ZBC Kennisbank

Je hebt minder persoonsgegevens in huis dan je denkt

 

Veel bedrijven piekeren over persoonsgegeven die ze in huis hebben, persoonsgegevens van klanten, van leveranciers, van ketenpartners, van eigen medewerkers en noem maar op. Ze piekeren over hoe ze moeten voldoen aan de AVG. Want al die persoonsgegeven zitten niet alleen in de formele systemen, maar ze zitten ook in de mail, in tijdelijke bestandjes en ga zo maar door.

Als je klanten consumenten zijn, dan heb je inderdaad een uitdaging. Klantgegevens zijn dan gegevens van natuurlijke personen en de AVG gaat inderdaad over de bescherming van de privacy van natuurlijke personen. Als je B2B werkt en je klanten zijn rechtspersonen, dan zijn de contactpersonen te beschouwen als de vertegenwoordigers van deze rechtspersonen. Je hebt dan dus niet meer te maken met de gegevens van natuurlijk personen maar met die van rechtspersonen. En voor rechtspersonen geldt de AVG niet. Maar ook als je klanten consumenten zijn, geldt waarschijnlijk dat de gegevens van de contactpersonen van leveranciers, van ketenpartners en van toezichthouders beschouwd kunnen worden als gegevens van rechtspersonen en dus niet vallen onder de AVG. Dat zij aan jou privé e-mailadressen of telefoongegevens verstrekken, dat is in feite niet jouw probleem.
Voor je werknemers gaat deze vlieger natuurlijk niet op. Zij hebben als natuurlijke persoon aan jou hun gegevens verstrekt en zaken als adres, opleiding en ervaring zijn per definitie gegevens van een natuurlijke persoon.

Duidelijkheid is wel een eis

Natuurlijk moet je wel duidelijk zijn in je overeenkomsten en je voorwaarden. Je moet aangeven dat je B2B werkt en niet de mogelijkheid openlaten, dat de rechtspersoon ook een natuurlijk persoon kan zijn, zoals ik bijvoorbeeld vorige week las in voorwaarden voor detachering:

“Inlener: Elke natuurlijke- of rechtspersoon waarmee uitlener een detacheringsovereenkomst heeft gesloten. ”

Als je iets op deze manier formuleert, valt niet meer aannemelijk te maken, dat je klantbestand niet onder de AVG valt. Waarschijnlijk is deze formulering ooit bedoeld om geen situaties uit te sluiten. Maar dergelijke formuleringen zul je acuut moeten schrappen. Dat wil niet zeggen, dat je geen zaken meer wilt doen met natuurlijke personen. Natuurlijk wil je dat wel, maar de gegevens over natuurlijke personen mogen niet in je klantenbestand (CRM-systeem) terug te vinden zijn. In je klantenbestand wordt een natuurlijke persoon gerepresenteerd door bijvoorbeeld een klantnummer en verder staan daar geen persoonsgegevens bij.
Let ook even op je website. Als klanten (of andere businesspartners) hierop hun gegevens kunnen invullen, zorg er dan voor dat het veld ‘bedrijfsnaam’ een verplicht veld is.

ZZP’ers als rechtspersoon

Je moet zeker ook duidelijk zijn als, je tevens zaken doet met zzp’ers. De wetgever heeft ooit in al zijn wijsheid besloten dat het KvK-nummer van een zzp’er identiek is aan zijn burger service nummer (BSN), niet beseffend dat daardoor bedrijven in de problemen gebracht kunnen worden. In overeenkomsten en voorwaarden moet daarom duidelijk gemaakt worden, dat je uitsluitend B2B werkt. En als de zzp’er zijn KvK- cq BSN-nummer op zijn eigen website vermeldt en in facturen, dan bevestigt hij hiermee dat hij gezien wil worden als een rechtspersoon en niet als een natuurlijk persoon.

Inhuurmedewerkers

Ook met inhuurmedewerkers moet je op je tellen passen. Als je deze als natuurlijk persoon inhuurt (hetzelfde geldt voor stagiaires) dan vallen ze sowieso onder de AVG. Als je echter mensen inhuurt van een detacheringsbureau kunnen ze weer beschouwd worden als de vertegenwoordiger van een rechtspersoon, mits je er dan wel voor zorgt dat:

  • dit contractueel goed wordt vastgelegd;
  • je gegevens van de natuurlijke persoon (bijvoorbeeld het CV) niet vastlegt of als je dat wel wilt doen, je deze gegevens direct archiveert, zodat deze niet toegankelijk zijn voor managers en medewerkers in het operationele proces.

Als het gaat om af en toe een inhuurkracht, dan is het de moeite niet waard. Maar als je een belangrijk deel van je bedrijfsactiviteiten laat invullen door inhuurkrachten, dan kan dit wel degelijk een interessante optie zijn.

De AVG biedt deze ruimte

Zoals we in het artikel ‘AVG is vooral een afweging en geen verplichting’ hebben aangegeven is één van de doelstellingen van de AVG, dat het vrije verkeer van persoonsgegevens niet belemmerd of verboden mag worden omwille van de privacy (art 1 lid 3). Wel geldt natuurlijk ‘pas toe of leg uit’ en je zult dus transparant moeten zijn over hoe je met privacy omgaat. Ook dit is weer een voorbeeld van de ruimte die de AVG biedt om pragmatisch te blijven. Net zoals we eerder bespraken in het artikel: ‘Het recht om vergeten te worden in de AVG’.
De media, actiegroepen, consultants, juristen en politici hebben de AVG opgeblazen tot volksvijand nummer 1 voor bedrijven. Dit valt echter reuze mee. Alleen kun je de AVG niet negeren, ook al verwerk je maar weinig persoonsgegeven. Het gaat allang niet meer om die boete, maar het gaat om reputatieschade. En die moet je natuurlijk zien te vermijden. Besef hierbij dat een stommiteit van een medewerker waarschijnlijk je grootste risico vormt. Probeer stommiteiten te voorkomen of doe minimaal zoveel aan awareness, dat aantoonbaar is dat fouten geen fouten zijn van de organisatie, maar van een individu, dus fouten, waarvan je als organisatie kunt laten zien, dat je er alles gedaan hebt om deze te voorkomen. (Zie ook ‘Online training informatiebeveiliging en privacy: de human firewall.’)
Ook dit artikel hoort thuis in het rijtje van het verminderen van risico op reputatieschade. Want persoonsgegevens, die je niet hebt, hoef je ook niet te beveiligen.

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen of een ISO 27001 of NEN 7510 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 20 november 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *