Maar wat is de AVG en wat betekent deze privacywet voor jou?

Per 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze Europese privacywetgeving vervangt dan de huidige Wet op bescherming persoonsgegevens (Wbp). De AVG is ook wel bekend onder de naam: General Data Protection Regulation (GDPR). Vanuit alle kanten zul je momenteel berichtgeving ontvangen.

Google informeert Analytics en Adwords gebruikers over de aankomende wijzigingen. Facebook, de laatste tijd flink onder druk vanwege privacy issues, heeft haar privacy policy verandert en is druk doende daarover te informeren. Gebruik je Apps of software in de cloud, dan ontvang je daarvan AVG of GDPR berichtgeving.

Maar de AVG is breder dan alleen Google en Facebook en treft alle ondernemers groot en klein. Maar wat verandert er nu precies? En welke stappen moet jij ondernemen om aan de AVG te voldoen? Lees het hierna in onze AVG Update.

De AVG in een notendop

Vanaf 25 mei mag je niet langer zomaar persoonsgegevens vastleggen, bewerken, beheren en delen met anderen. Persoonsgegevens mogen alleen nog maar worden vastgelegd als:

  • er toestemming is van de persoon in kwestie (bijvoorbeeld NAW-gegevens en e-mailadres voor nieuwsbrieven);
  • dat echt noodzakelijk is voor het verlenen van gezondheidszorg;
  • dit wettelijk gezien vereist is (bijvoorbeeld bij arbeidsovereenkomsten);
  • als er een overeenkomst aan ten grondslag ligt (bijvoorbeeld een NAW gegevens bij een bestelling);
  • dit het algemene belang ten goede komt (overheid, politie en justitie binnen wettelijke kaders);
  • er sprake is van een gerechtvaardigd belang (bijvoorbeeld een bezoekersregistratie in een gebouw voor de veiligheid).

De AVG in een notendop

Privacy by Design

In alle gevallen waarbij er wel een grondslag aanwezig is voor het registreren en bewaren van persoonsgegevens, geldt dat je nooit meer persoonsgegevens mag vastleggen dan strikt noodzakelijk. Als bijvoorbeeld het telefoonnummer niet noodzakelijk is om een product door een webshop te laten bezorgen, mag je dat dus ook niet opslaan. Persoonsgegevens bij een bestelling mogen ook niet zomaar onbeperkt bewaard blijven. Normaal zou bijvoorbeeld maximaal 4 of 5 jaar zijn.

Wat zijn Persoonsgegevens?

Er zijn vele soorten persoonsgegevens zoals iemands naam, adres en woonplaats. Maar ook telefoonnummers, postcodes en huisnummers zijn persoonsgegevens. Alle gegevens die rechtsreeks zijn te relateren aan een persoon, zijn persoonsgegevens. Een algemeen telefoonnummer van een bedrijf is geen persoonsgegeven maar een doorschakel telefoonnummer wel.
Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden ook wel bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.

Controle over jouw persoonsgegevens

Per 25 mei worden ook de wettelijke rechten vastgelegd t.a.v. de controle over je eigen persoonsgegevens. Personen krijgen meer controle over hun persoonsgegevens. Iedereen heeft voortaan het recht om zijn persoonsgegevens in te zien, te wijzigen, overgedragen te krijgen en te weten welke informatie over hem of haar wordt vastgelegd. Als bedrijf moet je dus aan elk verzoek van ieder persoon voldoen, als deze vraagt om inzage of verwijdering van zijn persoonsgegevens.

Technische en organisatorische maatregelen

Ook ben je als bedrijf verplicht om verschillende maatregelen te treffen om de privacy van je klanten, werknemers, leveranciers – eigenlijk van iedereen – te kunnen waarborgen. Dat betekent bijvoorbeeld dat:

  • je moet weten welke persoonsgegevens jij als bedrijf registreert;
  • je een beleid hebt en hanteert om de privacy te waarborgen;
  • afdoende technische maatregelen neemt.

