je geen personeel in dienst hebt of

maar een paar klanten hebt.

Kort gezegd: je krijgt meer verplichtingen en je moet kunnen aantonen dat je je aan

de wet houdt. Dat betekent dat je al bij het versturen van een offerte, factuur of

een nieuwsbrief rekening moet houden met de wet. Bereid je daarom goed voor en

weet waar je je aan moet houden. Zo voorkom je straks dat de Autoriteit

Persoonsgegevens (AP) je een flinke boete oplegt.

Als je te goeder trouw aan de slag gaat met de AVG zul je heus niet gelijk met

megaboetes van de Autoriteit Persoonsgegevens worden geconfronteerd. In de

regel krijg je eerst waarschuwingen. Er worden alleen boetes uitgedeeld als er

kwade wil in het spel is.

1. wat HouDt De avg in?


2. wat veranDert er?


in het kort zorgt de avg voor:• Transparantie, versterking en uitbreiding van de privacyrechten

• Meer verantwoordelijkheden bij organisaties

• Dezelfde stevig geformaliseerde bevoegdheden voor alle Europese privacy toe-

zichthouders

We hebben de belangrijkste veranderingen voor jou als zzp’er op een rijtje gezet.

1. er gelden voortaan strengere regelsDe manier waarop je met persoonsgegevens omgaat valt veel sneller onder de priva-

cywet. Dit komt doordat behalve bestanden met namen en adressen nu ook aan

IP-adressen gekoppelde gegevens, zoals MAC-adressen, cookies etc., onder de wet

vallen. Zelfs wanneer je niet weet hoe de persoon achter een cookie heet, dien je

dat gegeven te behandelen als privacygevoelig. Eigenlijk moet je zo weinig mogelijk

privacygevoelige informatie verzamelen. Plus: áls je het doet, bewaar het dan zo

kort mogelijk.

2. je moet alle verWerkingen van persoonlijke gegevens documenterenIn het register dat je daarvoor maakt, moet bijvoorbeeld staan welke persoonsgege-

vens er verwerkt worden, waarvoor en hoe ze beveiligd worden. Vragen van mensen

die inzage willen in hun gegevens, moet je binnen een maand inhoudelijk afhandelen

en je moet mensen die hun informatie bij jou (of je online dienst) hebben staan, de

mogelijkheid geven al hun informatie te exporteren, zodat ze die bijvoorbeeld naar

een andere organisatie kunnen overdragen. Denk aan het downloadbaarmaken van

foto’s, social mediaberichten of forumbijdragen.

3. je moet interesseprofielen of risicoanalyses van je klanten en Bezoekers makenJe moet hen dan, wanneer ze daar om vragen, kunnen uitleggen hoe dat gebeurt en

wat je daarmee doet. Dit zie je nu al bij het gebruik van cookies voor advertentie-

doeleinden.

2. wat veranDert er?


4.Je privacyverklaring moet op orde zijn

je moet daarin in nóg eenvoudigere taal precies uitleggen wat je met persoonlijke

gegevens doet. En je moet mensen wijzen op hun rechten, bijvoorbeeld dat ze hun

gegevens mogen aanpassen, het dossier mogen inzien of zelfs laten vernietigen.

je mag persoonsgegevens verWerken als:1. De betrokkene toestemming geeft

2. Het noodzakelijk is voor de uitvoering van een overeenkomst

3. Het noodzakelijk is om te voldoen aan een wettelijke verplichting

4. Het noodzakelijk is om de vitale belangen van een natuurlijk persoon te

beschermen

5. Het noodzakelijk is voor de vervulling van een taak in het algemeen belang of in

het kader van het openbaar gezag

6. Het noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van

de verantwoordelijke.

Aan de hand van deze 6 uitgangspunten kun je checken of je de persoonsgegevens

op een juiste manier verwerkt.

BijvoorBeeldStel dat je een webshop runt waarbij je spullen aan particulieren verkoopt. Bij een

bestelling geeft de koper zijn naam, adres, woonplaats, mailadres en telefoon. Bij het

betalen krijgt hij de optie om zich met een vinkje te abonneren op de mailnieuwsbrief

en worden het iban nummer, het bedrag en de banknaam vastgelegd. Tenslotte moet

de particulier tijdens de betaling akkoord gaan met de algemene voorwaarden,

waarin staat dat de gegevens in overeenstemming met de AVG worden verwerkt en

dat de browser data uit de webshop kan gebruiken om bepaalde aanbiedingen te

doen.

Welke verWerkingsdoelen zijn hierin van toepassing?• Naam, adres, woonplaats, bank en emailadres worden gebruikt om

- informatie over de bestelling aan de klant door te geven

- de factuur te kunnen maken en de boekhouding te kunnen voeren

- de bestelde goederen te kunnen verzenden. Dit valt onder grondslag nummer 2, het

kunnen uitvoeren van een overeenkomst.

• Met het vinkje bij ‘ontvangen nieuwsbrief’, gaat de persoon akkoord met grondslag

nummer 1.


Als zzp’er krijg je niet alleen zakelijk, maar ook persoonlijk te maken met de AVG.

Want als persoon (je hebt vast wel eens iets online besteld, of bent lid ergens van)

heb je een aantal rechten. Wanneer je als zzp’er opdrachten krijgt waarbij je gege-

vens moet verwerken, moet je je aan een aantal voorwaarden en verplichtingen hou-

den. De rechten van personen versus de voorwaarden en plichten van de zzp’er:

persoonlijk, rechten met betrekking hoe bedrijven met jouw persoonsgegevens om moeten gaan. rechten van personen (je klanten/leden)

voorwaarden waar je als zzp’er aan moet voldoen en plichten van de zzp’er

Je moet toegang hebben tot je eigen gege-

vens

Houd bij welke data je van wie hebt, wie

erbij kan en waar het staat opgeslagen

Je moet je gegevens kunnen aanpassen Stel wettelijke grondslag vast voor ver-

werking van elk gegeven

Je hebt het recht vergeten te worden Vraag de eigenaar/persoon toestemming

voor gebruik

Je moet je gegevens over kunnen dragen van

de ene naar de andere leverancier

Geef duidelijkheid over waar je data voor

gebruikt in je privacyverklaring (in je

algemene voorwaarden bijvoorbeeld)

Je hebt het recht op beperking van de verwer-

king

Sluit overeenkomsten met partijen die

jouw klantgegevens verwerken

Je mag weigeren… Gooi data weg die niet aan de voorwaar-

den en grondslagen voldoet

Doe een privacy impact assessment

Plichten

Een databeschermingsplan

Dataminimalisatie en verwerkingsmini-

malisatie

Als je een datalek hebt dit melden

Bewaartermijn vaststellen

Bijhouden wie toegang heeft tot welke

data

Privacy by design


3. avg en cookies? eerst toestemming vragen!


