Heb jij al stappen ondernomen om aan de AVG te voldoen?

Vanaf 25 mei 2018 wordt de Algemene Verordening Gegevensverwerking gehandhaafd. Deze privacywetgeving is al in 2016 van kracht geworden in Europa (in het Engels is het GDPR), maar vanaf 25 mei gaat de overheid (beter) controleren. De boetes zijn niet gering. Meer over de achtergrond en wat het voor impact heeft, kun je lezen in ons artikel ‘Wat betekent AVG privacywet voor jouw website?‘.

In deze tip informeren we je over de concrete acties die je moet nemen.

Informeer jezelf over wat de AVG nou precies is. Ook kleine en middelgrote organisaties en zelfstandige professionals vallen onder de privacywet. Wij moeten aan bijna dezelfde regels voldoen als de grote organisaties die veel persoonsgegevens verwerken! Hieronder een paar links naar meer info:

Maak jezelf vertrouwd met de onder de AVG verplichte uitgangspunten van
privacy by design en privacy by default.

Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat je niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat je de gegevens niet langer bewaart dan nodig.

Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Bijvoorbeeld door:

  • een app die je aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
  • op je website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
  • als iemand zich op jouw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

Bron: Autoriteit Persoonsgegevens

Onderwerp je organisatie aan een kritische analyse wat betreft persoonsgegevens. Wanneer verzamel je gegevens van anderen? Wat doe je ermee? Waar sla je die gegevens op? Hoe beveilig je die gegevens?
Bijvoorbeeld:

  • Hoe registreer jij je klantgegegevens en hoe zijn die beveiligd? Dan gaat het bijvoorbeeld over jouw computer en de beveiligingsmaatregelen die je hebt getroffen tegen digitale inbraak. Maar ook of je als er bij je ingebroken wordt je computer voldoende hebt beveiligd. Facturen bevatten ook persoonsgegevens (naam en adres van je klant). Hoe is je Customer Relationship Management systeem beveiligd? Hoe heb je je eigen wachtwoorden beveiligd?
  • Heb je een contactformulier op je website? Dan verzamel je persoonsgegevens. Wat doe je daar vervolgens mee? Hoe goed zijn die gegevens beveiligd op jouw computer?
  • Heb je een webshop? Hoe ga je om met die gegevens en hoe veilig zijn ze?

Als je deze (tijdrovende) exercitie doet, schrijf het dan meteen op bijvoorbeeld in Excel. Dit heb je later nodig voor een verwerkingsregister. Je zult verbaasd staan over hoeveel informatie nu ineens expliciet moet worden, terwijl je daar normaal als vanzelfsprekend mee omgaat.

Vervolgens beschrijf je de gegevensverwerkingen. Nu je weet waar je allemaal persoonsgegevens verzamelt en verwerkt, beschrijf je

  • Wat voor soort persoonsgegevens worden er verzameld? BSN, naam, adres, telefoon, etc.
  • Wat is het doel van de gegevensverzameling?
  • Welke interne partijen (medewerkers) hebben toegang tot de gegevens?
  • Welke externe partijen hebben toegang tot de gegevens? En in welke landen zijn die gevestigd? Denk ook aan Mailchimp en Google Analytics.
  • Waar worden de gegevens opgeslagen?
  • Wat zijn de (voorgenomen) bewaartermijnen?
  • Welke beveiligingsmaatregelen worden er genomen?

(bron: SendCloud)

Deze informatie komt in je verwerkingsregister. Dat kan een Excelsheet zijn waarin je alles opsomt en toelicht. Mocht je ooit controle krijgen, moet je dit verwerkingsregister direct kunnen overleggen.

Over het algemeen vallen vrijwel alle organisaties binnen de registerplicht die hierop aanvullend is, maar er zijn uitzonderingen, kijk daarvoor op de site van de Autoriteit Persoonsgegevens. Het is jouw eigen verantwoordelijkheid hierover goed geïnformeerd te zijn. In de AVG heb je verantwoordingsplicht, dus de bovengenoemde gegevens moeten goed gedocumenteerd zijn.

Grotere organisaties en organisaties die zich bezig houden met gevoelige gegevens moeten een Data Protection Impact Analysis uitvoeren. Uitgebreide info over de DPIA vind je op de site van Autoriteit Persoonsgegevens. Check voor de zekerheid of het ook voor jou geldt. Op de websites die wij hierboven bij het eerste punt genoemd hebben zegt de één dat een PIA verplicht is en de ander zegt van niet. Het lijkt erop dat volgens de site van de Autoriteit Persoonsgegevens het niet altijd verplicht is.

