AVG - Algemene Verordening Gegevensbescherming

De impact van de AVG Wet op je website (GDPR)

Ben jij AVG ready? Vanaf 25 mei 2018 moeten we voldoen aan de Europese General Data Protection Regulation (GDPR). In Nederland wordt dit de Algemene Verordening Gegevensbescherming (AVG) genoemd. De AVG is een nieuwe wet ter bescherming van persoonsgegevens van iedereen binnen de Europese Unie. De wet gaat over het verwerken, verzamelen, opslaan en gebruiken van persoonsgegevens.

Bij veel ondernemers zorgt deze wet al maanden voor lichte paniek. Wanneer je niet voldoet aan de eisen van de AVG, loop je het risico op een hoge boete. In dit artikel hebben we de belangrijkste informatie voor je verzameld.

“Wat betekent de AVG voor mijn webshop of website?”
“Kan ik Google Analytics nog wel gebruiken?”
“Is een cookieverklaring verplicht?”
“Is dubbele opt-in noodzakelijk?”

Bij de meeste ondernemers is de Wet bescherming persoonsgegevens (Wbp) wel bekend. Deze wet is vervangen door de AVG. Met de komst van de AVG hebben bedrijven tot 25 mei 2018 om te voldoen aan de eisen van de nieuwe wetgeving. De Autoriteit Persoonsgegevens (AP) heeft strenge controles voor ondernemers aangekondigd. Tijd voor actie dus!



Waarom AVG / GDPR?

Persoonlijke data is enorm veel waard. Er zijn zelfs bedrijven die hun hele verdienmodel gebaseerd hebben op het verzamelen van persoonsgegevens. E-mailadressen, telefoonnummers, adresgegevens, IP-adressen, interesses, kledingmaten, allergieën, medische kwaaltjes, etc. Het wordt allemaal geregistreerd en bewaart.

Al die data geeft bedrijven een beeld van de behoeften en gedrag van (mogelijke) klanten. De informatie die jij (onbewust) achterlaat is dus veel waard. Dit maakt het gevoelig voor diefstal, fraude en andere nare dingen.

AVG privacywet

Wat betekent dit voor jou als individu?

De wet moet ervoor zorgen dat jij de baas blijft over je eigen gegevens. De AVG geeft je meer rechten, maakt bedrijven transparanter en geeft je meer controle over jouw gegevens. Zo krijg je het recht:

  • Om alle gegevens in te zien die over jou verzameld zijn.
  • Om data te laten verwijderen.
  • Dat gegevens alleen met jouw toestemming gedeeld mag worden met derden.
  • Alleen met expliciete toestemming benaderd te worden voor bijvoorbeeld een nieuwsbrief.

Welke invloed heeft de AVG op ondernemers?

Als ondernemer zul je erg zorgvuldig en transparant met persoonsgegevens om moeten gaan.

Toestemming is noodzakelijk

Vakjes die al aangevinkt zijn behoren tot de verleden tijd, want je klant moet er expliciet toestemming voor geven. Bijvoorbeeld voor de inschrijving op een nieuwsbrief, maar ook voor het delen van persoonsgegevens met derden als Google en Facebook.

Alleen relevante gegevens

De AVG gaat uit van ‘privacy by default’. Je mag mensen alleen verplichten om gegevens in te vullen die noodzakelijk zijn voor de dienst die je aanbiedt. Verzamel daarom alleen data die echt nodig zijn voor jouw onderneming en bewaar dit niet langer dan noodzakelijk. Waarom zou je immers het geslacht of de geboortedatum van iemand moeten weten om een pakketje te versturen?

Wil je toch graag meer weten zoals bijvoorbeeld iemands geslacht, geboortedatum, adres, leeftijd, etc? Dan mag je hier op vrijwillige basis naar vragen, maar dan moet je wel duidelijk aangeven waarvoor je deze gegevens wilt gebruiken. Bijvoorbeeld:

  • Vul je leeftijd in om persoonlijke aanbiedingen te krijgen.
  • Met je locatie houden we je op de hoogte van activiteiten in je buurt.