Cookies zijn kleine bestanden die de aanbieder van een website op de apparatuur

van een bezoeker plaatst, bijvoorbeeld op een computer, telefoon of tablet. Met

cookies kan informatie worden verzameld of opgeslagen over het websitebezoek of

over (het apparaat van) de gebruiker.

Als de cookies ook bij bezoek aan een andere website kunnen worden uitgelezen,

zijn het zogeheten tracking cookies. Met deze cookies kunnen organisaties het

surfgedrag van mensen door de tijd heen volgen.

Uit de informatie over bezochte websites kunnen persoonlijke interesses worden

afgeleid. Daarmee kunnen organisaties hun websitebezoekers bijvoorbeeld gerichte

advertenties tonen. Tracking cookies maken het mogelijk om profielen van mensen

op te stellen en hen anders te behandelen. Met tracking cookies worden doorgaans

persoonsgegevens verwerkt.

Met de invoering van de AVG hoeven internetgebruikers niet meer op elke website

cookies te accepteren. Vroeger werd je als bezoeker van een website geforceerd om

cookies te accepteren, omdat je anders een slecht werkende website te zien kreeg.

Met de invoering van de AVG hoef je de cookie-instellingen slechts één keer aan te

geven bij je browserinstellingen. Dit betekent dus ook dat een website altijd op zo’n

manier getoond moet worden zoals hij hoort te zijn, ook al heeft de bezoeker de

cookies niet geaccepteerd. Met een slecht werkende website valt op dat moment

niet meer weg te komen.

De AVG heeft gevolgen voor het gebruik van cookies op je website. Heeft je website

een mededeling of instellingen menu dat de bezoeker cookies automatisch

accepteert bij gebruik van je website? Dan is dat niet meer voldoende vanaf 25 mei

2018. Immers , wanneer je persoonsgegevens van iemand wil verwerken, dan ben je

verplicht om expliciet om toestemming te vragen. Dit geldt ook voor veel cookies.

functionele cookiesVoor de cookies die nodig zijn om essentiële onderdelen van je site te laten

functioneren, hoef je geen toestemming te vragen. Die cookies onthouden

3. avg en cookies? eerst toestemming vragen!


bijvoorbeeld wat er in een winkelwagentje zit of wanneer iemand is ingelogd. Ook

cookies die anonieme gebruikersstatistieken meten, mag je zonder expliciete

toestemming gebruiken.

Google Analytics toch gebruiken met een soft opt-in? Het is mogelijk. Onderaan dit

hoofdstuk leg ik uit hoe.

overige cookiesVoor andere cookies die persoonlijke of individuele gegevens verwerken, moet je

wel expliciet toestemming vragen.

Denk aan:

• Cookies waarmee je individueel klikgedrag meet (o.a. HotJar).

• Cookies waarmee je meet hoe lang iemand op een pagina is (om daarna

bijvoorbeeld een livechat te kunnen openen).

• Cookies waarmee je bezoekers laat reageren via social media.

• Cookies om te meten of iemand een advertentie heeft gezien.

De toestemming die je hiervoor van de gebruiker krijgt, is 12 maanden geldig (of

tot de gebruiker deze intrekt). Daarna moet je weer opnieuw om toestemming

vragen.

Tot nu toe vragen veel sites in één vraag je toestemming voor het plaatsen van

cookies:


zo’n ‘cookie Wall’ mag vanaf 25 mei 2018 niet meer. je moet ook toegang tot je WeBsite Bieden voor Wie geen targeting cookies Wil.ook een ‘standaardinstelling’ met alle cookies aangevinkt, zoals de telegraaf in volgend voorBeeld ,is niet meer toegestaan.


Het volgende plaatje ziet er al beter uit. De gebruiker geeft zelf aan welke cookies

hij of zij wil toestaan. Alleen de ‘functioneel’ en ‘statistieken’ cookies staan

standaard aangevinkt en kunnen niet worden uitgeschakeld.


alles of niets of per categorie?Een belangrijke afweging is hoe je je bezoeker over cookies laat beslissen. Met een

keuze per categorie geef je de meeste vrijheid. De vraag is alleen of bezoekers hier

rustig de tijd voor zullen nemen. Misschien klikken ze de melding gewoon weg en dan

mag je alleen functionele cookies plaatsen.

een alternatief is om Bezoekers een simpeler keuze te Bieden tussen functionele en alle cookies. in alle gevallen moet je de Bezoeker duidelijk informeren over Wat de cookies precies doen. lees hiervoor ook het hoofdstuk ‘privacy- en cookiestatement’.


4. google analytics tócH gebruiken


Met Google Analytics kom je veel te weten over het surfgedrag en de kenmerken

van je bezoekers. Echter, met de standaardinstellingen moet je wel om expliciete

toestemming van je bezoekers vragen. De tool meet immers persoonsgegevens

zoals IP-adressen.

