Ondernemingsplan, businessplan, ondernemersplan

Privacywet AVG: 8 dingen die nú moeten

Vanaf 25 mei 2018 moet je voldoen aan de nieuwe privacywet AVG. In deze last-minute checklist staan 8 dingen die elke startende ondernemer nú moet weten en/of doen.

  1. Niets doen is geen optie, maar een boete volgt niet direct 
  2. Verwerkingsregister: wat verzamel je eigenlijk?
  3. Verwerkersovereenkomst: juist nu kleine letters lezen
  4. Nieuwsbrief-aanmelding: hoe concreter hoe beter
  5. Cookiemelding-update
  6. Privacystatement AVG-proof
  7. Check: echt geen Functionaris Gegevensbescherming (FG) nodig?
  8. Datalek voorkomen

 #1 Niets doen is geen optie

De AVG (in het Engels: GDPR) is een nieuwe wet om de privacy van mensen beter te beschermen. De handhaving begint op 25 mei 2018.

MKB Nederland en VNO-NCW pleitten in maart 2018 voor een jaar uitstel van de handhaving, juist voor kleine bedrijven.  Ook sportclubs en kleine verenigingen vonden het te snel gaan. Staatssecretaris Sander Dekker komt ze deels tegemoet. Uitstel komt er niet, maar wel een periode van ‘hulpvaardig toezicht’. Dat betekent: niet direct boetes uitdelen, maar eerst  voorlichting geven en handvatten bieden.

De Autoriteit Persoonsgegevens bevestigde in mei nog eens op Nu.nl dat de kleine ondernemer niet de eerste zal zijn waar handhavers naartoe gaan: "'We zullen niet direct naar de bakker of slager op de hoek gaan. We zijn een redelijke toezichthouder.'' 

''We zijn een redelijke toezichthouder. We zullen niet direct naar de bakker of slager op de hoek gaan. '' Autoriteit Persoonsgegevens op Nu.nl

Toch kun je als startende ondernemer niet om de wet heen. Elke ondernemer verzamelt immers gegevens. Denk aan de gegevens van klanten in je boekhouding tot je adressenbestand voor je nieuwsbrief.Juist nu je alles nog aan het opzetten bent, kun je AVG-regelgeving direct meenemen in je processen.  

De Autoriteit Persoonsgegevens (AP) is verantwoordelijk voor de handhaving van de wet. AP is onafhankelijk en bepaalt dus ook zelf hoe ze omgaat met het voorstel van de staatssecretaris. Als een organisatie slordig is met gegevens van klanten, riskeert die een forse boete (tot 4% van de jaaromzet met een maximum van 20 miljoen euro).

#2 Verwerkingsregister: wat verzamel je eigenlijk?

Breng in kaart wat je verzamelt en waarom. Dit zet je in een zogenaamd verwerkingsregister. Net als bij je uren- of rittenregistratie zijn er regels voor wat je moet kunnen aantonen, maar niet voor hoe je dit doet. Dit moet erin:

  • Welke gegevens verzamel je?
  • Van wie?
  • Wat doe je met de gegevens? Wat is het doel? Bijvoorbeeld: een wekelijkse nieuwsbrief versturen.
  • Hoe heb je toestemming gevraagd? Waar is dat terug te vinden?
  • Hoe lang bewaar je gegevens?

Online kun je zoeken naar een template of voorbeeld van een verwerkingsregister. Een heel eenvoudig voorbeeld zie je hieronder. Let op: vraag altijd advies van een expert als je twijfelt of dit in jouw geval voldoende is. 

Voorbeeld verwerkingsregister

Welke gegevens verzamelen we?

Van wie?

Doel*

Wie heeft toegang tot de gegegevens?

Waar bewaren we ze?

Bewaartermijn

Voornaam, achternaam, e-mail

Klanten

Maandelijkse nieuwsbrief

Jouw naam, naam office manager, Mailchimp**

Mailchimp + periodieke back-up [vermeld de exacte locatie bij jou op de server of in de cloud]

7 jaar

Bedrijfsnaam, adres, btw-nummer, factuurbedragen

Leveranciers en B2B-klanten

In- en uitgaande facturen-administratie

Jouw naam, de boekhouder of accountant

[vermeld de exacte locatie bij jou op de server of in de cloud] + bijvoorbeeld je boekhouder of boekhoudsoftware.