Openheid van zaken

Je klanten en bezoekers mogen precies weten welke gegevens je over hen verzamelt. Deze data mogen ze op elk gewenst moment inzien of laten verwijderen. Denk hierbij aan namen, adressen, telefoonnummers, e-mailadressen, IP-adressen, geboortedatums en geslacht. Maar ook data waarmee je een profiel zou kunnen opbouwen, zoals klantnummers, ordernummers, gebruikersnamen of gepersonaliseerde gegevens uit volgscripts zoals die van Google Analytics en Hotjar. Volledig anonieme data die niet is te herleiden naar een individu, valt hier buiten.

AVG en SSL certificaat

Beveiliging van gegevens

De data die jij hebt verzameld moet correct beveiligd zijn. Heb je een website waar persoonsgegevens worden verwerkt? Heb je een contactformulier of nieuwsbriefinschrijving? Dan ben je vanaf mei 2018 verplicht je website te beveiligen tegen misbruik en is een SSL certificaat nodig. Via SSL verstuur je gegevens via een beveiligde verbinding. De juiste beveiliging geldt overigens ook voor je toeleveranciers! Wanneer er toch een datalek optreedt, moet je dit (nog steeds) binnen 72 uur melden bij de Autoriteit Persoonsgegevens via het meldloket datalekken.

Deel deze informatie

AVG checklist voor websites en webshops

Het is belangrijk bezoekers te informeren en om toestemming te vragen voor het verzamelen en gebruik van privacygevoelige informatie. Met onze AVG checklist zorg je ervoor dat jouw website voldoet aan de nieuwe wetgeving.

1. Gegevens controleren

De AVG is ook van toepassing op persoongegevens van je personeel, maar in dit artikel beperken we ons tot klanten en bezoekers. Het is tijd om je gegevensverwerking duidelijk in kaart te brengen:

  • Welke persoonsgegevens verzamel je?
  • Hoe verzamel je deze data?
  • Waarom verzamel je deze gegevens?
  • Tot wanneer bewaar je de gegevens en waarom?.
  • Met wie deel je de gegevens?

Bewaar gegevens niet langer dan nodig

Zelfs wanneer een betrokkene toestemming heeft gegeven voor het gebruik van persoonlijke gegevens, mag je deze informatie niet eindeloos bewaren. Je stelt het daarmee namelijk onnodig bloot aan risico’s als diefstal en fraude. Omdat hiervoor nog geen harde richtlijn zijn geïntroduceerd, kun je uitgaan van redelijkheid. Het is bijvoorbeeld voor een rijschool onnodig om jaren de gegevens van geslaagden te bewaren. Zorg ervoor dat je persoonsgegevens niet langer bewaart dan noodzakelijk.

2. Cookies

Een cookie is een klein tekstbestandje dat een website op je computer zet op het moment dat je de website bezoekt. De belangrijkste functie van cookies is om onderscheid te maken tussen gebruikers. Je weet inmiddels dat als je persoonlijke gegevens wilt verwerken, dat je om toestemming moet vragen. Dit is ook van toepassing op cookies.

Functionele cookies

Voor cookies die essentieel zijn voor de werking van je website, is toestemming niet noodzakelijk. Deze cookies onthouden bijvoorbeeld wat er in een winkelmandje zit of wanneer je ingelogd bent. Ook cookies die anonieme gebruiksstatistieken registreren zijn zonder expliciete toestemming te gebruiken.

Overige cookies

Voor het gebruik van andere cookies, die persoonlijke of individuele gegevens verwerken, moet je wel eerst toestemming krijgen. Denk aan:

  • Cookies die het klikgedrag van de bezoeker meet.
  • Cookies die meten hoe lang de bezoeker een pagina bekijkt.
  • Cookies waardoor men kan reageren via een social media account.
  • Cookies die meten of bezoekers een advertentie gezien hebben.