Ben je bang dat je die toestemming niet krijgt? Dan kun je Google Analytics toch zo

instellen dat je belangrijke functionaliteiten nog steeds zonder expliciete

toestemming kunt gebruiken. Dit is hoe je dat doet:

• Sluit een verwerkerSovereenkomSt af met GooGle• ZorG ervoor dat je iP-adreSSen anonimiSeert• Zet het delen van GeGevenS met GooGle uit• informeer je beZoekerS hierover in de PrivacyverklarinG

Nadeel van deze methode is wel dat locatiedata in Google Analytics een stuk minder

nauwkeurig wordt. Ook heb je natuurlijk geen opties meer om bezoekers persoonlijk

te profileren/(re)targeten met advertenties.

avg en e-mails?Stuur je mails? Vraag (weer) om toestemming.Toestemming is toch wel het tover-

woord van de nieuwe privacywet.

Onder de AVG moet een ontvanger expliciet toestemming geven voor het ontvan-

gen van nieuwsbrieven of andere commerciële mailings.

4. google analytics tócH gebruiken


dus niet:• automatiSch aanGevinkt alS keuZe.• door het accePteren van alGemene voorwaarden.• vanweGe het beZoeken van een evenement.• om ‘te controleren of de adreSGeGevenS noG kloPPen’.

maar Wel:• Geïnformeerd over het onderwerP van de mailinGS.• Geïnformeerd over de frequentie van de mailinGS.• Geïnformeerd over de verStrekkinG van data aan derden.• de toeStemminG en verStrekte informatie fatSoenlijk vaStGeleGd (BijvoorBeeld via een provider zoals mailchimp).

is een duBBele opt-in verplicht?Om dit maar gelijk uit de weg te ruimen: nee, een dubbele opt-in (bevestiging mail-

adres na aanmelding via bijvoorbeeld de website) is niet verplicht onder de nieuwe

AVG.


toestemming voor monitoring openen/clicks/gedragMonitor je het individuele klikgedrag van mailontvangers? Dan moeten ze ook hier

expliciet toestemming voor geven.

Een goed argument is dat je op

basis van deze informatie relevan-

tere mailingen kunt sturen.

Vraag (voor 25 mei!) eventueel

opnieuw om toestemming

De voorwaarden van de nieuwe

privacywetgeving gelden ook voor

de mailadressen die je al in je

bestand hebt.

Twijfel je of de mailadressen op

AVG-waardige manier hebt verkre-

gen? Dan kun je voor de nieuwe

wet ingaat een heractivatiemai-

ling sturen.

Vraag dan of degene die de mail

ontvangt mailing X met frequentie Y

en het delen van data met Z wil blijven ontvangen. De mail moet dan wel een even

prominente ‘Ja’ als ‘Nee’ knop bevatten. Geen reactie voor 25 mei geldt daarbij als

een ‘Nee’.


5. Je privacyverklaring en cookiestatement


Een privacy- en cookiestatement op je website zijn een prima manier om transpa-

rant te zijn over hoe je met persoonsgegevens omgaat.

vermijd dus:• ellenlange zinnen;

• dubbele ontkenningen;

• juridische termen (of leg ze uit).

Wat moet er in de privacyverklaring staan?De Autoriteit Persoonsgegevens (AP) heeft een aantal specifieke eisen gesteld aan

wat er in ieder geval in een privacyverklaring moet staan.

• De gegevens van je onderneming, contactgegevens

• Welke persoonsgegevens je verwerkt.

• Met welke doelen je deze gegevens verwerkt.

• Of hier een wettelijke basis voor is (bijvoorbeeld bewaarplicht).

• De bewaartermijn voor elk soort persoonsgegeven.

• Met welke derde partijen je persoonsgegevens deelt.

• Hoe de betrokkene een klacht kan indienen bij het AP.

• Hoe je toestemming vraagt voor het krijgen van persoonsgegevens.

• Dat betrokkenen hun toestemming altijd mogen intrekken.

• Hoe betrokkenen hun persoonsgegevens altijd mogen inzien.

• Hoe betrokkenen hun persoonsgegevens altijd mogen wijzigen.

• Hoe betrokkenen hun persoonsgegevens altijd mogen verwijderen.

• Hoe betrokkenen hun persoonsgegevens altijd mogen meenemen.

• Naam en contactgegevens van de verantwoordelijke persoon bij je organisatie

voor privacy- en gegevensbescherming.

5. Je privacyverklaring en cookiestatement


over de functionaris gegevensBescherming (fg)In de privacyvoorwaarden moet je – mits je die hebt– ook de contactgegevens van

de Functionaris Gegevensbescherming vermelden. In het Engels ook wel Data

Protection Officer genoemd.

Voor de meeste internetondernemers is het aanstellen van zo’n FG niet verplicht.

Dit is alleen noodzakelijk wanneer je:

• Op grote schaal ‘bijzondere’ persoonsgegevens verwerkt zoals politieke voorkeur,

ras, godsdienst of gezondheid.

• Op grote schaal persoonsgegevens gebruikt ten behoeve van profiling.

Bijvoorbeeld om kredietverzoeken te beoordelen.

• Dit een kernactiviteit is van je organisatie.

moet ik een data protection impact assessment (dpia) maken?In dezelfde categorie valt de Data Protection Impact Assessment (DPIA) waarmee

je vooraf in kaart brengt wat je privacyrisico’s van een gegevensverwerking zijn.

De meeste internetondernemers hoeven op dit moment nog geen DPIA te houden,

want het is alleen verplicht bij grootschalige verwerkingen van (bijzondere) gege-

vens (denk aan veel mensen, met grote geografische spreiding, van wie je veel

gegevens verwerkt). In de toekomst komt de Autoriteit Persoonsgegevens met een

uitgebreidere beschrijving van wanneer een Data Protection Impact Assessment

verplicht is.

Zzp’ers in bepaalde branches ontkomen er niet aan om een DPIA, oftewel Data

Protection Impact Assessment, uit te voeren. Onder de AVG kan het verplicht zijn

om dit uit te voeren. Ga je een project uitvoeren waarbij persoonsgegevens van

anderen zijn betrokken? Een DPIA maakt duidelijk wat de impact is op de privacy

van betrokkenen, wat de risico’s zijn voor hen én voor jouw bedrijf en of er ook een

manier is om jouw project uit te voeren die minder risicovol is voor de privacy.


