Steeds meer verschuift het werk van fysieke werkplekken, kantoren, vergaderlocaties en intakegesprekken op locatie met een kopje koffie erbij naar online werken en het voeren van gesprekken via Facetime of Zoom. Wees eerlijk, wie houdt er nu niet een webinar over zijn diensten en producten? Ja, zelfs ik werk op die manier! Maar hoe zit het nu met online werken en privacy?
Als jurist ben ik nu helemaal online en geef ik webinars over juridische zaken. Maar ik heb nog wel een ouderwetse papieren organizer…voor het overzicht. Maar daar gaan we het nu niet over hebben. Wat ik jullie in deze column ga vertellen, is waar je op moet letten als je meer online gaat werken. En dat is in ieder geval het omgaan met persoonsgegevens en privacy. Hoe doe je dat en wat moet je dan goed geregeld hebben?
Persoonsgegevens
Maar laten we beginnen met wat zijn persoonsgegevens nou eigenlijk. Persoonsgegevens zij die gegevens aan de hand waarvan je een persoon kunt identificeren. Denk hierbij aan naam, adres, een e-mailadres en een foto. Een foto is zelfs een bijzonder persoonsgegeven. Dit zijn de meest belangrijke gegevens voor online werken. Men geeft vaak een e-mailadres voor het inschrijven op een nieuwsbrief of het krijgen van een e-book en bij een webinar zet je de video aan bij het online gaan waardoor je gezicht of foto in beeld komt. Als je werkt met een webshop krijg je ook nog eens te maken met betalingsverkeer en bankgegevens.
Online werken en AVG
Omdat wij meer online werken, gebruiken wij dus ook meer tools en systemen. En die tools die slaan, soms zelfs ongemerkt, persoonsgegevens op. Denk bijvoorbeeld aan het vergaderen via Webex met je zakenpartners of het houden van een webinar via Zoom. Dan worden persoonsgegevens bewaard en veelal gedeeld met andere organisaties, zelfs in het buitenland.
Maar ook diegene die gebruik maakt van bijvoorbeeld Zoom kan het seminar opnemen. Dat heb ik zelf ook besloten. Dan moet ik er natuurlijk wel voor zorgen dat ik daar toestemming voor heb van mijn deelnemers. De AVG (Algemene Verordening Bescherming Persoonsgegevens) vereist immers dat er toestemming is voor het verwerken van persoonsgegevens.
Toestemming krijgen
Je kunt die toestemming op verschillende manier verkrijgen. Ten eerste door de persoon bij de aanmelding zelf een vinkje te laten plaatsen om teostemming te geven. Maar je kunt bijvoorbeeld ook in een mailbevestiging een stukje opnemen over het akkoord gaan met het privacybeleid. Zolang het maar een expliciete toestemming is. Dus niet vooraf al aanvinken, dat is niet toegestaan volgens de wet. De persoon moet zelf de handeling verrichten.
Als je als derde partij werkt met persoonsgegevens
Maar hoe zit het met het verwerken van persoonsgegevens als jij met organisatoren werkt? Het kan namelijk zo zijn dat jij voor een zakenpartner een deel van de werkzaamheden online gaat uitvoeren. Je zult daarbij goed moeten kijken wat jouw rol is: zie jij de persoonsgegevens in en verwerk je die ook. Denk bijvoorbeeld aan het beheer van een website, of het aanmaken van accountgegevens en het maken van rapportages op basis van online uitkomsten waarbij persoonsgegevens betrokken zijn.
Het meest heldere voorbeeld wat ik altijd aanhaal is die van het administratiekantoor aan wie ik als jurist bijvoorbeeld mijn hele administratie, de schoenendoos met bonnen, geef en die voor mij de facturen afhandelt. Dan besteed ik echt het administratie werk en facturatie uit. Als ik dat zou doen dan heb ik echt een verwerkersovereenkomst nodig met het administratiekantoor. Weet jij nou niet zeker of je een verwerkersovereenkomst nodig hebt of niet, vraag het een jurist met verstand van zaken.
In het tweede deel van deze column…
ga ik dieper in op online werken en je privacyverklaring en het gebruiken van e-mailmarketing.