Wat moet je doen om AVG Proof te worden

De algemene verordening gegevensbescherming, ook AVG of GDPR genoemd, is de nieuwe privacywetgeving. Op 25 mei 2018 is de overgangsperiode geëindigd en is deze wet voor praktisch iedere organisatie van toepassing. Voor veel bedrijven een lastig onderwerp. Custom Website legt graag uit wat je hierover moet weten.

De nieuwe wetgeving moet ervoor zorgen dat de persoonsgegevens van consumenten en andere betrokkenen beter wordt beveiligd en de privacy beter wordt gewaarborgd. Daarnaast krijgen consumenten onder andere de volgende drie rechten:

  1. Je hebt recht om vergeten te worden – gegevens van de persoon die zich op dit recht beroept moeten in bepaalde gevallen uit de database worden verwijderd.
  2. Je hebt recht op rectificatie en aanvulling – de persoon die zich op dit recht beroept mag de gegevens die worden verwerkt aanpassen en aanvullen.
  3. Je hebt recht op inzage – de persoon die zich op dit recht beroept mag de gegevens inzien die van hem of haar worden verwerkt.

Bij ons komen er veel telefoontjes binnen met vragen over deze nieuwe AVG wet en wat dit inhoudt inhoud voor hun bedrijf. Wat uit de telefoontjes blijkt is dat door de vele onduidelijkheden bedrijven de boot afhouden en eerst willen zien waar de kinderziekten zitten en hoe de Autoriteit Persoonsgegevens de AVG gaat uitleggen.

Onvoldoende voorlichting

Ook zzp’ers en kleine ondernemers moeten voldoen aan de AVG, echter zijn veel bedrijven er nog niet klaar voor. Niet door onwil, maar door onmacht voortvloeiend uit de totale onduidelijkheden die met de AVG gepaard gaan.

Voorzitter Maarten Post van Stichting ZZP Nederland verklaarde vorige week op BNR Nieuwsradio en bij Jort Kelder (dr Kelder en Co),  dat de overheid steken laat vallen in de voorlichting over de werking van de AVG en voor wie deze wet is bestemd. “De informatie over de AVG is onvoldoende toegankelijk voor zzp’ers, juridisch ingewikkeld en vooral te laat. Veel zzp’ers komen nu pas tot het besef, dat deze regels ook voor hen gelden. Vooral weten ze niet hoe ze moeten handelen om hoge boetes te voorkomen “, zegt Post.“

Inmiddels heeft minister Dekker laten weten dat zzp'ers niet direct zullen worden beboet als de beveiliging van persoonlijke gegevens niet op orde hebben. Echter moet een bedrijf dan wel aan kunnen tonen dat ze bezig zijn dit in orde te maken.

Hoe wordt je AVG Proof

Als je zekerheid zoekt en je wilt niet te veel zelf doen, oriënteer je dan op gespecialiseerde partijen. Wil je eerst zelf aan de slag en ben je een website eigenaar met minder dan 250 medewerkers die op relatief kleinere schaal persoonsgegevens inzamelt? Neem dan in ieder geval de volgende stappen:

  • Je verzamelt persoonsgegevens van klanten op een of meerdere van de volgende manieren:
    • via Google Analytics
    • met een contact- of antwoordformulier
    • met een nieuwsbriefaanmelding
    • door een persoonlijk account
    • door een aankoop
  • Je verzamelt enkel gewone persoonsgegevens
  • Je doet niet aan profilering of geautomatiseerde besluitvorming

Welke maatregelen zijn nodig

Eigenlijk moet elk bedrijf wel enkele maatregelen treffen om te voldoen aan de nieuwe AVG wetgeving. Graag leggen wij nogmaals uit wat minimaal gedaan moet worden om te voldoen aan de AVG wetgeving.