BranchesOndernemers die sowieso verplicht zijn om een DPIA uit te voeren zijn bijvoorbeeld

psychologen, bewindvoerders, marketeers of tussenpersonen in letselschade of

zorgdienstverleningen. Ondernemers in deze branches werken met privacygevoelige

informatie zoals patiënten- of klantendossiers. Sommige bedrijven hebben een

Functionaris Gegevensbescherming aangesteld die het implementeren van de wet

AVG in goede banen leidt.


6. sluit verwerkers-overeenkomsten af


Grote kans dat je voor het opslaan of verwerken van persoonlijke gegevens

gebruikmaakt van andere partijen, zoals bijvoorbeeld het opslaan van gegevens in

Dropbox of Google Drive.

In de AVG worden deze partijen ‘verwerkers’ genoemd (of processors in het Engels).

Een betrokkene (data subject) moet altijd toestemming geven voor het gebruik van

persoonsgegevens door deze verwerkers.

verWerkersovereenkomsten/data processing agreementsMet elke partij die namens jou persoonsgegevens verwerkt, moet je een

verwerkersovereenkomst afsluiten (in de WBP heette dit een ‘bewerkers’

overeenkomst en in het Engels zeg je ‘data processing agreement’). Sla je dus

gegevens op in Dropbox? Dan moet je een verwerkersovereenkomst sluiten met

Dropbox. Hetzelfde geldt voor je softwarebedrijf waarmee je nieuwsbrieven

verstuurt, offertes opmaakt en facturen verstuurt. Oók met je boekhouder als die

jouw facturen inziet.

moet je echt met elke cloudleverancier een verWerkersovereenkomst afsluiten?? ja, in principe Wel!

Concentreer je echter eerst op de grote en belangrijkste partijen waar je data aan

verstrekt. Denk bijvoorbeeld aan Google Analytics, Shopify, Mailchimp, Livechat,

Salesforce, Hootsuite, Zendesk, Hotjar of Hubspot. Zij zijn in de regel al druk bezig

met het implementeren van de AVG en hebben nu (of binnenkort)

verwerkersovereenkomsten klaarstaan.

Overleg daarnaast ook met je belangrijkste Nederlandse datapartners. Denk

bijvoorbeeld aan een marketingbureau of externe klantenservice.

6. sluit verwerkers-overeenkomsten af


Wat moet er in een verWerkersovereenkomst staan?Kortweg: hoe de verwerker de persoonsgegevens verwerkt en beveiligt.

Om te beginnen is het belangrijk dat het soort verwerking, het doel en de duur van

de verwerking duidelijk beschreven staan.

• Ook het soort persoonsgegevens zet je in de overeenkomst.

• Verwerking vindt plaats op basis van jouw schriftelijke instructies.

• Uitbesteding aan subverwerkers mag alleen na jouw toestemming.

• De verwerker gebruikt de persoonsgegevens niet voor eigen doeleinden.

• Mensen werkzaam bij/voor de verwerker hebben een geheimhoudingsplicht.

• Welke passende beveiligingsmaatregelen de verwerker neemt.

• Hoe de verwerker betrokkenen helpt met hun privacyrechten.

• Na de werkzaamheden worden persoonsgegevens weer verwijderd.

• Dat de verwerker desgevraagd meewerkt aan audits.

een voorBeeld van een verWerkersovereenkomst?Op de site van FNV Zelfstandigen vind je een model voor een

verwerkersovereenkomst. Dit model is voor leden van FNV Zelfstandigen gratis te

downloaden.

privacy By designPrivacy by design houdt in dat je er al bij het ontwikkelen en ontwerpen van

producten en diensten voor zorgt dat persoonsgegevens goed worden beschermt.

Daarnaast betekent privacy by design ook dat je je data minimaliseert: je verwerkt

zo min mogelijk persoonsgegevens, alleen de gegevens die nodig zijn voor wat je

verwerkt, én dat je ze niet langer dan nodig bewaart.

privacy By defaultPrivacy by default houdt in dat je technische en organisatorische maatregelen

moet nemen om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens

verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.

registerAlles wat je wel nodig hebt moet je in een register zetten, inclusief opgaaf van

reden. Dus wat je opslaat, waar, waarom en hoe lang. Ook moet je een


bewerkersovereenkomst afsluiten met de organisaties die persoonsgegevens

verwerken. Denk hierbij bijvoorbeeld aan een CRM-systeem in de cloud. Deze kun je

het beste zelf laten maken en aanbieden want anders moet je steeds de

overeenkomst van een ander accepteren.


7. verbeterDe recHten van personen


Onder de AVG krijgen de mensen van wie je persoonsgegevens verwerkt meer en

verbeterde privacyrechten. Dat betekent dat bedrijven, en jij als zzp’er, ervoor

moeten zorgen dat mensen hun privacyrechten goed kunnen uitoefenen.

Denk daarbij aan de al bestaande rechten die mensen van wie je persoonsgegevens

bewaart al hebben, zoals het recht op inzage en het recht op correctie en

verwijdering. Maar houd ook rekening met nieuwe rechten, zoals het recht op

dataportabiliteit. Bij dit recht moet je er als bedrijf voor zorgen dat mensen wiens

gegevens je hebt hun gegevens makkelijk kunnen krijgen en vervolgens kunnen

doorgeven aan een andere organisatie als ze dat willen. Ook kunnen mensen bij de

Autoriteit Persoonsgegevens (AP) klachten indienen over de manier waarop je met

hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.

in het kort: Mensen krijgen onder de AVG meer mogelijkheden om voor zichzelf op te komen als

hun persoonsgegevens worden verwerkt. Hun bestaande privacyrechten worden

uitgebreid en er gelden twee nieuwe rechten (dataportabiliteit en vergetelheid, zie

volgend hoofdstuk).

