De AVG, wat moet ik ermee?

Het zal je waarschijnlijk niet zijn ontgaan, maar de privacywetgeving (AVG) verandert per 25 mei 2018. Stuur je bijvoorbeeld een nieuwsbrief, heb je een klantenbestand of een bestand met leden- of personeelsinformatie, dan is de wetgeving van toepassing. Het komt er eigenlijk op neer dat ieder bedrijf, groot of klein, persoonsgegevens verwerkt.

Als de wet niet wordt nageleefd, kan dit vervelende gevolgen hebben. Denk daarbij aan boetes. Maar het is uiteraard ook een kwestie van professionaliteit om aan de wet te voldoen en persoonsgegevens van anderen te beschermen en hen daarover te informeren.

  • Heeft jouw website een SSL certificaat?
  • Heb je een privacyverklaring?
  • Staat deze privacyverklaring op de website?
  • Heb je een privacybeleid?
  • Is de wijze voor aanmelding en afmelding voor de nieuwsbrief in lijn met de wet?
  • Is er een intern datalek register?

En zo zijn er nog vele vragen die de privacywetgeving oproept. Voordat je het weet is het 25 mei 2018. En als je organisatie niet voldoet aan de AVG en toch persoonsgegevens verwerkt, dan riskeer je hoge boetes. Dit is dus het moment om na te gaan wat de AVG voor jouw organisatie betekent.

Disclaimer

Dit artikel is bedoeld om inzicht te geven in de nieuwe AVG/GDPR regels met betrekking op je website. Ik ben echter een websitebouwer en geen advocaat, dus dit artikel is niet bedoeld om je juridische beslissingen op te baseren.

Voordat je het weet is het 25 mei 2018. Dit is dus het moment om na te gaan wat de AVG voor jouw organisatie betekent.

Algemene Verordening Gegevensbescherming (AVG)

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG, ook wel bekend onder de Engelse afkorting GDPR) van kracht. Over het algemeen gaat de AVG over verantwoordelijkheid en transparantie. Wat ga je met de persoonsgegevens die je verzamelt doen? Welke organisaties hebben nog meer inzicht in deze gegevens? En ga je verantwoordelijk met de gegevens om?

Wat zijn persoonsgegevens volgens de AVG?

Onder persoonsgegevens valt alle informatie die direct over een persoon gaat, zoals:

  • naam
  • adres met postcode
  • woonplaats
  • telefoonnummer
  • e-mailadres
  • geboortedatum

Maar ook indirecte persoonsgegevens, zoals e-mails, foto’s en berichten op sociale media. Werk je met de bovengenoemde gegevens, dan is de AVG van toepassing. Verwerking van (contact)gegevens van organisaties vallen niet onder de AVG, aangezien deze geen gegevens van natuurlijke personen betreffen.

Enkele voorbeelden:

  • Een persoonlijk e-mail adres is dus wel een persoonsgegeven (namelijk van de natuurlijke persoon van wie dit adres is).
  • Het info/algemene adres van de organisatie waar deze persoon werkt, betreft geen persoonsgegeven.
  • Een info/algemeen adres van een eenmanszaak is wel een persoonsgegeven volgens de AVG, want een eenmanszaak wordt met de natuurlijke persoon die de onderneming drijft gelijk gesteld.

Wat is verwerking van persoonsgegevens?

Onder verwerking wordt onder andere verstaan: het verzamelen, ordenen, opslaan, raadplegen en gebruiken van persoonsgegevens, maar ook het wissen of vernietigen ervan. Het bijhouden van een klantenbestand, van afspraken met klanten of van personeelsinformatie, zoals bij veel organisaties het geval is, valt allemaal onder het verwerken van persoonsgegevens. De AVG noemt de organisatie in dat geval een verwerkingsverantwoordelijke.

Welke rechten heeft de ‘betrokkene’?

Degenen van wie u persoonsgegevens verwerkt, de betrokkene, heeft bepaalde rechten. Je zal ervoor moeten zorgen dat hij of zij van deze rechten gebruik kan maken. Het gaat om onder andere de volgende rechten:

  • recht op inzage
  • recht op rectificatie
  • recht op verwijdering
  • recht op beperking
  • recht op bezwaar tegen verwerking
  • recht op gegevensoverdraagbaarheid

Hoe maak ik mijn website AVG-proof?

Je moet als organisatie kunnen bewijzen dat je aan de AVG voldoet: je moet je kunnen verantwoorden. De AVG legt een aantal verplichtingen op. Om ervoor te zorgen dat je website AVG-proof is kan je de volgende acties ondernemen:

Maak duidelijk waarvoor de gegevens gebruikt worden

Als een bezoeker gevraagd wordt om zijn of haar persoonsgegevens, vermeld er dan bij waarvoor. Bijvoorbeeld om een nieuwsbrief te verzenden. En als een bezoeker zich aanmeldt, dan mag je deze gegevens niet voor andere doeleinden gebruiken.

Zorg voor een duidelijke privacyverklaring

In de privacyverklaring moet je vertellen wat je met de persoonsgegevens doet en welke derde partijen hier toegang toe hebben, zoals bijvoorbeeld MailChimp. Verder moet je vermelden wie de contactpersoon is van jouw organisatie zodat personen die inzicht willen hebben in hun persoonsgegevens dit makkelijk kunnen doen.

Bied een beveiligde verbinding als je gegevens verwerkt

Als je persoonsgegevens verwerkt, biedt dan een beveiligde verbinding (SSL-certificaat) aan op je website. SSL, herkenbaar aan https:// voor de url, is een techniek waarmee de verbinding tussen de bezoeker van een website en de server waar de website is ondergebracht, wordt beveiligd middels zeer sterke encryptie. Op deze manier kan vertrouwelijke informatie niet worden onderschept. Een SSL-verbinding draagt er niet alleen zorg voor dat niemand kan meelezen wat er naar een website wordt verstuurd, het voorkomt ook dat informatie die naar de website wordt verstuurd of van de website wordt verzonden kan worden aangepast.

Vraag niet teveel

Als je een webwinkel hebt, dan is een adres noodzakelijk om de bestelling naar de juiste bestemming te verzenden. Een geboortedatum daarentegen niet. Vraag kortom geen gegevens op die niet direct met het doel te maken hebben.

Maak afmelden makkelijk

Als een persoon zich wil afmelden voor je nieuwsbrief, zorg er dan voor dat dit makkelijk gaat en dat de persoonsgegevens uit je bestand/database verwijderd worden.

Cookies

Ook de cookiewetgeving gaat veranderen. Afhankelijk van of je cookies gebruikt en welk soort cookies je gebruikt zal je maatregelen moeten nemen.

Tot slot: neem actie!

Dit zijn enkele handige richtlijnen om je website AVG-proof te maken. De lijst is niet volledig, maar geeft in ieder geval een aantal tips waar je op moet letten als je persoonsgegevens verwerkt.

Is het waarschijnlijk dat jouw bedrijf of organisatie persoonsgegevens verwerkt? Regel je zaakjes dan op tijd. Maak een afspraak met een jurist die goed kan beoordelen hoe jouw situatie is en welke maatregelen je moet nemen.

Bronnen

Dit artikel is tot stand gekomen met de hulp van Marten van Buiten en Irene Epe van Spectrum Advocaten. Zij bieden een privacy scan aan waarmee je kan nagaan of je al aan de AVG voldoet.

Verder heb ik gebruik gemaakt van de volgende bronnen:

Meer informatie kan je hier vinden:

Heb je vragen? Wil je graag een privacy scan? Of aanvullende informatie? Neem dan contact met me op.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *