Dossier: AVG

Inleiding/aanleiding

De wet Algemene Verordening Gegevensbescherming (AVG) is al in 2016 ingegaan, maar handhaving start pas op 25 mei van dit jaar. Vrijwel alle bedrijven gaan hier nu (eindelijk) mee aan de slag. Ook voor ons als zelfstandig ondernemende stoelmasseurs is dit van groot belang! Op de website van de Autoriteit Persoonsgegevens staat onderstaande knop waar je gemakkelijk een bedrijf kan aanklagen als je denkt dat ze zich niet aan de regels houden. Deze lage drempel zorgt ervoor dat je snel een telefoontje van ze kunt verwachten. Wees daar op voorbereid!

Klik-knop van de Autoriteit Persoonsgegevens

Je bent namelijk verplicht om aan te tonen dat je je daadwerkelijk aan de wetgeving houdt. Centraal in die wetgeving staat de vraag of je je bedrijf zo hebt ingericht dat je zorgvuldig met persoonsgegevens en informatie omgaat. De ontvanger van de informatie is verantwoordelijk voor hoe daarmee wordt omgegaan. Gouden regel nummer 1: verzamel alleen gegevens van je klant die je écht nodig hebt. Voorbeeld: heb je het BurgerServiceNummer (BSN) van je cliënt nodig om een goede stoelmassage te kunnen geven? Nee, dus vraag er ook niet naar.

Informatie van de overheid

De overheid geeft natuurlijk al heel veel informatie, bijvoorbeeld op de site van de Autoriteit Persoonsgegevens of hulpbijprivacy.nl. Die informatie is volledig en correct. Dat moet natuurlijk ook, maar voor ons als stoelmasseurs is het misschien een beetje veel van het goede. Ik haak al snel af, in ieder geval. Het kan ook wel wat eenvoudiger. Ik ben naar een bijeenkomst geweest waar een advocaat tekst en uitleg gaf, en volgende week ga ik nog naar een bijeenkomst van de Kamer van Koophandel over dit onderwerp. Als ik daar nog nieuwe inzichten krijg zal ik die op deze pagina delen.

Privacy statement

Als masseurs hebben wij geen ‘wettelijke plicht’ om informatie te vragen. Een werkgever bijvoorbeeld wél, die is verplicht om de identiteit van een medewerker te controleren aan de hand van een paspoort of ander identiteitsbewijs. Maar wij verkrijgen die informatie door ‘opt-in’: onze cliënt verstrekt die informatie vrijwillig. Het is dan voldoende om in een privacy statement duidelijk te maken:

  • welke persoonsgegevens je verzamelt (zo min mogelijk)
  • waarom je dat doet, dus waarom dat nodig is en hoe je ze gebruikt
  • waar ze zijn opgeslagen (zo kort mogelijk) en hoe dat beveiligd is (denk aan een SSL-certificaat voor je website!)
  • met wie je ze deelt

Moet je dat nou allemaal zelf gaan verzinnen? Gelukkig niet. Ik vond een paar goede voorbeelden van bedrijven die begrijpen waar de wet om gaat: bewustwording en verantwoording. Kijk bijvoorbeeld eens op https://www.lidl-shop.nl/privacy. Het staat er super duidelijk: welke informatie verzamelen we, wat doen we ermee, en hoe kun je aangeven hoe we met die gegevens omgaan? Ander voorbeeld: https://www.youfone.nl/optie/privacy. Het is een aardige lap tekst, maar de kopjes geven wel goed aan waar je alles kunt vinden.

Dit zijn goede voorbeelden omdat ze gemakkelijk te vinden zijn op de website, en in begrijpelijke taal zijn geschreven. Ken je die ellenlange juridische prietpraat waarmee je akkoord moet gaan vóór je een upgrade kunt doen van de software op je telefoon? Dat is dus duidelijk NIET de bedoeling.

Bewaartermijn

Bewaar gegevens niet langer dan strikt noodzakelijk. Een CV, bijvoorbeeld, mag je standaard slechts 4 weken bewaren! Ik heb er inmiddels al heel wat door de vernietiger gehaald. Kopieën van legitimatiebewijzen mag je zelfs helemaal niet bewaren! Dus van de masseurs die voor Zakenmasseurs werken of gewerkt hebben, en die mij netjes een kopie van hun VAR en paspoort hebben gestuurd, heb ik die laatste ook vernietigd. Het doel: controleren van de identiteit van de persoon, is al geweest. Bewaren is niet nodig. Sterker nog: het is zelfs verboden! Ook al omdat het tot identiteitsfraude kan leiden. Hoe lang bewaar jij je patiëntdossiers? En waarom?

Privacy-rechten

De mensen van wie je informatie verzamelt hebben een aantal rechten. De belangrijkste voor ons als stoelmasseurs:

  • recht op inzage
  • recht op correctie
  • recht om informatie te verwijderen

Je moet je cliënten duidelijk maken dát ze die rechten hebben, en hoe ze daarvan gebruik kunnen maken. Dat kan ook in dat privacy-statement. Zie ook de voorbeelden van Lidl en Youfone.

Tot slot

Deze nieuwe regelgeving is voor iedereen “nieuw”, dus we zullen een beetje geduld moeten hebben met elkaar. Het is te verwachten dat de Autoriteit Persoonsgegevens binnenkort een paar forse boetes uitdeelt aan grote bedrijven of instellingen die er echt een potje van maken. Dit heeft vooral een schrikeffect: de wet is immers bedoeld om het bewustzijn over dit onderwerp te vergroten. Als je kunt laten zien dat je er serieus mee bezig bent, bijvoorbeeld door een privacy statement op je website, hoef je je weinig zorgen te maken.

Beroepsvereniging voor Stoelmasseurs

En wij dan? Tja, wij moeten ook ‘aan de bak’. Leden die zich aanmelden geven een heleboel informatie, en dat komt dan meteen ook op de website te staan. Daar hebben ze voordeel van (vindbaar voor opdrachtgevers of leveranciers die korting geven aan leden), maar misschien zijn ze zich daar niet van bewust. Daar ligt een mooie taak voor de webmaster om een goede privacy-verklaring te schrijven!

Bijdrage van Martin Velthuizen van Zakenmasseurs, voorzitter van de Beroepsvereniging voor Stoelmasseurs.