Geschreven door Zeo op

AVG.. Ojee?!

De algemene verordening gegevensbescherming, ook AVG of GDPR genoemd is de nieuwe privacywetgeving en in werking sinds 2016. Op 25 mei 2018 eindigt de overgangsperiode en is deze wet voor praktisch iedere organisatie van toepassing. Voor veel bedrijven een lastig onderwerp. Zeo legt in deze blogpost graag uit wat je hierover moet weten.

De nieuwe wetgeving moet ervoor zorgen dat de persoonsgegevens van consumenten en andere betrokkenen beter wordt beveiligd en de privacy beter wordt gewaarborgd. Daarnaast krijgen consumenten onder andere de volgende drie rechten:

  1. Je hebt recht om vergeten te worden – gegevens van de persoon die zich op dit recht beroept moeten in bepaalde gevallen uit de database worden verwijderd.
  2. Je hebt recht op rectificatie en aanvulling – de persoon die zich op dit recht beroept mag de gegevens die worden verwerkt aanpassen en aanvullen.
  3. Je hebt recht op inzage – de persoon die zich op dit recht beroept mag de gegevens inzien die van hem of haar worden verwerkt.

Kans of bedreiging?

De AVG is een uitgebreide en taai te lezen wetgeving. Hoe complex de wetgeving voor jou is, hangt vooral af van de schaal waarop persoonsgegevens binnen je organisatie worden verwerkt. Voor een grote organisatie met meer dan 250 werknemers zijn de eisen om aan de AVG te voldoen heel anders dan voor bijvoorbeeld een website eigenaar die op kleine schaal persoonsgegevens verzamelt. Dit kan door het inzetten van Google Analytics, een contact- of antwoordformulier, of een nieuwsbrief aanmelding.

Wibo van der Heide, CEO bij Zeo licht toe “Voor de eerste groep kan de AVG complex zijn. In de online marketing campagnes voor onszelf en voor onze klanten verwerken en gebruiken wij persoonsgegevens van miljoenen consumenten. Wij werken zelf met Privacy Management Partners om Zeo 100% AVG-proof te maken”.

Richard Ridderhof, legal consultant bij Privacy Management Partners, heeft juist ervaring in marketing en retail organisaties. Richard vertelt: “De AVG geeft de consument nieuwe mogelijkheden en legt online bedrijven en instanties beperkingen op. De kunst is om de nieuwe privacywetgeving juist in je voordeel te benutten. Dat begint erbij dat je AVG compliance organiseert”.

Waar je (sowieso) rekening mee moet houden

Er zijn veel organisaties die de afgelopen jaren, bijvoorbeeld door middel van een nieuwsbrief, een mailinglijst hebben opgebouwd. Volgens de AVG moeten alle persoonsgegevens op een bepaalde grondslag worden verzameld. Voor een nieuwsbrief geldt eigenlijk altijd de grondslag toestemming: de betrokkene heeft expliciet toestemming gegeven dat zijn e-mailadres wordt bewaard en (let op!) enkel wordt gebruikt voor de nieuwsbrief. Kortom: als je dit mailadres wilt bewaren, moet je achteraf toestemming vragen

Hoe wordt je dat, AVG-proof?

Als je zekerheid zoekt en je wilt niet te veel zelf doen, oriënteer je dan op gespecialiseerde partijen, zoals Privacy Management Partners uit Utrecht. Wil je eerst zelf aan de slag en ben je een website eigenaar met minder dan 250 medewerkers die op relatief kleinere schaal persoonsgegevens inzamelt? Neem dan in ieder geval de volgende stappen:

1. Toets of je bedrijf voldoet aan de volgende onderdelen

  • Je verzamelt persoonsgegevens van klanten op een of meerdere van de volgende manieren:

▪ via Google Analytics

▪ met een contact- of antwoordformulier

▪ met een nieuwsbriefaanmelding

▪ door een persoonlijk account

▪ door een aankoop

  • Je verzamelt enkel gewone persoonsgegevens
  • Je doet niet aan profilering of geautomatiseerde besluitvorming

Als je bedrijf aan bovenstaande voldoet, dan kunnen de volgende stappen voldoende zijn om aan de eisen van de AVG te voldoen:

2. Stel een SSL-verbinding in

In de AVG staat dat je verplicht bent om een digitale beveiliging in te stellen om de persoonsgegevens te beschermen. Dit betekent niet per se dat je verplicht bent om een SSL-certificaat op je website in te stellen, maar het is wel de meest logische en laagdrempelige manier om dit te doen. Daarnaast is het met de aanpassingen die Google komende zomer gaat doorvoeren in oogschouw genomen sowieso geen slecht idee. De zoekmachine gaat namelijk vanaf juli 2018 websites zonder SSL-certificaat als onveilig beschouwen. Als je deze nog niet hebt, kun je het beste bij je huidige hostingpartij een aanvraag doen.

