Je hoort regelmatig in het nieuws dat er een datalek is bij een bedrijf, waardoor persoonsgegevens van burgers op straat komen te liggen. Naast grote bedrijven kunnen ook zzp’ers die met persoonlijke gegevens van klanten werken te maken krijgen met een datalek. In de nieuwste MOOI Lijfstijl lees je wat een datalek precies is en nog belangrijker, hoe je je erop voorbereidt.

Dit is een datalek
Een datalek betekent dat iemand toegang heeft gekregen tot persoonsgegevens zonder dat dit mag of zonder dat er toestemming voor is gegeven. Die toegang is veroorzaakt door een inbreuk op de beveiliging van deze gegevens. Je denkt dan al snel aan een aanval door een hacker, malware (een kwaadaardig computervirus) of een phishingmail, maar ook wanneer je een usb-stick verliest met daarop de persoonlijke gegevens van een klant of het doorsturen van persoonsgegevens naar een verkeerde ontvanger spreek je van een datalek.

Wat zijn persoonsgegevens
Er zijn verschillende soorten persoonsgegevens. Directe persoonsgegevens zijn gegevens zoals: naam, adres, geslacht, pasfoto of bankrekeningnummer. Indirecte persoonsgegevens zijn bijvoorbeeld een kentekennummer, IP-adres, of WOZ-waarde. Bijzondere persoonsgegevens gaan over gevoelige informatie over iemand, zoals godsdienst, ras, politieke voorkeur of gezondheid.

De gevolgen van een datalek
Wanneer de persoonlijke gegevens van iemand in verkeerde handen vallen, kan dat grote gevolgen hebben. Denk maar aan creditcardgegevens die door een ander kunnen worden gebruikt, waardoor de eigenaar financiële gevolgen ondervindt. Of identiteitsdiefstal of -fraude. Iemand gebruikt bijvoorbeeld jouw persoonsgegevens om een lening af te sluiten bij de bank of om dure aankopen te doen in een webwinkel, waarvoor jij de rekening krijgt.

Online privacyverklaring
Iedereen wil dus dat zijn persoonlijke gegevens goed beschermd zijn. Ook wanneer enkele van die gegevens moeten worden verwerkt voor bijvoorbeeld een bestelling. Elke ondernemer -dus ook de ZZP-er- is daarom verplicht een privacyverklaring te hebben. Daarin kunnen nieuwe en bestaande klanten lezen hoe jouw privacybeleid eruitziet. Je voldoet al aan de informatieplicht wanneer je deze privacyverklaring online deelt. Plaats hem dus op je website.

Meer informatie
Lees alles over datalekken en wat te doen en over de AVG-regels op www.autoriteitpersoonsgegevens.nl. Hier kun je ook direct een datalek melden. Informatie over de privacyverklaring kun je lezen op www.ondernemersplein.kvk.nl

Zo bereid je je voor op een datalek

• Verwerk alleen de persoonsgegevens die je echt nodig hebt voor je werk. Zoals een mailadres, woonadres en andere contactgegevens. Houd goed in de gaten of je niet ook (per ongeluk) bijzondere persoonsgegevens verwerkt. Die zijn, als je deze niet echt nodig hebt voor je werk, echt verboden om te bewaren.
• Heb je een goede reden (een grondslag) om persoonsgegevens te verwerken? Je bent verplicht die reden te hebben bij alle persoonsgegevens die je verwerkt en bewaart.
• Jouw klanten hebben allerlei AVG-privacyrechten. Bijvoorbeeld het recht om te weten welke informatie je over hen bewaart en waarvoor je die gebruikt. Je leest meer over deze rechten op www.autoriteitpersoonsgegevens.nl.
• Een zzp-er is verplicht een verwerkingsregister bij te houden wanneer:
  • de verwerking van persoonsgegevens niet incidenteel is. Bijvoorbeeld wanneer je een digitaal systeem hebt waarin je de klantafspraken verwerkt en je hierin naam, telefoonnummer en e-mailadres opneemt,
  • er persoonsgegevens worden verwerkt die een hoog risico hebben voor de rechten en vrijheden van de klanten, zoals medische gegevens,
  • er gegevens worden verwerkt die vallen onder ‘bijzondere persoonsgegevens’.

In zo’n verwerkingsregister schrijf je op welke gegevens je verzamelt, waarom je dat doet, hoe je de gegevens verzamelt, hoe je die bewaart, met wie je de gegevens deelt en hoe lang je de gegevens bewaart.

• In sommige gevallen ben je als ZZP-er verplicht een ‘data protection impact assessment’ uit te voeren. Dit is een beoordeling van de mogelijke gevolgen van de gegevensverwerking op de privacy van jouw klant. Je moet dit regelmatig doen, wanneer je werkt in een branche met privacygevoelige informatie zoals patiënten- of klantendossiers. Ook hiervoor kijk je voor verdere informatie op www.autoriteitpersoonsgegevens.nl.

Toch een datalek? Een datalek moet binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens. Daarnaast moeten ook alle betrokkenen worden geïnformeerd. Zorg daarom voor een adressenlijst van iedereen waarvan je de persoonsgegevens verwerkt of bewaart, zodat je deze personen kan aanschrijven als dat moet.