Echte grote organisaties die enorm veel persoonsgegevens registreren en bewerken moeten aan nog scherpere richtlijnen voldoen. Zo moeten deze bijvoorbeeld een Functionaris Gegevensbescherming benoemen en deze in de privacy policy bekend maken.

Hoogte van de boetes onder de AVG

Bij overtreding van de AVG kan de Autoriteit Persoonsgegevens boetes opleggen. Deze kan 4% van de wereldwijde omzet bedragen en maximaal €20.000.000,-. Deze hoge boete heeft als doel evenredig en afschrikwekkend te zijn. Afschrikwekkend is de boete zeker. De AVG onderscheidt 2 categorieën  boetes:

Categorie 1: Fundamentele overtredingen

Categorie 1 overtredingen hebben te maken met de basisbeginselen van de wet zoals:

  • schending van het recht op inzage of om vergeten te worden;
  • doorgifte van persoonsgegevens aan derden buiten de Europese unie;
  • het niet hebben van toestemming om persoonsgegevens vast te leggen.

Voor deze overtredingen gelden de maximale boetes.

Categorie 2: Administratieve overtredingen

Onder deze categorie vallen overtredingen zoals:

  • Schending van de Privacy bij design (alleen die gegevens vastleggen die noodzakelijk zijn);
  • Het niet nemen van voldoende beveiligingsmaatregelen;
  • Het niet melden van datalekken aan de AP en betrokken personen;
  • Geen inventarisatie persoonsgegevens uitvoeren;
  • Geen beschikking over een functionaris gegevensbescherming (alleen grote bedrijven);
  • Het verwerken van Persoonsgegevens van kinderen jonger dan 16 jaar zonder toestemming van de ouders.

Boetes in deze categorie zijn iets lager, namelijk maximaal 2% of € 10.000.000,-.

Wanneer legt de AP een boete op?

Het is te verwachten dat de AP streng zal handhaven. Hoe streng valt natuurlijk maar te bezien, maar waarschijnlijk zullen kleine privacy inbreuken mogelijk bestraft worden met een berisping in plaats van een boete. Waarschijnlijk zal de AP rekening houden met overwegingen zoals:

  • zijn er enige maatregelen genomen om te voldoen aan de AVG?
  • is de overtreding opzettelijk of alleen nalatig?
  • wat is de ernst en duur van de overtreding?
  • is de overtreding wel of niet zelf gemeld?
  • is er medewerking verleend aan het onderzoek door de AP?
  • eerdere inbreuken van de verantwoordelijke.

Via deze link kan je berekenen wat de boete zo kunnen zijn voor jouw organisatie. Uiteraard betreft het nog steeds een risico. Het is niet zo dat deze boete automatisch wordt opgelegd.

AVG Stappenplan

De AVG behelst flink meer dan je website alleen. Hierna heb ik de belangrijkste stappen voor je op een rij gezet die je moet nemen om te kunnen voldoen aan de AVG:

  1. Informeer je organisatie en medewerkers over de do’s & don’ts van het werken met persoonsgegevens;
  2. Inventariseer alle persoonsgegevens die je vastlegt en met wie je deze deelt;
  3. Maak een register van alle soorten gegevensverwerking, verantwoordelijken, verwerkers en maatregelen;
  4. Ontwikkel procedures die kunnen aantonen dat er toestemming is om gegevens te bewerken;
  5. Zorg voor up-to-date privacy statements en Cookie-meldingen die voldoen aan de AVG;
  6. Ontwikkel procedures waarin de rechten van personen kunnen worden gewaarborgd (recht van inzage, recht om vergeten te worden);
  7. Communiceer de grondslag van gegevensverwerking altijd (bijvoorbeeld t.b.v. e-mail nieuwsbrieven);
  8. Evalueer de huidige manieren van het verkrijgen van toestemming en stel deze bij zodat de toestemming achteraf kan worden aangetoond;
  9. Als diensten aan kinderen worden aangeboden, zorg dat kan worden aangetoond dat toestemming van de ouders is verkregen;
  10. Stel procedures op voor het melden van datalekken;
  11. Pas je producten en diensten zodanig aan dat je nooit meer gegevens vastlegt dan strikt noodzakelijk (Privacy by design).

