1. Home/
  2. Nieuws/
  3. AVG privacywet - Wat betekent dit voor jou?

AVG privacywet - Wat betekent dit voor jou?

Op 25 mei 2018 zal de AVG, Algemene Verordening Gegevensbescherming, ingaan. Ook wel bekend als de GDPR. Dat moment komt heel snel dichterbij! Deze nieuwe wet verscherpt de regels over de verwerking van persoonsgegevens en voegt een aantal nieuwe verplichtingen toe. Iedereen mag na deze datum elk bedrijf aanspreken op de naleving van de AVG. Bereid je dus goed voor en voorkom een eventuele boete.

Wat houdt de AVG wet in?

Er zijn veel verschillende soorten persoonsgegevens, van de verjaardag tot aan het IP-adres van de klant. Bij het verzamelen van zulke gegevens moet je als organisatie op de volgende dingen letten:

 

  • Persoonsgegevens mogen alleen worden verzameld voor een specifiek doel. Dit specifieke doel dient gerechtvaardigd te zijn en het moet duidelijk worden omschreven.
  • Er is sprake van een minimale gegevensverwerking. Er mag niet meer verzameld worden dan nodig is.
  • Persoonsgegevens moeten correct en bovenal up-to-date zijn.
  • Ook mogen de persoonsgegevens niet langer bewaard worden dan nodig is.

Een ander belangrijk punt is dat het verwerken van persoonsgegevens alleen is toegestaan als dit transparant, behoorlijk en rechtmatig is. Dit betekent dat een klant geïnformeerd moet worden over alle gegevens die worden verzameld én hoe de veiligheid van deze gegevens wordt gewaarborgd.

Wie is verantwoordelijk?

Om hier achter te komen, kun je nadenken over de volgende drie vragen:

  1. " Ben ik de persoon die gegevens verwerkt? "
  2. " Zo ja, zijn deze gegevens dan ook persoonsgegevens? " (telefoonnummers, adressen, postcodes)
  3. " Verwerk ik deze persoonsgegevens automatisch of zijn ze hiervoor bestemd? "

Om meer duidelijkheid te creëren, schetsen we de volgende situatie: stel, je hebt een internetbureau ingehuurd die voor jou de e-mailmarketing regelt en beheert. Dit internetbureau logt in met het beheerdersaccount en zet vervolgens campagnes op. Hiervoor worden de persoonsgegevens van jouw klanten gebruikt. Terugkijkend naar de drie vragen betekent dit dat klanten (1) persoonsgegevens invullen, het internetbureau (2) de verwerker van de persoonsgegevens is en de webshop (3) eindverantwoordelijk is voor de persoonsgegevens. Belangrijk is dat hier dus goede afspraken over worden gemaakt in een verwerkersovereenkomst!

Functionaris voor gegevensbescherming, nodig?

Ook kunnen organisaties vanaf 25 mei 2018 verplicht zijn om een functionaris voor gegevensbescherming (FG) aan te stellen. Voorbeelden van organisaties zijn overheden, publieke organisaties, organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen en organisaties die bijzondere persoonsgegevens (gezondheid, ras, geloofsovertuiging) verwerken. Het is wel overduidelijk dat overheden of publieke organisaties in ieder geval een functionaris voor gegevensbescherming (FG). In het geval van een organisatie met grote omvang kan het ook raadzaam zijn om een FG aan te stellen. Dit hoeft echter niet een FG in vaste dienst te zijn maar kan ook geoutsourced worden.

Hoe kan ik mij voorbereiden op 25 mei?

Om je goed voor te bereiden op de AVG wet zijn er een aantal zaken van groot belang. En dit begint met Privacy by Design. Dit houdt in dat er bij het ontwerpen van diensten, producten of van je webshop, er rekening moet worden gehouden met de AVG wet. Alleen de benodigde gegevens mogen worden verzameld. De volgende stap is dan om deze gegevens te beveiligen. Er moet daarvoor een overzicht worden opgesteld waarin staat hoe de persoonsgegevens bewaard worden.

Voorbeelden van concrete actiepunten

Als gevolg van de AVG-wet betekent dat iedere eigenaar van een webshop of een website aan de slag moet met de nodige aanpassingen, zoals:

  • Update je privacyverklaring
    Stel een geheel nieuwe privacyverklaring op en maak deze eenvoudig vindbaar op je website/webshop. Bekijk deze tips over de inhoud van de privacyverklaring.
  • Controleer je e-maillijsten en e-mailmarketing software
    Je moet alle opt-ins voor e-maillijsten kunnen aantonen. In de praktijk betekent dit dat zelf geimporteerde contacten en gekopieerde lijsten meestal geen aantoonbare opt-in informatie meer heeft. Voor relaties waarbij je dit niet kunt aantonen: deze mag je officieel niet meer mailen. Stuur deze een e-mail om zich opnieuw in te kunnen schrijven. Je mag alleen naam en e-mailadres vragen en geen noreply e-mailadressen meer gebruiken voor je mailingen. Controleer daarnaast of je e-mailmarketing software AVG-proof is.
  • Vraag alleen de noodzakelijke gegevens
    Controleer je formulieren (en het bestelproces): vraag je alleen de noodzakelijke gegevens? Voor de verwerking van iedere soort persoonsgegevens dien je een geldige reden te hebben, zoals voor het uitvoeren van de overeenkomst. Dat kan betekenen dat je bijv. niet zonder toestemming de leeftijd/geboortedatum mag vragen. Tenzij dat wettelijk verplicht is (zoals bij verkoop van alcoholische dranken).
  • Optimale beveiliging
    Een inkopper maar noodzakelijk: zorg voor een optimale beveiliging van je website en/of webshop. Bijv. met een SSL-certificaat en de laatste beveiligingsupdates voor jouw CMS en plugins. 
  • Verwerkingsregister
    Houd in een verwerkingsregister bij welke persoonsgegevens er verzameld worden, wat het doel is, bewaartermijnen, welke beveiligingsmaatregelen je hebt getroffen en welke interne en externe partijen toegang hebben tot deze gegevens.
  • Verwerkersovereenkomsten
    Sluit verwerkersovereenkomsten af met alle externe partijen waarmee je samenwerkt en die toegang hebben tot de persoonsgegevens.
  • Google Analytics aanpassingen
    Stel Google Analytics privacyvriendelijk in dat er zo weinig mogelijk gegevens worden gedeeld. Hiervoor is het in de meeste gevallen ook nodig dat het script op je website/webshop wordt aangepast (technische aanpassing). Wil je gebruik blijven maken van remarketing? Dan zul je eerst (aantoonbare) toestemming moeten hebben.
  • Andere technische aanpassingen
    Afhankelijk van de functionaliteiten op je website/webshop zullen er waarschijnlijk nog andere technische aanpassingen verricht moeten worden. Zo kunnen social media share mogelijkheden bijv. ongewenst cookies plaatsen. 

Bereid je goed voor en voorkom een eventuele boete

Wij kunnen je helpen jouw website/webshop aan te passen op noodzakelijke punten. Voor een volledige implementatie is het essentieel om ook je datastructuren te controleren. Het is daarom verstandig een jurist of andere specialist mee te laten kijken. Er ligt dus een grote verantwoordelijkheid bij jouw organisatie.  Heb je een vraag over de AVG of wil je ons inschakelen voor aanpassingen aan je website/webshop? Neem contact met ons op. Bel 0513 - 20 11 20 of stuur een e-mail naar support@speak.nl.

 

Bronnen
Autoriteit Persoonsgegevens: Algemene informatie AVG
Autoriteit Persoonsgegevens: Verantwoordingsplicht