De titel van deze blog: ‘AVG + ZZP = 3 letters te veel‘ is bedoeld als een vraagstuk en niet als een stelling. Hiermee hopen we de ZZP’er uit te dagen om over de AVG na te denken. Het vraagstuk: ‘Wat moet een ZZP’er doen om AVG compliant te worden?‘ vindt Sneekernet ICT belangrijker. Denkt u er zelf ook zo over, leest u dan verder.
Als een ZZP’er de AVG-wet wilt omarmen dan rijzen de vragen:
- Moet uw bedrijf wel voldoen aan de AVG?
- Met welke AVG regels heeft uw als ZZP’er te maken?
- Hoe kan dat met weinig tijd en een klein budget?
In de AVG-wet staan organisatorische richtlijnen die u vertellen waar uw bedrijf aan zou moeten voldoen, maar in een praktisch onderdeel zoals de ict beveiliging zegt de AVG helemaal niets over hoe u dat moet regelen. Hoe de ict beveiliging voor uw specifieke situatie aangepast moet worden is dus helemaal aan uzelf en dan laten veel kleine bedrijven al snel het hoofd hangen. Bovendien is iedere bedrijfssituatie anders, dus als u de AVG beveiligingsmaatregelen van uw best bekende relatie overneemt en toepast in uw eigen bedrijf, zou u daarmee uw organisatie volledig kunnen ontregelen.
Is het wel nodig?
De hierin belangrijkste stelling is: Als u niets aan de AVG doet, dan is dat fout en bent u dus strafbaar, U moet dus wel iets gaan ondernemen. In welke mate u dat moet doen hangt sterk af van u bedrijfsactiviteiten. Want de hele AVG draait om verwerking van persoonsgegevens. Doet uw bedrijf niets met persoonsgegevens dan heeft u dus ook niets met de AVG te maken, maar die situatie is zelfs op de kleinste organisatie vaak niet toepasbaar.
Twee voorbeeld bedrijven
Een klusbedrijf hoeft doorgaans minder beveiligingsmaatregelen te treffen dan een klein uitzendbureau. Beide bedrijven werken met persoonsgegevens zoals die van hun klanten, maar in tegenstelling tot het klusbedrijf werkt een uitzendbureau met veel meer persoonsgegevens die bovendien ook tot de gevoelige categorie horen, omdat alle sollicitatie kandidaten kopieën van hun identiteitspapieren aan hun afgeeft. Het uitzendbureau zal daarom aanzienlijk meer maatregelingen moeten treffen om aan de AVG-eisen te kunnen voldoen dan het kleine klusbedrijf.
Het AVG Dossier
Voor elk bedrijf geldt: Begin met het aanleggen van een AVG dossier en houdt alles bij wat u met de AVG doet, zoals beveiligings overwegingen, AVG- denksessies, netwerkgesprekken, seminars, workshops, alles waarbij de AVG aan orde komt. Daarvan noteert u alle bestede tijd en kosten in het AVG-dossier. Zoals eerder gezegd zijn er ook een aantal organisatorisch zaken die u moet regelen. Wilt u die weten, neem dan contact op met Sneekernet ICT.
AVG Budget
Sommige beveiligingsverbeteringen kunnen erg duur uitpakken, maar vergeet niet dat de AVG u de ruimte geeft om een kostenoverweging te maken en hiermee uw beslissing tot aankoop of uitstel op mag baseren. Als u vanwege hoge kosten afziet van een beveiligingsinvestering, dan moet u de motivatie hiertoe wel vastleggen in uw AVG dossier. En wie weet komt er in de nabije toekomst wel een goedkopere oplossing beschikbaar voor het huidige beveiligingsprobleem en heeft u op die manier uzelf veel geld bespaart.
Geen investering maar toch veiliger
Indien u de beveiligingsverbetering vanwege de hoge kosten niet aanschaft dan is uw bedrijf toch veiliger geworden, omdat u bewust geworden bent dat er zich een kwetsbaarheid binnen uw organisatie bevindt. Die bewustwording wordt door elke beveiligingsexpert als een aanzienlijke beveiligingsverbetering gezien, want:
‘Naivety is Security’s Worst Enemy!’