AVG checklist

Wat betekent de AVG voor je website?

Met de huidige wetgeving Wet Bescherming Persoonsgegevens (WBP) ben je al tot een flink aantal zaken verplicht. De AVG is echter een flink stuk strenger en heeft een afschrikwekkende werking vanwege de hoge boetes. Maar wat zijn nu de belangrijkste zaken waarop je moet letten? Hier zetten wij ze voor je op een rij:

1. AVG Proof Privacy Statement op je website

Je website moet beschikken over een privacy statement. In dit statement moet zijn opgenomen: De verwerkingsdoeleinden én de rechtsgrond van de verwerking. De bewaartermijnen en de criteria waarop deze zijn gebaseerd. De rechten van personen en hoe zij recht van inzage/verwijdering kunnen krijgen of een klacht kunnen indienen. Daarnaast moet de verklaring in begrijpelijke taal worden opgeschreven. Via de website veilig internetten kan je een privacy statement genereren.

2. Maak je Contactformulieren AVG Proof

De meeste websites maken gebruik van formulieren zoals bijvoorbeeld Contact Form 7 of Gravity Forms. Als deze formulieren persoonsgegevens niet opslaan in je website maar alleen rechtstreeks naar je mailadres doorsturen, dan hoef je verder niets te doen. Maar meestal wordt er wel een backup gemaakt voor het geval de mail niet goed aankomt. In dat geval is het verstandig om een extra checkbox op te nemen in je contactformulier (en dat mag niet standaard zijn aangevinkt) waarin je dus expliciet om goedkeuring vraagt de gegevens op te slaan en een link verwerkt naar je Privacy Voorwaarden. Wees er daarnaast op bedacht dat je geen extra persoonsgegevens vraagt die niet nodig zijn. Dus als je een e-book aanbiedt, mag je wel een e-mailadres vragen maar geen telefoonnummer.

3. Installeer een SSL Certificaat

De AVG verplicht je tot het nemen van technische maatregelen voor een optimale beveiliging van persoonsgegevens. Maak je gebruik van formulieren of heb je een webshop? Dan is de installatie van een SSL certificaat minimaal noodzakelijk. Het SSL certificaat zorgt voor de versleuteling van je website. Lees hier meer over de installatie van het SSL certificaat.

4. Update regelmatig je website

Websites en servers die niet regelmatig worden bijgewerkt, zijn gevoelig voor hacks. Zorg er daarom voor dat je website en de server goed onderhouden worden en zijn voorzien van de laatste software versies. Dat geldt nadrukkelijk voor open source systemen zoals WordPress, Magento en Joomla, maar voor de meeste actuele PHP-versies op je webserver. Als je een onderhoudscontract hebt bij Saleswizard zijn deze zaken goed geregeld.

5. Installeer een AVG Cookiemelding en pagina

Cookies zijn kleine tekstbestandjes die door je website op het apparaat van je bezoeker worden geplaatst. Er wordt onderscheid gemaakt tussen functionele en analytische cookies enerzijds en tracking cookies anderzijds. Voor het plaatsen van functionele cookies is geen toestemming vereist. Voor het plaatsen van tracking cookies voor bijvoorbeeld Google Remarketing of Facebook Retargeting is wel toestemming nodig. Het is niet toegestaan je website te blokkeren voor gebruikers die geen toestemming geven om tracking cookies te blokkeren. Deze cookies mogen alleen geplaatst worden als expliciet akkoord is gegeven en duidelijk is beschreven waarvoor de gebruiker akkoord geeft in een link naar het Cookiebeleid.

