Wat is de meest gemaakte fout op het gebied van privacy?

"Veel ondernemers schaffen software aan die handig is voor hen, maar niet voor de privacy van klanten. Sla je de gegevens van klanten op in de cloud, dan krijgt die clouddienst ze ook te zien. In het geval van een datalek komt de informatie op straat te liggen. Dus kijk altijd kritisch naar welk programma je gebruikt en schaf het liefst Europese software aan, die moet voldoen aan de AVG-wetgeving."

Waar moeten ondernemers nog meer op letten?

"Dat je niet te veel informatie vraagt van klanten. Sommige ondernemers denken: laten we maar zo veel mogelijk verzamelen, dan hebben we het in ieder geval. Maar dat mag dus niet. Het bijhouden van klantgegevens moet wel een doel hebben. Je zou bijvoorbeeld iemands geboortedatum mogen opslaan, als je die wil gebruiken voor het versturen van een verjaardagskaart of een kortingscode als diegene jarig is."

"Onder persoonsgegevens valt alle informatie die direct of indirect te herleiden is naar een persoon. Dus alleen al het opslaan van iemands naam en mailadres valt onder de privacywetgeving."

Wie controleert of je het goed doet?

"De Autoriteit Persoonsgegevens controleert dit, maar doet dit niet uit zichzelf. Daar hebben ze de capaciteit niet voor. Op het moment dat ze klachten binnenkrijgen, heb je wel een probleem. Je kunt dan rekenen op een grote boete. Bovendien heb je dan niet alleen boze klanten, maar kom je waarschijnlijk ook negatief in het nieuws. Dus zorg er gewoon voor dat je goed omgaat met persoonsgegevens."

Hoe pak je dat aan?

"Uiteindelijk mag er best veel met persoonsgegevens, zolang je goed uitlegt waar de gegevens voor worden gebruikt. Het punt is dat je er veilig mee omgaat. Je moet bijvoorbeeld geen Excel-sheets met klantinformatie op je bureaublad bewaren. Als je in een koffietentje of in de trein werkt, let er dan goed op dat niemand kan meekijken. Zit je op een openbaar netwerk? Dan is het slim om een beveiligde VPN-verbinding te hebben zodat niemand via dat netwerk kan inbreken. Hoe gevoeliger de persoonsgegevens, hoe voorzichtiger je ermee moet omgaan."

"Daarnaast moet je een privacyverklaring hebben. Daar moet duidelijk en bondig in staan wat je verzamelt en waar je het voor gebruikt. Je moet er ook in vermelden welke gegevens je er zelf aan toevoegt. Via Google Analytics kun je bijvoorbeeld ook iemands IP-adres achterhalen. Klanten moeten weten dat je dat doet. En als ze klachten hebben, moet ook helder zijn waar ze dan terechtkunnen."

Waar moet die privacyverklaring te vinden zijn?

"Een privacyverklaring moet zijn in te zien zodra een klant bijvoorbeeld een offerte opvraagt, iets bestelt bij je webshop of een bericht stuurt via een antwoordformulier. De klant moet je verklaring kunnen lezen zodra er voor het eerst contact is. Ik heb de link naar mijn privacyverklaring onderaan mijn e-mails staan. Zo is die altijd te vinden en hoef ik er niet over na te denken."

"Het maken van zo'n document is niet heel ingewikkeld. Veel privacyjuristen hebben een generator gemaakt voor het opstellen van een verklaring. Je hoeft dan maar een paar vragen te beantwoorden en binnen tien minuten heb je er een die je kan gebruiken."