Met ingang van de AVG mag je bezoekers die geen targeting cookies willen niet meer weigeren op je website.

Cookieverklaring

Toestemming voor het plaatsen van cookies verkrijg je via een cookieverklaring. Hoewel veel websites zo’n melding al laten zien, is het belangrijk dat deze voldoet aan de AVG. Je moet vermelden welke cookies je gebruikt, waarom je dit doet en hoelang ze bewaart blijven. Bezoekers moeten de keuze krijgen in het soort cookies dat ze kunnen accepteren en moeten dit later kunnen aanpassen. De toestemming is 12 maanden geldig of tot de gebruiker deze intrekt. Hierna moet je weer opnieuw om toestemming vragen.

3. Google Analytics

Veel websites meten bezoekersstatistieken door gebruik te maken van Google Analytics. Vanuit de standaardinstellingen registreert de tool echter privacygevoelige gegevens, zoals een IP-adres. Dit betekent dat je expliciet om toestemming aan je bezoekers moet vragen.

Google Analytics kan privacyvriendelijk ingesteld worden. Zo waarborg je de privacy van bezoekers en hoeft men hier niet expliciet toestemming voor te geven. Google Analytics gebruiken zonder cookiemelding? Zo doe je dat:

Aan deze methode kleeft wel een nadeel. De locatiegegevens in Google Analytics worden hiermee minder accuraat. Je verliest de mogelijkheid om gebruikers van je website te (re)targeten met persoonlijke advertenties.

Google Analytics en AVG

4. Nieuwsbrief en e-mails

Maak jij gebruik van Mailchimp of een ander programma voor het versturen van nieuwsbrieven? Je moet aan kunnen tonen dat de ontvanger expliciet toestemming heeft gegeven voor het ontvangen van je nieuwsbrief. Meestal gebeurt dat doordat iemand zich aangemeld heeft door middel van opt-in via een aanmeldformulier op je website.

Dubbele opt-in niet verplicht

Opt-in is sinds 2012 verplicht, maar niet waterdicht. Iemand kan gemakkelijk een niet-bestaand of ander e-mailadres invullen. Om dit te voorkomen maken veel organisaties gebruik van dubbele opt-in. Met dubbele opt-in krijgen de ontvangers eerst een controlemail. Als de ontvanger op de link in deze e-mail klikt, wordt het e-mailadres en de inschrijving bevestigd. Daarmee wordt de registratie doorgevoerd. Dubbele opt-in is echter niet verplicht.

Klikgedrag in e-mails

Veel mailprogramma’s monitoren het klikgedrag van de mailontvanger. Ook hier geldt weer dat ontvangers hiervoor expliciet toestemming moeten geven. Je zou als argument kunnen voeren dat je door deze metingen relevantere mails kunt sturen.

Opnieuw toestemming vragen

De wetgeving geldt ook voor de e-mailadressen die je al eerder verzameld hebt! Wanneer je twijfelt of deze op de juiste manier verkregen zijn, kun je een heractivatiemail sturen. Doe dit voor de ingang van de nieuwe privacywetgeving. In de mail geef je aan waar het over gaat, met welke regelmaat ze verstuurd worden en of er gegevens gedeeld worden. Bovendien moet je mail een prominente ‘Ja’ en ‘Nee’ bevatten. Wanneer je geen reactie ontvangt, geldt dit als een afmelding.

5. Privacyverklaring

Zorg voor een duidelijke privacyverklaring op je website. De Autoriteit Persoonsgegevens (AP) heeft een lijst met eisen opgesteld voor hetgeen dat in ieder geval in je privacyverklaring opgenomen moet zijn.

