Is jouw nagelstudio wel AVG-proof?
Als nagelstylist denk je er misschien niet altijd bij na, maar ook jij moet voldoen aan de Algemene verordening gegevensbescherming (AVG). Deze Europese privacywetgeving schrijft voor dat bedrijven zorgvuldig met de gegevens van klanten om moeten gaan. Ga jij wel goed genoeg met deze gegevens om en hoe staat het met je privacyverklaring? Charlotte Meindersma van juridisch advieskantoor Charlotte’s Law & Fine Prints licht toe waar je rekening mee moet houden.
De AVG is sinds vorig jaar van kracht. Er wordt inmiddels van je verwacht dat je aan deze wetgeving voldoet, maar toch is dit bij nagelstudio’s niet altijd het geval. Veel nagelstylisten die in bijberoep werken, staan hier nauwelijks bij stil. Dit terwijl het risico’s met zich mee kan brengen. ‘Het grootste risico is een boete en die kan hoog oplopen’, licht Charlotte toe. De Autoriteit Persoonsgegevens controleert of bedrijven voldoen aan de privacywet en kan desnoods een boete opleggen.
Daarnaast is het belangrijk om de verwerking van gegevens goed op orde te hebben tegenover je klanten. ‘Veel meer consumenten zijn zich bewust van hun privacy en weten nu ook dat zij bepaalde rechten hebben.’ Wanneer klanten merken dat hun gegevens op straat liggen, zullen zij dit vervelend vinden en dat kan een grote impact op je bedrijf hebben. ‘Het is belangrijk dat je er zorgvuldig mee omgaat. Je wil zelf ook niet dat jouw gegevens op straat komen te liggen.’
Privacyverklaring
Maar hoe zorg je er nou precies voor dat je goed omgaat met deze gegevens? Allereerst geldt er een zogenaamde informatieverplichting. ‘Dat is de privacyverklaring. Daarin staat welke persoonsgegevens je bewaart en waarom je dat bewaart.’ Anders dan vaak wordt gedacht, hoeven klanten hier niet mee akkoord te gaan.
Het is dan ook voldoende om de verklaring goed zichtbaar op je website te zetten en klanten hierop te wijzen tijdens het eerste contact of via een nieuwsbrief. ‘Het hoeft niet altijd heel opzichtig te zijn, maar klanten moeten het wel gemakkelijk kunnen vinden. Bij een online afsprakenmodule is het bijvoorbeeld belangrijk om door te verwijzen naar je privacyverklaring.’
Administratieve verplichtingen
Naast de privacyverklaring zijn er een aantal administratieve verplichtingen. Een onderdeel daarvan is het register waarin wordt bijgehouden wat voor soort gegevens er worden verzameld, van welke (computer)systemen je gebruik maakt en welke beveiligingsmaatregelen je hebt getroffen. Je beschrijft hierin ook hoelang de gegevens worden bewaard en met welk doel.
Wanneer je gebruik maakt van software moet je dat ook melden. Bewaar je de gegevens bijvoorbeeld in Dropbox of heb je een salonmanagementsysteem? ‘Dan moet je met die bedrijven een verwerkersovereenkomst sluiten. Die kan je vaak opvragen bij het desbetreffende bedrijf en soms wordt het in hun algemene voorwaarden gemeld.’
Lees ook:
Het bijhouden van een register hoeft niet heel ingewikkeld te zijn. ‘Je legt daarin echt uit welke gegevens er worden verwerkt en waarom. Het is een verantwoording en dat mag in een simpel Excel- of Worddocument. Het gaat erom dat je een overzicht hebt en dat je dat kan aantonen tegenover de Autoriteit Persoonsgegevens.’
Beveiligen van gegevens
Ook het beveiligen van persoonsgegevens is een belangrijk onderdeel binnen de AVG. ‘Het is bijvoorbeeld niet de bedoeling dat je afsprakenboek bij de balie ligt waar iedereen zomaar bij zou kunnen.’ Wanneer de gegevens op een computer staan, is het ook belangrijk om dit te beveiligen. ‘Bijvoorbeeld wanneer iemand anders ook gebruik maakt van de computer. In dat geval kan je het in een aparte map opslaan en beveiligen met een wachtwoord.’ Over het algemeen geldt dat je het zo goed mogelijk moet beveiligen. ‘Je moet doen wat er binnen je macht ligt. Wanneer je een kleine salon hebt, zijn er waarschijnlijk minder maatregelen nodig dan bij een grote keten.’
Kan je dan gemakkelijk aan deze eisen voldoen zonder een specialist in te schakelen? Volgens Charlotte onderschatten veel ondernemers de AVG. ‘Daardoor mist er vaak allerlei informatie in de privacyverklaring. Het register kan je gemakkelijk zelf opstellen omdat je zelf het beste weet welke informatie er wordt verzameld.’ Toch kan het verstandig zijn om er met een jurist over te praten. ‘Die stelt de juiste vragen en zeker voor de privacyverklaring is het belangrijk om een professional in te schakelen.’
Zaken die vaak vergeten worden in de privacyverklaring zijn bijvoorbeeld het niet benoemen van bewaartermijnen. ‘Soms wordt er niet duidelijk gemeld waarom bepaalde gegevens worden verzameld.’ Ook het inzagerecht en verwijderingsrecht ontbreekt vaak. ‘Maar het is ook belangrijk dat de verklaring niet te lang of te formeel wordt. De wet schrijft voor dat het zo kort mogelijk en voor iedereen begrijpelijk moet zijn.’
Controle
Wanneer je niet aan de eisen van de AVG voldoet, kan je een boete krijgen. Vaak krijg je eerst een waarschuwing. ‘In dat geval krijg je de tijd om alles in orde te maken.’ Als nagelstylist in bijberoep, denk je misschien dat je niet wordt gecontroleerd. ‘Maar vanaf mei/juni wordt ook het MKB steekproefsgewijs gecontroleerd door de Autoriteit Persoonsgegevens.’
Bij een controle moet je bijvoorbeeld het register en de privacyverklaring overhandigen. ‘Je moet laten zien hoe jij voldoet aan de AVG. Wanneer zij constateren dat je niet goed genoeg je best hebt gedaan, kan je een boete krijgen.’ Daarnaast controleert de Autoriteit Persoonsgegevens ook naar aanleiding van klachten. ‘De consument heeft tegenwoordig de mogelijkheid om klachten in te dienen. Wanneer er veel klachten binnenkomen, heb je de kans dat je wordt gecontroleerd.’
Op de hoogte blijven van het laatste nieuws in de branche? Schrijf je dan in voor onze tweewekelijkse nieuwsbrief.