Heb je een website? Ook dan moet je wat doen voor
25 mei 2018 voor de AVG privacywetgeving!
Ja, deze wetgeving heeft waarschijnlijk ook impact op jou als je online zaken doet of vindbaar bent. Omdat de Algemene Verordening Gegevensbescherming (AVG) nogal wat voeten in de aarde heeft, veel werk is en ook geldt voor kleinere organisaties en zelfstandige professionals, schenken wij er ook aandacht aan.
Een goede, uitgebreide uitleg van de wetgeving kun je vinden op de site van NickLink. Een deel van de info hieronder komt daar vandaan, er is ook info opgenomen van SendCloud. De formele info vind je op de site van de Autoriteit Persoonsgegevens.
AVG is ter regulering van het juiste gebruik van persoonlijke data en bescherming grondrechten
We horen het steeds vaker in het nieuws: misbruik van persoonlijke data, identiteitsfraude en manipulatie. De overheid wil het juiste gebruik van persoonlijke data reguleren en grondrechten van burgers beschermen middels de Algemene Verordening Gegevensbescherming (AVG) – in het Engels: General Data Protection Regulation (GDPR). Deze privacywetgeving is in Nederland en Europa ingegaan op 25 mei 2016. Er gold een overgangsperiode van 2 jaar waarin organisaties de gelegenheid kregen te voldoen aan de nieuwe eisen. De AVG geeft de burger meer controle over zijn eigen gegevens. Organisaties hebben de verantwoordelijkheid voor het juist gebruiken en beveiligen van die gegevens en het informeren van hun gebruikers. De bewijslast ligt voortaan ook bij de organisaties.
25 mei 2018 start handhaving van AVG (ingesteld in 2016), er kunnen boetes worden uitgedeeld
Vanaf 25 mei 2018 wordt het serieus met handhaving. Dus kunnen er boetes uitgedeeld gaan worden als je de wet overtreedt bij het verwerken van persoonsgegevens (bij zoiets simpels als een contactformulier) of bij onvoldoende beveiliging van de persoonsgegevens, dus datalek (USB stick ergens laten liggen?).
En vergis je niet, de boetes waren al hoog vanaf 2016, maar ze worden nu echt afschrikwekkend:
Als het fout gaat bij het verwerken van persoonsgegevens en je overtreedt de wet:
boete nu: € 820.000 of maximaal 10% van de jaaromzet
boete straks: € 20 miljoen of maximaal 4% van wereldwijde jaaromzet
Als je de persoonsgegevens onvoldoende beveiligd hebt en daardoor de wet overtreedt:
boete nu: € 820.000 of maximaal 10% van de jaaromzet
boete straks: € 10 miljoen of maximaal 2% van wereldwijde jaaromzet
Wat is een persoonsgegeven volgens AVG / GDPR?
(bron: NickLink)
Alle gegevens die direct of indirect herleidbaar zijn naar een natuurlijk persoon, zijn een persoonsgegeven. De definitie is breed. Alles wat kan leiden naar een natuurlijk persoon valt eronder. Bijvoorbeeld een persoonlijk zakelijk e-mail adres. Maar ook het IMEI-nummer van een smartphone, is een persoonsgegeven volgens de rechter. Want door de route van een bepaalde smartphone te analyseren zou je kunnen afleiden waar iemand woont of werkt en zo zijn identiteit achterhalen. Ook bij wifi-tracking geldt daarom de AVG / GDPR.
Het is belangrijk te beseffen dat de regels betrekking hebben op de verwerking van persoonsgegevens. De wettelijke regels gelden daarom altijd, ongeacht wat je met de gegevens doet. Zodra je een gegeven binnenkrijgt, is er sprake van verwerking. Dit betekent dat data die direct na gebruik worden verwijderd ook onder de AVG / GDPR vallen en ook als de data goed wordt beveiligd moet worden voldaan aan de eisen uit de AVG / GDPR.