hoe Bereid je je voor?Ten eerste zul je moeten bekijken welke gegevens je verzamelt. Dat zijn er meer

dan je in eerste instantie denkt. Denk bijvoorbeeld aan een CRM-systeem, Excel-

lijsten met gegevens van mensen, de mailinglijst voor een nieuwsbrief, maar ook

papieren documenten met gegevens. Een eerste uitgangspunt binnen de

privacywetgeving is om alles wat je niet strikt noodzakelijk hoeft op te slaan of te

bewerken, weggooit. Dit scheelt al heel veel gedoe. Het is vervolgens belangrijk

dat je niet meer gegevens verzamelt dan noodzakelijk zijn voor het doel waar je ze

voor nodig hebt. En dat je de gegevens niet langer bewaart dan nodig. De gegevens

die je nodig hebt, moet je in een register zetten, en een opgaaf van reden geven:

houd bij wat je opslaat, waar je dat opslaat, waarom en hoe lang je het opslaat. Ook

moet je een bewerkersovereenkomst afsluiten met de organisaties die

persoonsgegevens verwerken. Denk dan aan een crm-systeem in de cloud of je

salarisadministratiekantoor.

7. verbeterDe recHten van personen


8. De (nieuwe) recHten van een persoon


1. recHt op DataportabiliteitEen van de twee nieuwe rechten is het recht op dataportabiliteit, het recht om

(alleen digitale) persoonsgegevens over te dragen. Het houdt in dat mensen het

recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen

heeft.

Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere

leverancier van dezelfde soort dienst. Ook kunnen mensen vragen om gegevens

rechtstreeks over te dragen aan een andere organisatie. Het gaat alleen om

digitale gegevens, dus geen papieren dossiers. En het gaat om persoonsgegevens

die je als organisatie met toestemming van de betrokkene verwerkt en om

persoonsgegevens die als overeenkomst met de betrokkene uitvoert. Denk

bijvoorbeeld aan gegevens die je bijhoudt over hoe vaak mensen iets bij je besteld

hebben, of informatie over mensen om ze een nieuwsbrief toe te sturen.

Mensen hebben nu al (voor 25 mei) het recht om inzage te vragen in de

persoonsgegevens die een organisatie voor hen verwerkt. Maar organisaties

kunnen zelf beslissen hoe ze de gegevens ter inzage geven. Ze kunnen er

bijvoorbeeld ook voor kiezen om de gegevens niet aan de betrokkene te

verstrekken, maar de betrokkene uit te nodigen om ter plekke zijn gegevens te

komen inzien.

Bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in

een vorm die het voor betrokkenen makkelijk maakt om hun gegevens te

hergebruiken en door te geven aan een andere organisatie. Organisaties zijn

daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en

machineleesbaar formaat te verstrekken.

Wat Betekent dit voor jou als zzp’er?Dat betekent dat je vanaf 25 mei verzoeken kunt krijgen van je klanten om hun

persoonsgegevens beschikbaar te stellen. Je bent dan wettelijk verplicht om de

gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te

verstrekken.

8. wat ziJn De (nieuwe) recHten van een persoon?


Je kunt je hierop voorbereiden door alvast na te denken over hoe je de gegevens

beschikbaar gaat stellen. Bijvoorbeeld via een tool waarmee je klanten hun

gegevens direct op een beveiligde manier kunnen downloaden.

Ook moet je ervoor zorgen dat je klanten hun gegevens direct kunnen doorgeven

aan een andere organisatie. Dit kun je bijvoorbeeld doen met een application

programming interface (API), waarmee je een verbinding mogelijk maakt tussen

jouw systeem of applicatie en dat van een andere partij.

Dit kan ook een vertrouwde derde partij zijn, die de overgedragen gegevens

opslaat en op verzoek van klanten aan meerdere organisaties kan doorgeven.

Welke gegevens moet je straks aan je klanten verstrekken?

Je moet alle persoonsgegevens beschikbaar stellen die je klanten aan jou hebben

verstrekt. Maar dit moet je ruim opvatten. Het gaat hierbij niet alleen om gegevens

die klanten actief en bewust aan jou hebben gegeven, zoals de accountgegevens

(e-mailadres, gebruikersnaam, leeftijd etc.) die zij op een online formulier hebben

ingevuld.

Het gaat ook om de gegevens die klanten aan je hebben ‘verstrekt’ door jouw

dienst of apparaat te gebruiken. Bijvoorbeeld de zoekgeschiedenis of

locatiegegevens van je klanten. Of andere (ruwe) data als de hartslag die via een

fitnesstracker is vastgelegd.

afgeleide gegevensJe hoeft bij een verzoek om dataportabiliteit géén afgeleide gegevens te

verstrekken, dat wil zeggen gegevens die je zelf hebt gegenereerd door

bijvoorbeeld data-analyse. Zoals een kredietscore of een profiel dat je van een

klant hebt opgesteld.

Let op: deze gegevens moet je bij een inzageverzoek wél verstrekken.

Vraagt iemand om inzage, dan moet de organisatie diegene op een duidelijke en

begrijpelijke manier laten weten:

• of de organisatie zijn persoonsgegevens gebruikt, en zo ja:

• om welke gegevens het gaat

• wat het doel is van het gebruik

• aan wie de organisatie de gegevens eventueel heeft verstrekt

• wat de herkomst is van de gegevens, als deze bekend is


hoe moet je die gegevens verstrekken?De AVG bevat geen regels voor de specifieke formaten (extensies zeg maar), waarin

je de gegevens moet verstrekken. De persoonsgegevens moeten worden

overgedragen in een ‘gestructureerd, veelgebruikt en machineleesbaar’ formaat.

Het doel is dat de klanten hun gegevens makkelijk in een andere omgeving kunnen

hergebruiken.

Daarom moet je niet alleen de feitelijke inhoud leveren, maar ook zoveel mogelijk

relevante metagegevens meeleveren. Zoals tijdstip, afzender, geadresseerde etc.

Hierdoor blijft de betekenis van de overgedragen informatie zo goed mogelijk

bewaard.