Inhoud privacyverklaring

Leg in je privacyverklaring uit welke persoonlijke gegevens je verwerkt, waarom je dit verzamelt en hoe lang je ze bewaart. Vermeld ook met welke andere partijen je de gegevens deelt. Daarnaast vermeld je de rechten van de bezoeker zoals inzage, correctie en verwijdering en het recht op dataportabiliteit. Stel iemand aan die verantwoordelijk is voor gegevens- en privacybescherming binnen je bedrijf. En zorg dat mensen in je privacyverklaring kunnen lezen hoe en met wie ze contact op kunnen nemen. Bewaar persoonsgegevens niet langer dan noodzakelijk en geef aan welke beveiligingsmaatregelen je hebt getroffen. Bekijk het volledige overzich op de website van de Autoriteit Persoonsgegevens.

Recht op inzage, wijzigen, portabiliteit en vergeten

Volgens de AVG heeft men recht om zijn of haar eigen persoonsgegevens bij een organisatie op te vragen. Als organisatie ben je verplicht om dit geheel kosteloos en binnen 30 dagen te overhandigen. Conform de huidige wetgeving heeft men ook al recht op inzage, maar nu kunnen organisaties je nog wel verplichten om op locatie langs te komen. Met het recht op portabiliteit is dit verleden tijd en ben je verplicht om de gegevens in een gangbaar formaat aan te leveren.

Men heeft ook het recht op wijzigen. Persoonsgegevens kunnen immers veranderen of onjuist zijn. Als organisatie moet je desgewenst ook aan kunnen tonen met wie je de onjuiste gegevens in het verleden gedeeld hebt. Het recht op een menselijke blik is vooral van belang bij geautomatiseerde systemen die beslissingen nemen op basis van persoonsgegevens. Men heeft het recht om te weten op basis van welke gegevens de beslissing is genomen en dit te laten toetsen met tussenkomst van een menselijke blik.

Met het recht op vergetelheid, kan men je vragen om alle persoonsgegevens te verwijderen. Op de website van de Autoriteit Persoonsgegevens lees je wat de exacte voorwaarden zijn. Tot slot kan men het recht op beperking van de verwerking uitoefenen. Dit houdt in dat je de gegevens niet meer mag gebruiken, maar ook niet mag wissen.

6. Verwerkersovereenkomst

De kans is groot dat je voor de opslag en verwerking van persoonsgegevens gebruikmaakt van derden. Wij als webdesigners en hostingprovider zijn hier een voorbeeld van. Maar denk bijvoorbeeld ook aan Dropbox, Onedrive, Office365, Google Analytics, HotJar en Mailchimp. In de AVG noemen we deze partijen verwerkers. Voor het gebruik van persoonsgegevens door deze partijen moet altijd toestemming afgegeven worden.

Data Processing Agreement

Wanneer andere partijen toegang (kunnen) hebben tot de gegevens die jij verwerkt, ben je verplicht om een data processing agreement (verwerkersovereenkomst) af te sluiten. Als eigenaar van een website ben jij de verwerkingsverantwoordelijke en daarmee verantwoordelijk voor de verwerkersovereenkomst.

Wat moet er in de verwerkersovereenkomst staan?

In een verwerkersovereenkomst beschrijf je om welke soort verwerking het gaat. Daarnaast moet duidelijk zijn waarom en hoe lang de verwerking van toepassing is. Neem in je verwerkersovereenkomst op:

  • Tot welke persoonsgegevens de verwerker toegang heeft.
  • Welke beveiligingsmaatregelen er getroffen zijn.
  • Dat uitbesteding of samenwerking met subverwerkers alleen mag met toestemming van de betrokkene.
  • De verwerker de gegevens niet voor eigen doeleinden mag gebruiken.
  • Dat personeel gebonden is aan een geheimhoudingsplicht.
  • Hoe de verwerker helpt met privacyrechten.
  • Persoonsgegevens na de werkzaamheden verwijderd worden.
  • Wat er gebeurd bij een datalek.
  • Dat de verwerker mee moeten werken aan audits.