10 jaar

*Doel:  vul de concrete activiteit in waarvoor je dit verzamelt, dus niet: ‘marketing’.
**Deel je bepaalde gegevens ook met andere partijen? Dan moet je met die partij een verwerkersovereenkomst hebben, zie #3. 

Gegevens per klant niet nodig in verwerkingsregister
Je hoeft hier niet alle gegevens per klant in te verwerken. Het gaat om een overzicht van jouw databases en de datastroom. Wat verzamel je, waarom, waar en hoe lang? En met wie deel je het en waarom? Jij, je klant en de AP moeten snel inzicht kunnen krijgen waar wat staat en hoe je erbij kunt (ook om gegevens te verwijderen). 

Let op: klanten mogen hun gegevens altijd opvragen of definitief verwijderen. Door een verwerkingsregister bij te houden, weet je altijd precies wat je waar hebt bewaard en waarom.

#3 Verwerkersovereenkomst: juist nu kleine letters lezen

De gegevens die jij verzamelt, deel je meestal ook met andere organisaties of personen. Denk aan je boekhoudsoftware of het programma waarmee je jouw nieuwsbrief verstuurt. Met al die partijen maak je een verwerkersovereenkomst. Hierin leg je vast dat je data uitwisselt; hoe en waarom je dit doet en wie verantwoordelijk is bij bijvoorbeeld een datalek.

Online vind je ook voorbeelden van zo'n verwerkingsovereenkomst. Ook is de kans groot dat de organisaties waarmee je gegevens deelt al een standaard-overeenkomst hebben opgesteld. Teken ze niet zomaar. Wat gebeurt er bijvoorbeeld als de gegevens van jouw klanten op straat liggen door een fout van je boekhouder? Voorkom dat jij alle verantwoordelijkheid krijgt en dus onnodig risico loopt. 

#4 Nieuwsbrief-aanmelding: hoe concreter hoe beter

Heel belangrijk is heldere communicatie over de gegevens die je opslaat. Je moet je klanten 'specifiek informeren'. Voorbeeld: bij de aanmelding voor je nieuwsbrief zet je bij het vinkje ('opt-in') meer dan alleen 'ik meld me aan voor de nieuwsbrief'. Zet er ook bij hoe vaak die komt. 

Maak voor alles wat je wilt doen een apart vinkje. Wil je ook een jaarlijkse mailing per post sturen? Vraag daar dan apart toestemming voor. Je mag geen vinkjes automatisch aanzetten ('opt-out'-vinkjes). 

#5 Cookiemelding-update

Ook je cookiemelding moet compleet en concreet zijn. Vertel klanten precies waar je cookies voor gebruikt. Is het bijvoorbeeld om formulieren te kunnen opslaan of bezoeker ingelogd te houden? Of volg je klanten ook om gerichte advertenties aan te bieden (marketing automation)? Bezoekers moeten die ook apart kunnen zien en aan- of uitzetten. 

Gebruik je een plugin voor je cookiemelding, bijvoorbeeld via Wordpress of Drupal? Deze zijn soms al AVG-proof. Schakel bij twijfel altijd een professional in om hiernaar te kijken.

#6 Privacystatement AVG-proof

Ook hiervoor geldt: maak hem zo duidelijk en dus klantvriendelijk mogelijk. Kopieer dus niet klakkeloos een voorbeeld van een privacystatement vol juridische taal. Het idee is juist dat je gebruiker begrijpt hoe je met gegevens omgaat. Zet dit er in elk geval in:

  • Wat doe je met de gegevens?
  • Hoe let je op de veiligheid?
  • Met wie deel je de gegevens en waarom?
  • Contactgegevens: waar kan iemand terecht voor vragen over de gegevens? Waar kun je ze opvragen of laten verwijderen? 

#7 Functionaris Gegevensbescherming verplicht? 