Het beste formaat om gegevens te verstrekken, zal per sector verschillen. De

Europese toezichthouders doen een oproep aan alle belanghebbenden en

brancheorganisaties om samen te werken aan een set van standaarden en

formaten/extensies om het recht op dataportabiliteit vorm te geven.

2. recht op vergetelheidHet tweede nieuwe recht is het recht op vergetelheid, ofwel het recht om

‘vergeten’ te worden. Dit recht houdt in dat organisaties in een aantal gevallen

persoonsgegevens moeten wissen als een betrokkene (diegene van wie de

organisatie gegevens verwerkt) erom vraagt.

Voorwaarden recht op vergetelheid

Het recht op vergetelheid geldt niet altijd. Alleen in de volgende situaties is het

recht op vergetelheid van toepassing:

* als een organisatie de persoonsgegevens niet meer nodig heeft voor de

doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie

ze verwerkt.

* Als de betrokkene eerder (uitdrukkelijke) toestemming heeft gegeven aan de

organisatie, maar die toestemming nu intrekt.

* Wanneer de betrokkene bezwaar maakt tegen de verwerking.

* Wanneer de organisatie de persoonsgegevens onrechtmatig verwerkt.

* De organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen.

* Wanneer de betrokkene jonger dan 16 jaar is en de persoonsgegevens zijn

verzameld via een app of website.


Wat doe je als je een verzoek krijgt de gegevens te Wissen?Wanneer iemand je, op grond van het recht op vergetelheid, vraagt om zijn of haar

gegevens te wissen, dan moet je dat onmiddellijk doen, uiterlijk binnen een maand.

Alleen als het om een heel complex verzoek gaat, heb je twee maanden extra de

tijd. Je moet dan wel binnen een maand aan de betrokkene laten weten dat het

langer gaat duren.

manier van reagerenAls een betrokkene het verzoek elektronisch indient, moet je ook elektronisch

reageren. Tenzij de betrokkene je vraagt om op een andere manier te reageren.

kostenJe mag in principe géén kosten berekenen. Maar kun je bewijzen dat een verzoek

ongegrond of buitensporig is (veelvuldig herhaalde verzoeken van één persoon)?

Dan mag je een redelijke administratieve vergoeding vragen. Of het verzoek

weigeren.

derde partijen informerenHeb je de betreffende persoonsgegevens aan derde partijen verstrekt? Dan moet je

die ontvangers informeren dat je deze persoonsgegevens hebt gewist. En

uitleggen dat ook de ontvangers iedere kopie van, of koppeling naar die

persoonsgegevens moeten wissen.

Publiceer je bijvoorbeeld persoonsgegevens via een website? Dan moet je

zoekmachines informeren. Je kunt daarbij de webpagina opnieuw laten indexeren,

zodat de gewiste persoonsgegevens niet meer verschijnen in de zoekresultaten.

Als een betrokkene erom vraagt, moet je ook vertellen welke ontvangers je op die

manier hebt geïnformeerd (artikel 19 van de AVG).

hoe zit het met gegevens op Back-ups?Vallen back-ups ook onder het recht op vergetelheid?

Ja. Je moet het recht op vergetelheid ook toepassen op digitale back-upbestanden.

Vraagt iemand je om zijn gegevens te wissen?

Dan moet je zijn persoonsgegevens dus ook zo snel mogelijk uit je back-ups

verwijderen.


eisen aan Back-ups met Betrekking tot de avgo Inventariseer van welke gegevens je back-ups moet bijhouden, bijvoorbeeld

vanwege je beveiligingsbeleid. Houd er rekening mee dat je alleen gegevens mag

verwerken die noodzakelijk zijn voor het doel van je verwerking (zie artikel 5 van

de AVG). Je moet ook kunnen aantonen dat deze gegevens noodzakelijk zijn. Dat is

onderdeel van je verantwoordingsplicht.

o Maak regelmatig back-ups en verwijder systematisch verouderde gegevens.

o Informeer mensen goed over welke aanvullende bewaartermijn noodzakelijk is

voor back-ups van je specifieke dienstverlening. Bijvoorbeeld: je bewaart

persoonsgegevens van klanten 1 jaar in je reguliere systemen, maar hanteert

aanvullend een bewaartermijn van 3 maanden voor je back-ups.

o Richt je back-upsysteem zo in dat je verwijderverzoeken van betrokkenen ook

kunt doorvoeren in dit systeem.

o Is het noodzakelijk voor je dienstverlening om back-ups te maken die moeilijk of

niet overschrijfbaar zijn, zoals tapes? Dan kun je de persoonsgegevens niet

verwijderen uit de back-ups. Zorg dan wel dat je goed bijhoudt welke

persoonsgegevens je had moeten verwijderen. Is het onverhoopt nodig om een

back-up terug te zetten? Dan moet je deze gegevens alsnog verwijderen.

uitzonderingenEr zijn ook uitzonderingen op het recht op vergetelheid. Je hoeft de betreffende

persoonsgegevens bijvoorbeeld niet uit je back-ups te verwijderen als je wettelijk

verplicht bent om de gegevens een bepaalde tijd te bewaren. Of als je ze moet

archiveren in het algemeen belang.

3. het recht op inzageEen onder de oude wet al bestaand recht is het recht op inzage. Dat is het recht van

mensen om precies te weten welke gegevens je over hen hebt verzameld. Ook

mogen ze deze data op elk gewenst moment inzien of laten verwijderen.

De AVG geeft mensen (personen) in principe meer zeggenschap over hun

persoonsgegevens. Ze hebben het recht om je te vragen welke gegevens je van

hen hebt. Ze mogen je ook vragen deze gegevens in te zien. In de AVG (artikel 15)

staat dit recht beschreven als ‘recht op inzage’.


Bij inzageverzoeken moet je ook laten Weten:

• Waarom je bepaalde gegevens verwerkt.

• Welke soorten persoonsgegevens je verzamelt.

• Indien van toepassing: aan welke organisaties je de persoonsgegevens doorgeeft.

