Heb ik met AVG te maken? en wat moet beter?

Pinin schreef op maandag 3 december 2018 @ 19:31:
Waar staat beschreven waar ik aan moet voldoen, bijv. hoe vaak moet ik mijn wachtwoord verversen, moet ik elke keer uitloggen, moet een document een wachtwoord bevatten en is google veilig genoeg?

Dit ga je nergens vinden, want dit bestaat niet
De beveiligingseisen zijn vastgelegd in art. 32 GDPR - dit is echter niet op technisch inhoudelijk niveau, maar bijvoorbeeld:

Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk... (Art. 32 GDPR lid 1)

Kortom, de beveiliging moet afgestemd zijn op het type dataverwerking, en het risico dat misbruik van de data met zich mee brengt.

Je hoeft niks te doen, maar als het misgaat ben jij de schuldige.

Dat is het mooie, je doet het toch altijd fout. Wil je toch wat goed doen, begin met protonmail. Gmail heeft eens in de zoveel tijd fouten, protonmail nooit.

Als eerste: de AVG is heel veel, vooral als kleine zelfstandige. @hellknight snijdt veel goede zaken aan.

Pinin schreef op maandag 3 december 2018 @ 19:31:

• Natuurlijk moet ik ook email naar de klanten sturen, meestal gaat het over een afgesproken tarief voor een advertentie, het ontwerp van de advertentie of we versturen de Factuur digitaal.
• Het contact met de adverteerder gaat in het Nederlands, Engels of Spaans.
• Over het algemeen zijn al mijn klanten ook kleine zelfstandigen.
• Ik verstuur mijn email via Gmail, met sterk wachtwoord, de contactgegevens woorden ook opgeslagen in een google doc
• Op dit moment log ik in op mijn Windows PC met vingerafdruk, Google heeft een sterk wachtwoord

.

Hier haal ik eigenlijk verborgen twee gegevens uit: naam (persoonsgegeven) en adres (mogelijk persoonsgegeven indien een kleine zelfstandige / eenmanszaak). Afgezien van dat: het is business voor jou, en voor jou van belang wáár je die gegevens opslaat.

Dus: waar sla je naam, adres en facturen/offertes op? Je bent ook verplicht om ze te bewaren voor de belastingdienst, maar of het handig is om dat 'online' te doen met facturen ouder dan 3 jaar? Ik vraag het me af.

Je gmail-account, is dat een betaalde versie of niet? Want daar krijg je wel officieel te maken met derde verwerkers.

Ik heb geen idee, tijd en geld om hier een bureau voor in te schakelen.
Waar staat beschreven waar ik aan moet voldoen, bijv. hoe vaak moet ik mijn wachtwoord verversen, moet ik elke keer uitloggen, moet een document een wachtwoord bevatten en is google veilig genoeg?

Hierop is geen officieel antwoord, behalve dat als je voldoet aan de ISO 27002 certificering dat je je best hebt gedaan. Dat ga je niet doen, want je bent een kleine zelfstandige.

Des te meer het belang dat je een virusscanner up-to-date hebt, je updates netjes draait, je backups offsite hebt, en dat je niet op elke link in je mail klikt. Heel simpel: de Autoriteit Persoonsgegevens heeft géén prioriteit bij kleine clubs. Dat neemt niet weg dat jij je bést kan doen.

Iemand informeerde me wel dat ik onder mijn factuur en email een regel tekst moet opnemen dat gegevens veilig bewaard worden en altijd kan worden uitgeschreven/verwijderd, maar dit is niet zomaar een copy/paste tekst volgens mij

Maar je hebt geen nieuwsbrief, en facturen móeten geanonimiseerd kunnen worden (lees: de naam van de ontvanger moet eraf gehaald worden), maar thats it. Die zou ik gewoon negeren.
[/quote]

De Autoriteit Persoonsgegevens heeft een handleiding over de AVG, misschien dat je daar iets aan hebt.