Afsluiten van verwerkersovereenkomsten met derden. Als je in de vorige stap hebt gemerkt dat je ook persoonsgegevens uitwisselt met derden, dan moet je met die derden een verwerkersovereenkomst afsluiten. Jij blijft namelijk verantwoordelijk voor wat er gebeurt met de gegevens. En er is al snel een derde partij betrokken. Denk aan Mailchimp, Google Analytics, een vervoersbedrijf waarmee je een abonnement hebt die jouw pakketten vervoert, een betaalprovider zoals Mollie of Sisow.

Kijk op de site van NickLink voor instructies hoe je een verwerkersovereenkomst met Mailchimp en Google kunt sluiten. Deze partijen zitten in de USA, waarvoor weer speciale regels gelden, en zij hebben het voor hun Europese klanten alvast geregeld. Je hoeft dus niet zelf een contract te formuleren, dat hebben zij alvast voor jou gedaan.
Bij Mailchimp is het heel makkelijk, je gaat naar de speciale pagina en daar vul je je gegevens in. Vervolgens krijg je per mail de overeenkomst toegestuurd.
Bij Google log je in op je Google Analytics account. Je zorgt dat je bij je eigen webadres bent. Links onderin klik je op de menu-optie Beheerder (het tandwieltje). In de eerste kolom zie je Accountinstellingen, daar klik je op. Scroll naar beneden en daar zie je Aanpassing van de Gegevensverwerking. Dat is de plek waar je de overeenkomst kunt regelen.

Op de site van Autoriteit Persoonsgegevens kun je vinden aan welke eisen een verwerkersovereenkomst moet voldoen.

Als je zelf een verwerker bent, zoals wij als Websitewinkel, wij hebben immers toegang tot jouw website of tot je accounts die je gebruikt (Mailchimp, Google, Sisow, hosting etc.), dan kun je ook het initiatief nemen om zelf je klanten een verwerkersovereenkomst aan te bieden. Dan hoeven zij dat niet te maken en jij kunt zelf het beste formuleren wat je wel/niet doet.

Klanten van de Websitewinkel waarvoor dit momenteel geldt (wij zoeken dat uit) ontvangen van ons binnenkort een verwerkersovereenkomst.

Site en online marketing controleren op plekken waar bezoekers gegevens achterlaten. Als er gegevens achtergelaten moeten worden, moet het duidelijk zijn voor de bezoeker dat hij dat doet en waarvoor hij dat doet. Hij moet daarvoor ook expliciet toestemming geven door bijvoorbeeld iets aan te vinken of op een button te klikken. Een vooraf ingevuld veld is dus niet meer goed. Dus deze opties moet je in orde maken met de wetgeving in je achterhoofd. In de privacyverklaring kun je toelichten wat je met de gegevens doet, zie hierna.

Privacyverklaring opstellen. Nu je helder hebt welke gegevens je verwerkt en waarvoor, is het tijd om de bezoeker daarover in toegankelijke taal te informeren. Voeg deze privacyverklaring aan je website toe. Lees op de site van Bullhorn waaraan een privacyverklaring moet voldoen en op Hosting2Go vind je een handig overzicht met instructies. Martine Vecht, een klant van ons, heeft een duidelijk en goed leesbaar voorbeeld op haar website www.martinevecht.nl.

Nu je toch bezig bent, kun je beter ook een disclaimer en algemene voorwaarden toevoegen aan je website als je dat nog niet hebt gedaan.  Op het internet zijn diverse voorbeelden te vinden van disclaimers. Voor voorbeelden van algemene voorwaarden is het handig om na te vragen bij een beroepsvereniging als je daarbij bent aangesloten. Of anders op basis van voorbeelden op het internet je eigen versie op te stellen.

Laat formele documenten zoals je privacyverklaring, disclaimer en algemene voorwaarden checken door een jurist. Als je het zelf helemaal niet ziet zitten, weet dan dat er allerlei organisaties diensten aanbieden om je hiermee te helpen.

Wij kunnen je helpen met het toevoegen van de privacyverklaring, disclaimer en algemene voorwaarden aan je website.

En als je denkt ‘hoe heeft de Websitewinkel dat dan gedaan?’, wij zijn zelf ook nog bezig met het opstellen van alle documenten 😉