Dossier: AVG

Inleiding/aanleiding

De wet Algemene Verordening Gegevensbescherming (AVG) is al in 2016 ingegaan, maar handhaving start pas op 25 mei van dit jaar. Vrijwel alle bedrijven gaan hier nu (eindelijk) mee aan de slag. Ook voor ons als zelfstandig ondernemende stoelmasseurs is dit van groot belang! Op de website van de Autoriteit Persoonsgegevens staat onderstaande knop waar je gemakkelijk een bedrijf kan aanklagen als je denkt dat ze zich niet aan de regels houden. Deze lage drempel zorgt ervoor dat je snel een telefoontje van ze kunt verwachten. Wees daar op voorbereid!

Klik-knop van de Autoriteit Persoonsgegevens

Je bent namelijk verplicht om aan te tonen dat je je daadwerkelijk aan de wetgeving houdt. Centraal in die wetgeving staat de vraag of je je bedrijf zo hebt ingericht dat je zorgvuldig met persoonsgegevens en informatie omgaat. De ontvanger van de informatie is verantwoordelijk voor hoe daarmee wordt omgegaan. Gouden regel nummer 1: verzamel alleen gegevens van je klant die je écht nodig hebt. Voorbeeld: heb je het BurgerServiceNummer (BSN) van je cliënt nodig om een goede stoelmassage te kunnen geven? Nee, dus vraag er ook niet naar.

Informatie van de overheid

De overheid geeft natuurlijk al heel veel informatie, bijvoorbeeld op de site van de Autoriteit Persoonsgegevens of hulpbijprivacy.nl. Die informatie is volledig en correct. Dat moet natuurlijk ook, maar voor ons als stoelmasseurs is het misschien een beetje veel van het goede. Ik haak al snel af, in ieder geval.

Het kan ook wel wat eenvoudiger. Ik ben intussen naar een heel aantal bijeenkomsten geweest waar juristen en IT-specialisten tekst en uitleg gaven. Op deze pagina een samenvatting van de informatie die ik daar gekregen heb.

Privacyverklaring

Als masseurs hebben wij geen ‘wettelijke plicht’ om informatie te vragen (tenzij je valt onder de Wet op de Geneeskundige Behandelovereenkomst (Wgbo), of de Wet Kwaliteit, Klachten en Geschillen Zorg (Wkkgz). Wil je weten of je ook onder de Wkkgz valt? Zie deze pagina: Val ik onder de Wgbo en/of de Wkkgz?) Een werkgever in ieder geval wél, die is verplicht om de identiteit van een medewerker te controleren aan de hand van een paspoort of ander identiteitsbewijs. Maar wij verkrijgen die informatie door ‘opt-in’: onze cliënt verstrekt die informatie vrijwillig. Het is dan voldoende om in een privacyverklaring duidelijk te maken:

  • welke persoonsgegevens je verzamelt (zo min mogelijk)
  • waarom je dat doet, dus waarom dat nodig is en hoe je ze gebruikt
  • waar ze zijn opgeslagen (zo kort mogelijk) en hoe dat beveiligd is (denk aan een SSL-certificaat voor je website!)
  • met wie je ze deelt

Als het verzamelen van die informatie een wettelijke plicht is hoef je je cliënt niet om toestemming te vragen. Wél moet je hem informeren: wat verzamel je, waarom (omdat dat moet van de wet, dus), wat doe je ermee, hoe lang bewaar je dat, etc.

Moet je dat nou allemaal zelf gaan verzinnen? Gelukkig niet. Er is namelijk deze handige Privacyverklaringgenerator van de overheid. Deze is tot stand gekomen in samenwerking met de Autoriteit Persoonsgegevens. Door het beantwoorden van een paar tamelijk simpele vragen rolt er een goede privacyverklaring uit die je zo op je website kunt zetten. Denk er aan dat je dat doet vóór 25 mei 2018!