3. Pas Google Analytics aan

Wanneer je gebruik maakt van Google Analytics ben je verplicht om de volgende handelingen uit te voeren:

  • Een bewerkingsovereenkomst met Google afsluiten
  • Google niet het volledige IP-adres van bezoekers laten verwerken
  • Gegevens delen met Google uitzetten
  • Informeren over Google Analytics
  • Gebruikers een opt-out mogelijkheid bieden

Lees hier meer informatie over het privacy vriendelijk instellen van Google Analytics.

4. Contactformulier, nieuwsbrief, persoonlijk account, etc.

Wanneer je op je website of webshop op deze plekken persoonsgegevens verzamelt, moet je goed nagaan of hier niet meer gegevens worden gevraagd dan strikt noodzakelijk. In de AVG staat namelijk dat enkel de gegevens verzameld mogen worden die noodzakelijk zijn voor het doel waarvoor ze worden verzameld. De geboortedatum van een consument heb je echt niet nodig als hij kattenbrokken koopt. En in het contactformulier is het, voor het doel van de contactaanvraag, vaak niet nodig om bijvoorbeeld ook een postadres op te vragen. Daarbij zijn deze websites verplicht om een selectievakje bij de invoer van de persoonsgegevens te plaatsen waarmee ze expliciet toestemming vragen. Bij dit selectievakje moet een directe verwijzing staan naar de privacyverklaring.

5. Stel een privacyverklaring op

Praktisch iedereen die persoonsgegevens verzamelt is verplicht een privacyverklaring op te stellen en op een goed vindbare plek op de website te plaatsen. Wanneer een bezoeker akkoord moet gaan op een van de voorwaarden die in de privacyverklaring staat, moet er ook direct een link naar de privacyverklaring worden weergegeven.

6. Stel een register van verwerkingen in

Praktisch iedereen die persoonsgegevens verzameld is verplicht een register van verwerkingen op te stellen. Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die je verwerkt. De AVG schrijft voor welke informatie de verantwoordelijke of verwerker in het register moet zetten. Als de Autoriteit Persoonsgegevens daar om vraagt, moet je het register direct kunnen laten zien.

Richard Ridderhof van Privacy Management Partners licht toe: “Het verschil tussen een privacyverklaring en het register van verwerkingen is dat het register van verwerkingen bedoeld is om een overzicht te geven van de interne verwerkingen. Hierin wordt bijvoorbeeld ook opgenomen wat er met persoonsgegevens van werknemers van de organisatie gebeurt. De privacyverklaring is juist een document dat bedoeld is voor externe betrokkenen. Bezoekers van een website kunnen in de privacyverklaring in begrijpelijke taal zien wat er met hun gegevens gebeurt”.

7. Sluit juridisch correcte verwerkingsovereenkomsten af

Wanneer je persoonsgegevens deelt met andere partij moet er met deze partij (de zogenaamde ‘verwerker’) een overeenkomst worden afgesloten: de verwerkingsovereenkomst of verwerkersovereenkomst. Dit is een gedeelde verantwoordelijkheid. Als dit niet gebeurt kunnen zowel de verantwoordelijke als de verwerker hier door de Autoriteit Persoonsgegevens op worden aangesproken. In de praktijk hebben veel kleine organisaties enkel een samenwerking met een partij die de hosting van de website verzorgt en bijvoorbeeld een externe boekhouder. Neem contact op met deze partijen en vraag of zij een standaard verwerkersovereenkomst hebben die u alleen hoeft te tekenen. Wel zo makkelijk!

Kortom..

Genoeg werk te doen met de invoering van de AVG, maar niet onhaalbaar. Zeker niet met de juiste, specialistische hulp. Wij hebben bijvoorbeeld goede cookie-melders gevonden om te installeren die uiteraard AVG-proof zijn. Ook hebben we juridisch goedgekeurde verwerkingsovereenkomsten.

Wil je ook advies of assistentie? Neem contact op met je vaste contactpersoon bij Zeo of schakel direct met Privacy Management Partners

| |

Geef een reactie