Persoonsgegevens via websites en in online marketing
Voor websites en online marketing hebben wij te maken met de eerste grondslag van de wetgeving: persoonsgegevens mogen verwerkt worden als er ondubbelzinnige toestemming is gegeven.
“Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt”
Wat betekent dat in de praktijk?
Iemand die een website bezoekt moet zelf de toestemming geven voor het verwerken van gegevens en daarvoor een actieve handeling doen. Dus bijvoorbeeld vooraf aangevinkte boxjes dat je voortaan de nieuwsbrief ontvangt mogen niet meer. Automatisch akkoord gaan door gebruik, wat wellicht in je voorwaarden staat, is ook niet toegestaan.
De toestemming moet in vrijheid gegeven worden. Meer vragen dan strikt noodzakelijk is (verjaardag van koper in een webshop) is niet toegestaan. En wat doe je met bezoekers die geen toestemming geven?
De toestemming die je vraagt moet zijn voor een specifieke verwerking. Het moet bezoekers duidelijk zijn wat er met de gegevens gebeurt.
De bezoeker moet duidelijk geïnformeerd zijn. Geen ingewikkelde juridische taal, maar een uitleg die helder is en op de doelgroep toegesneden.
De toestemming moet ondubbelzinnig zijn. Er is geen twijfel dat de bezoeker de toestemming bewust heeft gegeven.
Als aanbieder ligt de bewijslast van al deze eisen bij jou. Mocht er twijfel zijn, moet jij kunnen bewijzen dat je aan de regels voldaan hebt.
Vrijwel elke aanbieder moet een register opstellen
Onderdeel van de nieuwe wetgeving is dat organisaties die met persoonsgegevens werken een register moeten opstellen en dat dit register bij het eerste controlebezoek van de Autoriteits Persoonsgegevens direct te tonen is. Het moet dus klaar liggen. Doel van het register is dat elke organisatie inzicht krijgt wat er gebeurt als persoonsgegevens onrechtmatig gebruikt worden. Simpel gezegd: wat zijn bijvoorbeeld de gevolgen voor jouw bezoekers en jouw klanten als jouw site gehackt wordt en er data wordt buitgemaakt. Voor het register is het nodig dat je alle gegevenslijnen (de hele keten) in kaart brengt, ook met partijen of aanbieders waarmee je samenwerkt. En dat is vaak meer dan je verwacht. Als je samenwerkt met derden (Google Analytics, Mailchimp, Exact etc.) dan moet er ook een gegevensbewerker risico-analyse zijn. Voor de AVG ben jij verantwoordelijk voor wat deze derden met de persoonsgegevens doen.
In sommige gevallen moet een Data Protection Impact Analysis opgesteld worden. In de DPIA staan de risico’s en wat je hebt gedaan om de verkregen persoonsgegevens te beschermen. Uitgebreide info over de DPIA vind je op de site van Autoriteit Persoonsgegevens.
Wat staat er in een verwerkingsregister?
(bron: SendCloud)
Per categorie persoonsgegevens die je verzamelt moet het volgende geregistreerd worden:
- Wat voor soort persoonsgegevens worden er verzameld?
- Wat is het doel van de gegevensverzameling?
- Welke interne partijen (medewerkers) hebben toegang tot de gegevens?
- Welke externe partijen hebben toegang tot de gegevens?
- Waar worden de gegevens opgeslagen?
- Wat zijn de (voorgenomen) bewaartermijnen?
- Welke beveiligingsmaatregelen worden er genomen?
Cookieregels blijven bestaan
(bron: NickLink)
De regels rondom het versturen van ‘elektronische communicatie’ als e-mail, SMS en Whatsapp zijn vastgelegd in de Telecomwet. Daarin zijn ook de bepalingen rondom cookies opgenomen. Deze wet staat los van de AVG / GDPR regels. Aan de de regels rondom het gebruik van e-mail / spam en cookies verandert daarom niets.