Kunnen mensen contactgegevens achterlaten via jouw website? Noteer jij namen, adressen en contactgegevens van mensen? Heb jij contact met mensen via e-mail, telefoon of WhatsApp? Heb je personeel in dienst? Beantwoord jij minimaal één vraag met ja? Dan verwerk jij persoonsgegevens en heb jij wettelijke verplichtingen.
Bijna iedere ondernemer verwerkt persoonsgegevens. Dan moet je voldoen aan de privacywetgeving; de AVG en de UAVG. Doe je dit niet, riskeer je door de Autoriteit Persoonsgegevens op je vingers getikt te worden. Het is dus belangrijk dat je op de hoogte bent van jouw verplichtingen uit de privacywetgeving én dat jouw onderneming privacy proof is.
Wat zijn persoonsgegevens?
Een persoonsgegeven is alle informatie over een identificeerbare persoon. Iemand zoals jij en ik. De informatie gaat direct over iemand of is naar een persoon te herleiden. Bedrijfsdata (denk aan een eenmanszaak) of gegevens in combinatie met andere gegevens kunnen ook iets zeggen over een persoon. Voorbeelden van veelgebruikte persoonsgegevens zijn: naam, adresgegevens, telefoonnummers, e-mailadres, functie en geboortedatum.
Het verwerken van persoonsgegevens omvat alle denkbare handelingen met persoonsgegevens zoals het verzamelen, vastleggen, opslaan, wijzigen, raadplegen, gebruiken, doorsturen, wissen en vernietigen. Het aanwezig hebben van persoonsgegevens op jouw server is ook een vorm van verwerken. 
De verplichtingen voor het verwerken van persoonsgegevens
Als ondernemer ben je al heel snel persoonsgegevens aan het verwerken. Dan komen de verplichtingen uit de privacywetgeving in het spel.
Let op! Onderstaande verplichtingen gelden ook als je een kleine onderneming hebt en maar weinig persoonsgegevens verwerkt!
  1. Een verwerkingsregister opstellen en bijhouden
    In dit document houd je voor je eigen administratie bij welke persoonsgegevens je verwerkt en waarom je dat doet.
  2. Betrokkenen informeren over jouw privacybeleid
    Je moet communiceren welke persoonsgegevens je verwerkt, voor welk doel, hoe lang je ze bewaart, met wie je ze deelt, hoe ze beveiligd worden en wat de rechten zijn van de betrokkenen. Dit kan met een privacyverklaring, een privacy statement of zelfs met een toffe video. 
  3. Bezoekers van jouw website informeren over jouw cookiebeleid
    Je dient jouw websitebezoekers te laten weten welke cookies je gebruikt en voor welke doeleinden. Dit kan met een cookieverklaring. Voor het gebruik van sommige cookies moet je toestemming te vragen.
  4. Verwerkersovereenkomsten sluiten met partijen met wie je persoonsgegevens deelt
    Deel je persoongegevens met andere partijen? Dan ben je verplicht een verwerkersovereenkomst te sluiten met die partijen. Denk aan samenwerkingspartijen, personal assistants, externe (salaris)administrateurs, maar ook softwarebedrijven. En ja, dat geldt zelfs voor de nieuwsbrieven die je verstuurt via jouw e-mailsoftware, de facturatie en administratie die je bijhoudt via jouw boekhoudsoftware en de hosting van je website.

    In de verwerkersovereenkomst neem je onder andere op welke persoonsgegevens de ander verwerkt in opdracht van jou en voor welk doel, hoe hiermee wordt omgegaan, geheimhouding, aansprakelijkheidsafspraken en dat de gegevens niet gebruikt worden voor zaken waarvoor jij geen opdracht hebt gegeven.

     
Doe je niets? Je riskeert een boete! 
Wat als je de benodigde privacy documenten voor jouw onderneming niet regelt? Dan overtreed je de privacywetgeving en riskeer je een sanctie van de Autoriteit Persoonsgegevens (AP). Een mogelijke sanctie is een boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. 
TikTok kreeg vorig jaar een boete van 750.000 euro opgelegd, omdat TikTok onvoldoende uitlegde hoe de app persoonsgegevens verzamelt, verwerkt en verder gebruikt. De privacyverklaring van TikTok was alleen in het Engels te lezen en dit vond de AP niet voldoende voor Nederlandse kinderen. Dit leverde schending op van de privacy van jonge kinderen. Een extreem voorbeeld, maar een boete opgelegd krijgen is zeker geen ver-van-je-bed-show. Er zijn meerdere keren boetes uitgedeeld aan Nederlandse organisaties en bedrijven die niet privacy proof aan het ondernemen waren, óók aan kleinere ondernemingen. Daarbij is een deel van de opgelegde boetes nog niet openbaar gemaakt. 
Zorg dat jij privacy proof onderneemt 
Een boete gaat jou niet overkomen wanneer jouw juridische zaken in orde zijn. Wanneer jij jouw juridische documenten rondom privacy regelt via De Rijder Legal, weet je zeker dat je goed zit. Twijfel je of jouw juridische documenten rondom privacy goed zijn of dat deze up-to-date zijn? Het is in ieder geval niet aan te raden juridische documenten van anderen te kopieëren. Zeker als je niet begrijpt wat er allemaal in die documenten staat en of deze voldoen aan de privacywetgeving. Iedere ondernemer is uniek en jouw juridische documenten moeten aansluiten bij jouw onderneming. Bovendien maak je ook nog eens inbreuk op het auteursrecht van de maker van het document wanneer je documenten kopieert van anderen. Not done. 
Vraag jezelf af of jij de benodigde privacy documenten al hebt voor jouw onderneming: – Een verwerkingsregister? En houd je deze bij? – Een privacyverklaring? – Een cookieverklaring? – Verwerkersovereenkomsten met partijen met wie je persoonsgegevens deelt?
Oftewel, is jouw onderneming privacy proof?