Dit geldt ook voor gegevens die je doorgeeft aan organisaties in andere landen of

aan internationale organisaties.

• Hoe lang je de persoonsgegevens bewaart. Als je dat niet precies kunt aangeven,

moet je duidelijk kunnen maken op basis waarvan je een bewaartermijn bepaalt.

• Welke privacyrechten mensen hebben: het recht om hun persoonsgegevens te

laten wijzigen, aanvullen of wissen, om je te vragen om minder persoonsgegevens

te verwerken en om bezwaar te maken als je hun persoonsgegevens verwerkt.

• Dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit

Persoonsgegevens.

• Indien van toepassing: van welke organisatie je persoonsgegevens hebt

ontvangen als je deze niet zelf hebt verzameld bij de betrokken personen.

• Indien van toepassing: op basis van welke logica je een geautomatiseerd besluit

over iemand neemt.

4. het recht op rectificatie en aanvullingDe AVG geeft mensen het recht om onjuiste persoonsgegevens te laten wijzigen.

Of om hun persoonsgegevens aan te vullen. In de AVG (artikel 16) staat dit recht

beschreven als ‘recht op rectificatie’.

Je bent er verantwoordelijk voor dat de persoonsgegevens die je verwerkt juist zijn.

En dat je deze gegevens actualiseert als dat nodig is.

Zijn persoonsgegevens, gelet op de doeleinden waarvoor je die verwerkt, onjuist?

Dan ben je verplicht om alle redelijke maatregelen te nemen om die gegevens te

rectificeren of aan te vullen. Dus ook als iemand je erop wijst dat zijn gegevens niet

kloppen. Of onvolledig zijn.

derde partijen informerenHeb je onjuiste of onvolledige persoonsgegevens aan derde partijen verstrekt? Dan

moet je de aangepaste of aangevulde gegevens ook aan deze organisaties

doorgeven. Als een betrokkene daar om vraagt, moet je ook vertellen welke

organisaties je op die manier hebt geïnformeerd.


5. het recht op Beperking van de verWerkingDe AVG geeft mensen in bepaalde situaties het recht op beperking van het gebruik

van hun gegevens. In de AVG (artikel 18) staat dit recht omschreven als het ‘recht

op beperking van de verwerking’.

Het recht op beperking van de verwerking geldt in situaties die voldoen aan een

van de volgende criteria:

• Gegevens zijn mogelijk onjuist

Geeft iemand aan dat jouw organisatie onjuiste persoonsgegevens gebruikt? Dan

mag je deze gegevens niet gebruiken zolang je nog niet hebt gecontroleerd of de

gegevens wel kloppen.

• De verwerking is onrechtmatig

Je mag bepaalde gegevens niet verwerken, maar de betrokkene wil niet dat je de

gegevens wist. Bijvoorbeeld omdat hij de gegevens later nog wil opvragen.

• Gegevens zijn niet meer nodig

Je hebt de persoonsgegevens niet meer nodig voor het doel waarvoor je ze hebt

verzameld. Maar de betrokkene heeft de persoonsgegevens nog wel nodig voor

een rechtsvordering. Bijvoorbeeld een juridische procedure waarbij hij betrokken is.

• Betrokkene maakt bezwaar

Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet

je stoppen met deze gegevens te verwerken. Tenzij je dwingende gerechtvaardigde

gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen,

rechten en vrijheden van de betrokkene. Zo lang nog niet duidelijk is of je gronden

zwaarder wegen, mag je de gegevens niet verwerken.

derde partijen informerenHeb je de betreffende persoonsgegevens aan andere partijen verstrekt? Dan moet

je deze organisaties laten weten dat je het gebruik van deze gegevens hebt

beperkt. En dat zij dat dus ook moeten doen. Als iemand van wie je persoonsgege-

vens verwerkt erom vraagt, moet je ook vertellen welke organisaties je op die

manier hebt geïnformeerd.


6. het recht van BezWaarVerwerk je persoonsgegevens op grond van een taak van algemeen belang? Of op

grond van een gerechtvaardigd belang? Dan hebben de betrokkenen – de mensen

van wie jij gegevens verwerkt – altijd het recht om bezwaar te maken tegen deze

verwerking van hun gegevens.

verWerking stoppen of BeperkenMaakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet

je stoppen met deze gegevens te verwerken.

Tenzij je dwingende gerechtvaardigde gronden voor de verwerking aanvoert die

zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Of die

te maken hebben met een rechtsvordering.

let op: zo lang nog niet duidelijk is of jouW gronden zWaarder Wegen, mag je de Betreffende gegevens niet verWerken. je stelt dan een Beperking van de verWerking in.

direct marketingGebruik je persoonsgegevens voor direct marketing? Dan hebben betrokkenen

altijd het recht om hiertegen bezwaar te maken. Ook als het gaat om profilering

voor deze marketingdoeleinden.

Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens voor direct

marketing? Dan moet je hier hoe dan ook direct mee stoppen.

informeren over recht van BezWaarJe moet betrokkenen informeren over het recht op bezwaar. Dit moet je uiterlijk op

het moment van het eerste contact met de betrokkene doen. Je moet deze

informatie duidelijk en gescheiden van andere informatie aanbieden.


7. het recht op een ‘menselijke Blik’ Bij BesluitenDit recht wordt ook wel het recht met betrekking tot geautomatiseerde

besluitvorming en profilering genoemd. Sommige organisaties nemen een besluit

op basis van automatisch verwerkte gegevens. Dit gebeurt bijvoorbeeld bij

profilering. De AVG geeft mensen recht op een menselijke blik bij besluiten die over

hen gaan.

Voorbeelden zijn de automatische weigering van een online ingediende

kredietaanvraag of verwerking van sollicitaties via internet zonder menselijke

tussenkomst.

Wil je een besluit nemen op basis van automatisch verwerkte gegevens? En zitten

daar voor de betrokken persoon consequenties aan? Dan heeft deze persoon het

recht zich te beroepen op dit artikel. Dat betekent dat je een nieuw besluit moet

nemen waarbij een mens de gegevens heeft beoordeeld.