Avg en cookies

6. Check de gegevensbewerkingsovereenkomst in Google Analytics

Als je gebruik wilt blijven maken van Google Analytics, ben je verplicht een gegevensbewerkingsovereenkomst te sluiten met Google. Als het goed is heb je al een mail ontvangen van Google en heb je mogelijk al de aanpassing voor gegevensbewerking geaccepteerd. Je kan dat controleren door in te loggen op Analytics, te klikken op beheren (het tandwieltje links onderin) en te klikken op accountinstellingen. Als je deze al hebt geaccepteerd, ziet dit er zo uit:

Gegevensbewerkingsovereenkomst Google

7. Sluit een bewerkingsovereenkomst af met je websitebouwer en/of webhoster

Als website eigenaar ben jij zelf als gegevensverantwoordelijke verplicht een gegevensbewerkingsovereenkomst te sluiten met je webdesigner en met je hostingprovider. Net zoals je dat moet doen met andere partners waarmee je mogelijk persoonsgegevens uitwisselt zoals je accountant, ICT beheerder, Arbodienst of Verzekeringsmaatschappij. Als klant van Saleswizard kan je deze gegevensbewerkingsovereenkomst opvragen door te mailen naar sales@saleswizard.nl.

8. Check de gebruikers van je Website CMS

Als je gebruikmaakt van een CMS zoals WordPress, dan kunnen gebruikers toegang verkrijgen tot persoonsgegevens. Neem daarbij de volgende maatregelen:

  • verwijder de gegevens van oud-medewerkers;
  • gebruik nooit wachtwoorden die je ook bij andere websites gebruikt om in te loggen;
  • zorg ervoor dat je de wachtwoorden regelmatig wijzigt;
  • zorg ervoor dat de apparaten waarmee je inlogt op je website vrij zijn van malware en spyware.

9. Stel een procedure op voor het melden van datalekken

Alhoewel je nu ook al verplicht bent datalekken te melden, wordt de regelgeving onder de AVG een stuk strenger. Je bent dan verplicht binnen 72 uur een datalek te melden aan de Autoriteit Persoonsgegevens. Ook moeten de betrokkenen om wiens gegevens het gaat geïnformeerd worden. Het is verstandig om daarvoor een protocol in te stellen, zodat je weet wat je te doen staat, mocht er sprake zijn van een datalek.

10. Zorg voor toestemming als je e-mailnieuwsbrieven verstuurt

Als je via je website e-mailadressen verzamelt om nieuwsbrieven te kunnen versturen, moet je kunnen aantonen dat daarvoor toestemming is verleend. Als je een nieuwsbrief verstuurt, dan moeten de ontvangers zich eenvoudig kunnen uitschrijven via een link in de nieuwsbrief.

AVG website check

Alhoewel de AVG dus meer is dan je website alleen, kunnen wij je helpen met de AVG Website Check. In deze check:

  • controleren wij je website op deze 10 punten;
  • berekenen we de mogelijke AVG boete als je niets doet;
  • ontvang je een voorstel op maat om je website AVG proof te maken;
  • ontvang je het volledige AVG Stappenplan om je bedrijf voor te bereiden op de AVG.

Wil jij deze AVG Check ontvangen? Mail dan naar sales@saleswizard.nl.

AVG Website Scan?

Wil je weten welke aanpassingen van je website voor jou noodzakelijk zijn? En welke risico’s je loopt? Vraag dan nu onze gratis AVG Website Scan aan!

Ja, ik wil een AVG Website Scan

Over de auteur

Frank Krepel

Frank vindt zijn passie in het helpen van ondernemers bij online marketing. Hij houdt zich dagelijks bezig met Google en Facebook campagnes en adviseert klanten. Daarnaast is Frank directeur van Saleswizard en frequent bijdrager aan het blog van Saleswizard.