Cookies

Een van de vragen van de privacyverklaringgenerator gaat over cookies. Als je niet zeker weet of jouw website cookies gebruikt, test dat dan even met dit tooltje: www.cookiechecker.nl. (Ik ben er overigens niet 100% zeker van dat dit tooltje altijd de juiste informatie geeft.)

Verder vond ik een paar goede voorbeelden van bedrijven die begrijpen waar de wet om gaat: bewustwording en verantwoording. Kijk bijvoorbeeld eens op https://www.lidl-shop.nl/privacy. Het staat er super duidelijk: welke informatie verzamelen we, wat doen we ermee, en hoe kun je aangeven hoe we met die gegevens omgaan? Ander voorbeeld: https://www.youfone.nl/optie/privacy. Het is een aardige lap tekst, maar de kopjes geven wel goed aan waar je alles kunt vinden.

Dit zijn goede voorbeelden omdat ze gemakkelijk te vinden zijn op de website, en in begrijpelijke taal zijn geschreven. Ken je die ellenlange juridische prietpraat waarmee je akkoord moet gaan vóór je een upgrade kunt doen van de software op je telefoon? Dat is dus duidelijk NIET de bedoeling.

Bewaartermijn

Bewaar gegevens niet langer dan strikt noodzakelijk. Een CV, bijvoorbeeld, mag je standaard slechts 4 weken bewaren! Ik heb er inmiddels al heel wat door de vernietiger gehaald. Kopieën van legitimatiebewijzen mag je zelfs helemaal niet bewaren! Dus van de masseurs die voor Zakenmasseurs werken of gewerkt hebben, en die mij netjes een kopie van hun VAR en paspoort hebben gestuurd, heb ik die laatste ook vernietigd. Het doel: controleren van de identiteit van de persoon, is al geweest. Bewaren is niet nodig. Sterker nog: het is zelfs verboden. Ook al omdat het tot identiteitsfraude kan leiden. Hoe lang bewaar jij je patiëntdossiers? En waarom? Als je valt onder de Wgbo moet dat 15 jaar!

Privacyrechten

De mensen van wie je informatie verzamelt hebben een aantal rechten. De belangrijkste voor ons als stoelmasseurs:

  • recht op inzage
  • recht op correctie
  • recht om informatie te verwijderen

Je moet je cliënten duidelijk maken dát ze die rechten hebben, en hoe ze daarvan gebruik kunnen maken. Dat kan ook in die privacyverklaring. Zie ook de voorbeelden van Lidl en Youfone. Het recht op vergetelheid geldt niet voor dossiers van de WGBO, zie https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/zorgaanbieders-en-de-avg.

Tot slot

Deze nieuwe regelgeving is voor iedereen “nieuw”, dus we zullen een beetje geduld moeten hebben met elkaar. Het is te verwachten dat de Autoriteit Persoonsgegevens binnenkort een paar forse boetes uitdeelt aan grote bedrijven of instellingen die er echt een potje van maken. Dit heeft vooral een schrikeffect: de wet is immers bedoeld om het bewustzijn over dit onderwerp te vergroten. Als je kunt laten zien dat je er serieus mee bezig bent, bijvoorbeeld door een privacyverklaring op je website, hoef je je weinig zorgen te maken.

Beroepsvereniging voor Stoelmasseurs

En wij dan? Tja, wij moeten ook ‘aan de bak’. Leden die zich aanmelden geven een heleboel informatie, en dat komt dan meteen ook op de website te staan. Daar hebben ze voordeel van (vindbaar voor opdrachtgevers of leveranciers die korting geven aan leden), maar misschien zijn ze zich daar niet van bewust. Daar ligt een mooie taak voor de webmaster om een goede privacy-verklaring te schrijven!

Bijdrage van Martin Velthuizen van Zakenmasseurs, voorzitter van de Beroepsvereniging voor Stoelmasseurs.