9. De privacy-verklaring


Onder de AVG heb je een informatieplicht. Dat betekent dat je verplicht bent om

nieuwe en bestaande klanten duidelijk te informeren over wat je met hun

persoonsgegevens doet. In de praktijk is een online privacyverklaring de meest

handige manier om hier aan te voldoen.

Iedereen waarvan je gegevens opslaat heeft inzagerecht. Dit betekent dat je alle

gegevens waarover je beschikt, moet kunnen vrijgeven, vernietigen of overdragen.

Richt hiervoor dus een goed proces in.

hoe Wijs je mensen op je privacyverklaring?In de AVG staat dat je de informatie over je verwerkingen in principe schriftelijk

moet geven. De beste manier om er zeker van te zijn dat je informatie voor de

meeste mensen goed vindbaar is, is het publiceren van een online

privacyverklaring. Daarnaast mag je andere middelen inzetten. Zoals het tonen van

pop-ups met een toelichting bij elke toestemmingsvraag.

Let op: verwerk je persoonsgegevens maar heb je geen (online) privacyverklaring?

Dan moet je ervoor zorgen dat je de betrokken personen op een andere manier de

vereiste informatie geeft.

verantWoordingsplichtOnder de AVG geldt de verantwoordingsplicht. Dat betekent dat je aan de Autoriteit

Persoonsgegevens (AP) moet kunnen aantonen dat je aan de AVG voldoet. Je moet

onder meer kunnen laten zien dat je mensen goed hebt geïnformeerd over de

verwerking van hun persoonsgegevens. Je kunt hiervoor je privacyverklaring

gebruiken.

hoe stel je een privacyverklaring op?De AVG stelt een aantal specifieke eisen waar een privacyverklaring aan moet

voldoen. Deze eisen gaan over de inhoud, de toegankelijkheid en de duidelijkheid

van de informatie.

9. De privacyverklaring


Wat moet er in een privacyverklaring staan? In het document moet je in ieder geval de volgende informatie geven:

• De identiteit en de contactgegevens van de verwerkingsverantwoordelijke.

• De contactgegevens van de Functionaris Gegevensbescherming, als je die hebt.

• De doelen en rechtsgrond van de verwerking, en als je je beroept op een

gerechtvaardigd belang: op welk belang je je beroept.

• De (categorieën van) ontvangers van de persoonsgegevens.

• Of je van plan bent de persoonsgegevens door te geven buiten de EU of een

internationale organisatie en op welke juridische grond.

• De bewaartermijn van de gegevens.

• De rechten van de betrokkene, zoals het recht op inzage, correctie en

verwijdering.

• Het recht van de betrokkene om de gegeven toestemming voor een bepaalde

verwerking altijd in te kunnen trekken.

• Dat de betrokkene een klacht kan indienen bij de relevante

privacytoezichthouder.

• Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en

wat de gevolgen zijn als de gegevens niet worden verstrekt.

• Of je gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering,

en hoe je besluiten neemt.

• Als de gegevens van een andere organisatie zijn verkregen: de bron waar de

persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn

van openbare bronnen.

hoe zorg je dat je privacyverklaring toegankelijk is? In de AVG staat dat je de informatie over je verwerkingen in principe schriftelijk

moet geven. De beste manier om er zeker van te zijn dat je informatie voor de

meeste mensen goed vindbaar is, is het publiceren van een online

privacyverklaring.

tip: om de informatie in een (online) privacyverklaring zo toegankelijk mogelijk te maken, kun je de verklaring in meerdere lagen opstellen.


BijvoorBeeld:

1. Je geeft kort aan wie de verantwoordelijke organisatie is, hoe die te bereiken is

en welke gegevensverwerkingen de meeste impact hebben op de betrokken

personen.

2. Je geeft meer in detail aan welke persoonsgegevens je voor welk doel verwerkt

en hoe mensen hun rechten kunnen uitoefenen.

duidelijke taalDe informatie over de gegevensverwerking moet beknopt, transparant en

begrijpelijk zijn. Daarom moet je duidelijke en eenvoudige taal gebruiken. Dat

betekent onder meer: wees kort en bondig, vermijd vaktermen en verplaats je in de

lezer.

Richt je je tot kinderen onder de zestien jaar? Of weet je dat kinderen je diensten

veel gebruiken? Dan moet je de woordkeuze, toon en stijl van de informatie

aanpassen. Zodat de kinderen weten dat deze informatie voor hen is bedoeld en ze

de informatie kunnen begrijpen.

is een privacyverklaring verplicht?Onder de Algemene verordening gegevensbescherming (AVG) heb je een

informatieplicht. Dat betekent dat je verplicht bent om nieuwe en bestaande

klanten duidelijk te informeren over wat je met hun persoonsgegevens doet.


Aan de informatie uit deze brochure kunnen geen rechten worden ontleend. FNV Zelfstandigen heeft bij de samenstelling van deze brochure de grootst mogelijke zorgvuldigheid betracht, maar is niet verantwoordelijk en kan niet aansprakelijk gehouden worden voor directe of indirecte schade ten gevolge van eventuele fouten, omissies, onvolledigheden, onduidelijkheden, innerlijke tegenstrijdigheden of het niet meer actueel zijn van de in deze brochure opgenomen informatie’.

Download en lees ook de Algemene Voorwaarden voor individuele rechtsbijstand

van FNV. Bezoek de website van FNV Zelfstandigen en blijf goed geïnformeerd:

www.fnvzzp.nl.

© FNV Zelfstandigen 2018

www.fnv.nl/zelfstandigen

01#2%#0345 # - FNV Zelfstandigen Alles... · 2018-05-22 · 10 Alles over de nieuwe AVG 4.Je...

Documents

Transcript of 01#2%#0345 # - FNV Zelfstandigen Alles... · 2018-05-22 · 10 Alles over de nieuwe AVG 4.Je...