AVG/GDPR: wat betekent dat voor mij?

AVG/GDPR: wat betekent dat voor mij?

Vanaf 25 mei 2018 treedt de AVG / GDPR (Algemene verordening Gegevensbescherming of General Data Protection Regulation) in werking. Deze Europese privacywet biedt een betere bescherming van de persoonsgegevens van consumenten, met meer verantwoordelijkheden voor organisaties die met die gegevens werken en een ruimere bevoegdheid voor toezichthouders.

In deze blog worden de belangrijkste aspecten uit de AVG toegelicht. Hoewel in deze blog hier en daar extra nadruk wordt gelegd op websites en webshops is het goed te realiseren, dat de AVG zich niet hiertoe beperkt. De AVG is van toepassing op alle processen van gegevensverwerking in je organisatie.

Privacyverklaring en cookie gebruik

Zorg dat je een goede privacyverklaring hebt, die klaar is voor 25 mei. Op veiliginternetten.nl is een generator te vinden waarmee een basis privacy verklaring gemaakt kan worden.

Verder dienen de volgende punten terug te komen in je verklaring.

  • Bedrijfsgegevens
  • Doeleinden (reden van de verwerking van de persoonsgegevens)
  • Persoonsgegevens (welke persoonsgegevens verwerk je)
  • Recht van toestemming
  • Recht op inzage, aanpassing en verwijdering
  • Beveiligingsmaatregelen
  • Cookies

Je privacyverklaring moet makkelijk te vinden zijn op je website. Handig is om in de footer een link te plaatsen naar deze pagina.

Ditzelfde geldt voor het gebruik van cookies op je website. Het is sterk aan te raden hiervoor een aparte pagina aan te maken, waarop duidelijk en volledig wordt vermeld welke cookies gebruikt worden en wat het doel is van de verschillende cookies.

Zorg, wanneer een gebruiker zijn gegevens achterlaat, dat je duidelijk aangeeft welke gegevens bewaard worden, voor welk doel de gegevens bewaard worden en hoe een gebruiker kan handelen om inzage in zijn gegevens te krijgen, deze te (laten) corrigeren of te (laten) verwijderen.

Google Analytics anonimiseren

Omdat Google Analytics standaard werkt met de IP adressen van de gebruiker, om zo te achterhalen waar de gebruiker vandaan komt, en wellicht deze gegevens ook deelt met Google, dienen de IP adressen geanonimiseerd te worden volgens de AVG wet.

Voor het gebruik van Google diensten waar de gebruiker mee getrackt wordt, zoals Adwords, is ook een Cookie melding nodig waar de gebruiker eerst akkoord mee dient te gaan voordat de cookie geplaatst wordt.

SSL beveiliging

Het opslaan van de gegevens en het verwerken hiervan, dient te alle tijden gedaan te worden in een veilige omgeving. Dit houdt in dat de website een SSL certifaat nodig heeft om de verbinding tussen de gebruiker en de website te beveiligen.

Het recht op inzage, correctie en om vergeten te worden

Personen hebben het recht:

  • Op inzage in de gegevens die van hen zijn opgeslagen
  • Op correctie van de opgeslagen gegevens
  • Op het laten verwijderen van hun gegevens

Geef duidelijk aan op welke manier gebruikers dit recht kunnen uitoefenen. De pagina met je privacy statement is de uitgelezen plek om aan te geven hoe een dergelijk verzoek ingediend kan worden.

Als verwerkingsverantwoordelijke heb je een maand de tijd om op het verzoek te reageren.

Voor het verwijderen van persoonsgegevens kunnen uitzonderingen gelden. Bijvoorbeeld wanneer deze voor een webshop leidend zijn en bij je financiële boekhouding behoren.

Dit geldt ook voor e-mailvoorkeuren die gewijzigd kunnen worden binnen CampaignMonitor. CampaignMonitor doet dat al en geeft dat ook aan in de footer van een nieuwsbrief, er staat dan zoiets als ‘klik hier om jouw profiel te wijzigen’.