  • Bij opvragen van persoonsgegevens moet u voor een goede beveiliging zorgen middels een SSL certificaat (groen slotje in adresbalk)
  • Wanneer je Google Analytics gebruikt ben je verplicht om de volgende handelingen uit te voeren:
    • Een bewerkingsovereenkomst met Google afsluiten
    • Google niet het volledige IP-adres van bezoekers laten verwerken
    • Gegevens delen met Google uitzetten
    • Informeren over Google Analytics
    • Gebruikers een opt-out mogelijkheid bieden

Lees hier meer informatie over het privacy vriendelijk instellen van Google Analytics.

Er zijn meerdere dingen nodig en 2 verschillende zaken.

 1: als je alleen Google Analytics gebruikt zonder Remarketing. Daarvoor kunnen de volgende instellingen gebruikt worden om te voldoen en is een cookiemelding niet verplicht vanuit Google Analytics. https://imu.nl/internet-marketing/analytics-anonimiseren-voor-avg/ 

2: Google analytics en Adwords met Remarketing. Daar is persé een cookiemelding voor nodig en zullen er verwerkersovereenkomsten gesloten moeten worden met Google.

  • Stel een privacyverklaring op en plaats deze als link onderaan de website. Wanneer je op je website of webshop op plekken persoonsgegevens verzamelt, zoals met een contactformulier, nieuwsbrief, persoonlijk account etc, moet je goed nagaan of hier niet meer gegevens worden gevraagd dan strikt noodzakelijk. In de AVG staat namelijk dat enkel de gegevens verzameld mogen worden die noodzakelijk zijn voor het doel waarvoor ze worden verzameld. Wanneer een bezoeker akkoord moet gaan op een van de voorwaarden die in de privacyverklaring staat, moet er ook direct een link naar de privacyverklaring worden weergegeven.
  • Praktisch iedereen die persoonsgegevens verzameld is verplicht een register van verwerkingen op te stellen. Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die je verwerkt. De AVG schrijft voor welke informatie de verantwoordelijke of verwerker in het register moet zetten. Als de Autoriteit Persoonsgegevens daar om vraagt, moet je het register direct kunnen laten zien.
  • Een Cookiemelding: voor functionele en analytische cookies dient een melding m.b.v. een cookiebanner geplaatst te worden. Als er marketing/trackingcookies gebruikt worden, is een banner met mogelijkheid voor toestemming geven vereist.
  • Vaak moeten de algemene voorwaarden worden aangepast.
  • Als je nieuwsbrieven verstuurd dien je daar expliciete toestemming voor te vragen. Ook moet men zich makkelijk kunnen afmelden.
  • Sluit juridisch correcte verwerkersovereenkomsten af. Wanneer je persoonsgegevens deelt met andere partij moet er met deze partij (de zogenaamde ‘verwerker’) een overeenkomst worden afgesloten: de verwerkingsovereenkomst of verwerkersovereenkomst. Dit is een gedeelde verantwoordelijkheid. Als dit niet gebeurt kunnen zowel de verantwoordelijke als de verwerker hier door de Autoriteit Persoonsgegevens op worden aangesproken. In de praktijk hebben veel kleine organisaties enkel een samenwerking met een partij die de hosting van de website verzorgt en bijvoorbeeld een externe boekhouder. Neem contact op met ons want wij hebben een standaard verwerkersovereenkomst die u alleen hoeft te tekenen.

Kortom..

Er is genoeg werk te doen met de invoering van de AVG wetgeving, maar niet onhaalbaar. Zeker niet met de juiste, specialistische hulp. Wij hebben bijvoorbeeld goede cookie-melders gemaakt om te installeren die AVG-proof zijn. Ook hebben we verwerkingsovereenkomsten.

Custom Website begrijpt dat er door de nieuwe AVG wetgeving ingrijpende maatregelen getroffen dienen te worden voor bedrijven. Graag helpen wij u hier dan ook bij als u er niet uit komt. Wij kunnen u helpen om te voldoen aan de nieuwe AVG wetgeving. Neem contact met ons op als u hulp nodig bent.

Geplaatst op 28 mei 2018
Patrick de Vos

Als internetbureau in Groningen staan wij voor persoonlijke begeleiding en kwaliteit