Of de AVG voor jou van toepassing is:

Over het algemeen zijn al mijn klanten ook kleine zelfstandigen.

De AVG geldt alleen voor persoonsgegevens (gegevens over een natuurlijk persoon), dus normaliter zouden de gegevens van organisaties niet meetellen. Omdat je vooral met kleine zelfstandigen werkt is dit misschien anders voor jou:

"De Verordening is alleen van toepassing op de verwerking van gegevens over natuurlijke personen.
Gegevens over organisaties (ondernemingen en dergelijke) zijn géén persoonsgegevens, omdat zij geen
betrekking hebben op een natuurlijke persoon. Dit is slechts anders wanneer de organisatie vereenzelvigd
kan worden met een natuurlijke persoon. Zo zegt de omzet van een eenmanszaak iets over het inkomen van de eigenaar van de eenmanszaak. Wanneer u gegevens verwerkt van personen binnen een organisatie
(bijvoorbeeld medewerkers), dan is er ook sprake van de verwerking van persoonsgegevens. " - AP

Natuurlijk moet ik ook email naar de klanten sturen, meestal gaat het over een afgesproken tarief voor een advertentie, het ontwerp van de advertentie of we versturen de Factuur digitaal.

De AVG richt zich bij e-mail vooral op (direct) marketing. Je mag namelijk geen direct marketing richten aan mensen die daar geen toestemming voor hebben gegeven (met wat uitzonderingen). Als jij marketingmails of nieuwsbrieven verstuurt, dan moet er inderdaad onderaan de e-mail staan dat mensen zich kunnen uitschrijven en bij voorkeur met een link om gelijk uitgeschreven te worden. Het lijkt mij dat een gesprek over tarieven of ontwerpen niet valt onder marketing, dus je hoeft niet zo'n disclaimer neer te zetten onder elke email.

Als je persoonsgegevens opslaat van iemand moet je ze wel informeren daarover op het punt dat je ze opslaat. Je kunt dit in één email zetten of het combineren met een andere e-mail, en je hoeft het niet elke keer onderaan de email te zetten. Waarover je ze moet informeren staat in de handleiding van AP die ik bovenaan linkte (op blz. 17).

Wat je kunt doen:

Je zou kunnen beginnen met het maken van een verwerkingsregister. Je verwerkt volgens mij niet zo veel verschillende soorten gegevens, dus dat zal snel af zijn. Er zijn ook veel voorbeelden van te vinden online. Hiermee kun je in ieder geval antwoord geven als iemand jou vraagt wat voor gegevens je van ze in bezit hebt, waar ze staan, hoe ze beveiligd zijn, welke grondslag etc.

Met grondslag bedoel ik één van de zes grondslagen die in de AVG staan. Deze twee zijn voor jou relevant en een goede reden voor waarom je persoonsgegevens verwerkt:
- a. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of
meer specifieke doeleinden
- b. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is,
of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen

Het register zou later handig kunnen zijn om snel antwoord te geven als iemand bijv. vraagt wat je opslaat, of als ze verwijderd willen worden.

Ideetjes

de contactgegevens woorden ook opgeslagen in een google doc

Kun je niet een offline Excel-doc gebruiken op jouw Windows pc? Dan hoef je het niet op de servers van Google te zetten. Ik zou dit soort dingen zelf niet online zetten.

Heb je two-factor authentication aanstaan voor Google?

Sla je facturen offline ook op?
Een ideetje: je zou een encrypted externe hardeschijf kunnen gebruiken om je documenten op te slaan. Dat hoef je maar één keer in te stellen, en daarna kun je die externe hardeschijf aansluiten, een wachtwoord intikken, en gebruiken als normale USB-opslag. Kan bijvoorbeeld met Veracrypt en dat is gratis. Dit zou ik doen met documenten die je wel moet bewaren maar niet meer aanpast, zoals oudere facturen.