Leg vast hoe lang je persoonsgegevens bewaart

Persoonsgegevens mag je niet langer bewaren dan nodig is voor het doel van je verwerking. In sommige gevallen mogen (sommige) persoonsgegevens langer bewaard worden. Bijvoorbeeld voor statistische doeleinden. Bedenk hierbij wel goed welke persoonsgegevens je voor het doel (in dit geval statistische berekeningen) wilt opslaan. Zo heeft het opslaan van een e-mailadres geen toegevoegde waarde voor statistische berekeningen. Sla dit dan dus ook niet op voor dit doel (het zogenaamde principe van ‘dataminimalisatie’).

Een IP-adres of een postcode (en eventueel huisnummer) kan wel statistisch interessante geografische informatie opleveren. Maar wellicht volstaat hier het opslaan van de plaats als afgeleide van het IP-adres of de postcode.

Ook hier geldt: geef in de privacyverklaring duidelijk aan welke gegevens voor dit doel worden opgeslagen!

Verwerkersovereenkomst

Als verwerkingsverantwoordelijke ben je verplicht om te zorgen voor overeenkomsten met de partijen die gegevens voor je verwerken: de zogenaamde verwerkersovereenkomst.

In de verwerkersovereenkomst worden afspraken vastgelegd rondom:

  • De duur van de overeenkomst
  • Het doel van de gegevensverwerking
  • Het soort van persoonsgegevens, dat verwerkt wordt
  • Rechten en plichten van de verwerkingsverantwoordelijke

Met wie moet ik verwerkersovereenkomsten afsluiten? Het makkelijke antwoord is: elke partij die voor jou gegevens verwerkt. Enkele voorbeelden:

  • Een kantoor dat voor jou de (loon-)administratie voert.
  • De hostingprovider van jouw website

Maar ook bijvoorbeeld Google, wanneer je website gebruik maakt van Google Analytics!

Functionaris voor de Gegevensbescherming

In sommige gevallen (overheden, bedrijven die zicht richten op het maken van profielen op het internet, bedrijven die bijzondere gegevens verzamelen zoals bijvoorbeeld gezondheidsgegevens) kan het verplicht zijn om een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Een FG ziet er binnen je organisatie op toe dat de AVG wordt toegepast en wordt nageleefd.

Een FG kan iemand zijn binnen de eigen organisatie, maar het mag ook iemand buiten je organisatie zijn.

Data Protection Impact Assessment

Afhankelijk van het soort van persoonsgegevens dat je verwerkt en de schaal waarop deze gegevens worden verwerkt kan het verplicht zijn een Data Protection Impact Assessment (DPIA; hiervoor kan je ook de term Privacy Impact Assessment – PIA – tegenkomen) uit te voeren.

In het Nederlands wordt Data Protection Impact Assessment vertaald naar “gegevensbeschermingseffectbeoordeling”.

Het doel van een DPIA is het in kaart brengen van gegevensverwerkingen, die een privacy risico met zich meebrengen. Als verwerkingsverantwoordelijke moet je zelf nagaan of het uitvoeren van een DPIA noodzakelijk is.

Conclusie

Het is niet te ontkennen dat deze Algemene verordening Gegevensbescherming nog best wel wat gevolgen heeft. Het soort persoonsgegevens dat je verwerkt zal in meer of mindere mate van invloed zijn op de te ondernemen acties voor je organisatie.

Aan de andere kant zet deze verordening je er wel toe (nog) eens goed na te denken over het soort gegevens dat je verwerkt en de beveiliging van deze gegevens door je organisatie en de partijen waarmee je samenwerkt. En een direct verlengde van de beveiliging van de gegevens is de beveiliging van de middelen waarmee die gegevens verwerkt worden: worden de werkstations binnen je organisatie bijvoorbeeld met regelmaat van de laatste (beveiligings) updates voorzien.

Controleer je website op onderstaande punten:

  • Privacyverklaring 
  • Verwerkersovereenkomst (Google etc)
  • IP adressen anonimiseren (Google Analytics + website) 
  • Website beveiligen met SSL 
  • Controleer welke gegevens je op je website opslaat en vraag eventueel om toestemming. (denk aan formulieren)

Heb je naar aanleiding van deze blog nog vragen? Neem dan contact met ons op.

 

Wilt u onze nieuwsbrief ontvangen?