In drie situaties is het verlicht om een special Functionaris Gegevensbescherming te hebben. Ten eerste bij overheids en publieke organisaties zoals gemeentes en zorginstellingen. Ten tweede bij organisaties waarbij observatie van mensen een rol speelt (denk aan bewaking via camera's, maar ook een wearable, zoals een smart horloge dat je sportactiviteiten volgt). Ten derde als de kernactiviteit het opslaan van bijzondere persoonsgegevens is, zoals ras of geloof. 

#8 Voorkom een datalek

Zorg voor goede wachtwoorden en beveilig je site en gegevensbestanden goed. Een excel met klantgegevens die iedereen in je bedrijf kan inzien, kan niet meer. Voorkom rondslingerende laptops, smartphones en USB-sticks. En zorg voor een cultuur waarin het not done is om even mee te kijken in een klantdossier of in de online-marketing-tool. 

Meer weten?

Gepubliceerd op:
01-05-2018

Wat vind je van dit artikel?

x59
x3

Fijn dat je dit interessant vond. Wekelijks ondernemerstips ontvangen?

Lees meer

Wat doe jij met de kostbare eerste twintig seconden van je pitch? Kies je voor een cliffhanger in zin 2? Of begin je met een persoonlijke, heel herkenbare irritatie (waar jij natuurlijk dé oplossing voor hebt)? Wij dagen je uit om vier openingen te testen, zodat je straks investeerders en zakenrelaties direct wakker schudt.

elevator pitch home
elevator pitch home

De wet DBA voor zzp'er wordt tot 2021 niet gehandhaafd met boetes áchteraf. Wél komt er meer onderzoek naar schijnzelfstandigheid. Bedrijven en zzp'ers krijgen bij overtreding van de wet dan eerst een waarschuwing.

De wet DBA: geen boetes en naheffingen tot 1-1-2020
De wet DBA: geen boetes en naheffingen tot 1-1-2020

Bedrijf starten

Het starten van een eigen bedrijf is een leuk, maar ook intensief proces waarbij meer komt kijken dan je denkt. Wil je gaan beginnen in bijvoorbeeld de zakelijke dienstverlening, horeca, zorg of een andere sector? Dan vind je op IkGaStarten nuttige informatie en tips om goed van start te gaan. Enkele belangrijke stappen zijn:

  1. De laatste ontwikkelingen checken in jouw branche
  2. Het schrijven van een ondernemingsplan
    Probeer het Business Model Canvas
  3. De inschrijving bij de Kamer van Koophandel (KvK)
  4. Uitzoeken wat voor ondernemer je bent voor de belasting​
  5. Goed je administratie regelen? Overweeg het openen van een zakelijke rekening

Lees alle stappen in het artikel: zo begin je een eigen zaak.

Created with Sketch.

Gratis tips voor ondernemers ontvangen?

Dat kan met de wekelijkse nieuwsbrief van IkGaStarten. Meld je gratis aan en start nóg sterker!
 

Ja ik wil die tips >

Created with Sketch.

Ondernemingsplan maken?

Ontvang gratis de PDF ‘Ondernemingsplan: de basis in 10 stappen’. Wij hebben het volgende voor je op een rij gezet:

  • Hoe maak je in 10 stappen een businessplan?
  • Uit welke onderdelen bestaat een financieel plan?
  • Welke handige tools kun je hierbij gebruiken?

Stuur mij de PDF

Je ontvangt de PDF binnen 5 minuten kosteloos in je mailbox.

Created with Sketch.

Maak een ijzersterke start

Ga aan de slag met de Startversterker. Een gratis tool voor startende ondernemers. 
 

  • tests, must-do's, tips en expert-inzichten
  • in je eigen tempo, waar en wanneer jij wil
  • houd bij hoe sterk je van start gaat​

Naar de Startversterker >

Goed bezig: ruim 3.455 ondernemers zijn al sterker gestart

Meld je aan

Haal alles uit de Startversterker. Bewaar artikelen, notities en checklists. Werk aan een ijzersterke start. In je eigen tempo, waar en wanneer jij wil.