Gegevens delen buiten de EU

Deel jij persoonsgegevens buiten de EU? Dit mag alleen als de betrokkene hier toestemming voor geeft en het land veilig is verklaard door de Europse Commissie. Voor andere landen moet je werken met een zogeheten modelcontract voorgeschreven door de EU. Het is opgesteld vanuit de EU Standard Contractual Clauses (Commission Decision C(2010)593). Naast het modelcontract moet je met zo’n buitenlandse partij ook nog een verwerkersovereenkomst sluiten.

7. Register verwerkingsactiviteiten

Wanneer de Autoriteit Persoonsgegevens erom verzoekt, moet jij aan kunnen tonen dat je verantwoord omgaat met persoonsgegevens. Dit doe je met een register waarin je alle verwerkingsactiviteiten bijhoudt. Neem in je register verwerkingsactiviteiten in ieder geval het volgende op:

  • De contactgegevens van je bedrijf en de verantwoordelijke persoon.
  • Met welke andere organisaties je persoonsgegevens deelt.
  • Waarom je persoonsgegevens verwerkt.
  • Wanneer je de persoonsgegevens moet wissen.
  • Of je persoonlijke gegevens deelt met organisaties buiten de EU.
  • Welke maatregelen er getroffen zijn om persoonsgegevens te beveiligen.

AVG website beveiligen

8. Beveiliging van je website

Het mag duidelijk zijn dat goede beveiliging van datahoudende en verwerkende systemen essentieel is. Nalatigheid omtrent de privacy van je bezoekers en klanten, kan je duur komen te staan. Reputatieschade en misschien zelfs een boete.

Met een SSL certificaat beveilig je de gegevensuitwisseling tussen je website en de bezoekers. Kan men zich via je website inschrijven op een nieuwsbrief of contact met je opnemen via een contactformulier? Dan verwerk je persoonsgegevens en is een SSL certificaat vanaf mei 2018 verplicht.

  • Versleutel de verbinding tussen website en bezoeker met een SSL certificaat.
  • Bescherm jezelf en anderen tegen virussen, malware en randsomware.
  • Zorg dat je website of webshop altijd draait met de laatste beveiligingsupdates.
  • Maakt je website gebruik van plugins? Controleer welke gegevens ze verwerken.
  • Maak gebruik van sterke en unieke wachtwoorden.

Wat kan Heijtec ICT voor jou betekenen?

De Algemene Verordening Gegevensbescherming is ingrijpend en complex. Vanaf 25 mei 2018 moet iedereen voldoen aan de AVG. Bij het niet volgen van deze nieuwe wetgeving riskeer je een boete tot wel 4 procent van de jaaromzet. Heijtec ICT kan je helpen bij het voldoen aan de nieuwe privacywet. Schakel ons in voor:

  • Analyse
  • Cookies
  • Google Analytics
  • Nieuwsbrieven
  • Privacyverklaring
  • Verwerkersovereenkomst
  • Register Verwerkingsactiviteiten
  • SSL certificaat
  • Website beveiliging

De benodigde aanpassingen verschillen per organisatie. Een inventarisatie vraagt dan ook om maatwerk. Wil je dat wij je helpen om jouw website AVG ready te maken?

Maak je website AVG Ready!

Wij analyseren de gevolgen van de AVG voor jouw website of webshop.

Bel Heijtec ICT op 085 401 9132 of stuur een e-mail via het onderstaande formulier.

Disclaimer: De AVG is ingrijpend en complex. We hebben de AVG grondig bestudeert en denken dan ook dat we onze klanten goed advies en ondersteuning kunnen bieden. Heijtec ICT is een webbureau en wij zijn geen juristen. Wanneer je volledig risicovrij wilt zijn, adviseren wij je om door een jurist jouw specifieke situatie te laten analyseren.