Webmissie’s Blog

De Europese Privacywet, de AVG of ook wel GDPR genoemd, is op 25 mei 2018 van kracht gegaan. Dit heeft ook gevolgen voor jouw organisatie!

De Algemene Verordening Gegevensbescherming (in het Engels General Data Protection Regulation of GDPR) is de nieuwe Europese privacywetgeving. De AVG vervangt de verouderde Nederlandse Wet bescherming persoonsgegevens (Wbp) en betetent een fikse uitbreiding in de bescherming van privacy gegevens in de gehele EU.

Ook MKB bedrijven moeten klantgegevens goed beschermen. Vanaf 25 mei 2018 moet je daar rekening mee houden als je voor zakelijke activiteiten persoonsgegevens ‘verwerkt’: verzamelt, opslaat, raadpleegt, analyseert, enzovoort. Dat geldt ook voor kleine bedrijven. Alle organisaties die persoonlijke gegevens verwerken moeten (nog) duidelijk(er) maken waarom ze persoonsgegevens verzamelen, waarvoor ze die gebruiken en hoe lang de data wordt bewaard. Ook moeten ze burgers desgevraagd inzage geven in de opgeslagen data en data goed beveiligen.

Niet naleven van de wet kan leiden tot hoge boetes. Hoe strikt de wet gehandhaafd zal worden is niet te voorspellen. En ook niet hoe proportioneel boetes zullen uitpakken. Een (kleine) ondernemer die het erop laat aankomen en niets doet om AVG-proof te zijn, loopt na 25 mei daarmee een niet te calculeren risico als hij nalatig is.

Wat is er veranderd?

Onder privacy gevoelige gegevens vallen alle gegevens die op natuurlijke personen betrekking hebben. Denk hierbij aan: telefoonnummers van klanten, email-adressen en email, (beveiligings- en)camerabeelden, IP-adressen van computers van gebruikers, informatie over personeel, enzovoort.

Een voorbeeld van de veranderingen door de AVG is dat je voor het verwerken van persoonsgegevens door jouw bedrijf vaker en explicieter de toestemming nodig hebt van bijvoorbeeld een klant of werknemer. Neem je geen maatregelen om dit te organiseren, dan ben je nalatig. Toestemming is een van de voorwaarden (zogenaamde ‘grondslagen’) die jouw bedrijf nodig heeft om sommige gegevens te mogen verwerken. Een andere belangrijke grondslag, is dat je alleen de persoonsgegevens mag verwerken die absoluut nodig zijn voor het uitvoeren van een contract. Denk aan een klant die iets koopt bij je webwinkel:  dat kan alleen als de klant zijn noodzakelijke gegevens invoert.

Aan het krijgen van toestemming voor het verwerken van sommige persoonsgegevens worden door de AVG strikte eisen gesteld. Zo moet iemand vrijwillig toestemming geven door een expliciete handeling te verrichten. Op je webformulieren of aanmeldformulieren voor het versturen van nieuwsbrieven is een concrete en aantoonbare handeling nodig waarmee toestemming wordt geven tot het verwerken van de gevraagde persoonlijke gegevens. En die toestemming geldt dan alleen voor het doel van dat formulier of dat type nieuwsbrief. Je klant moet het dus zelf aanvinken. De AVG eist ook dat het net zo makkelijk moet zijn om je toestemming in te trekken als dat je toestemming hebt gegeven. Last but not least: als ondernemer moet je kunnen bewijzen dat een klant jou toestemming heeft gegeven.

Verzamel je gegevens  van je bezoekers via een webstatistieken programma zoals Google Analytics? Ook dan komt e AVG om de hoek kijken! Een naam of e-mailadres of zelfs alleen een ip-adres valt al onder de AVG.

Wat betekent dit voor jou?

Om te beginnen moet elke organisatie zelf het eigen privacybeleid nalopen en dit waar nodig aanpassen volgens de voorwaarden van de nieuwe AVG!

Mocht je je nog niet echt verdiept hebben in de nieuwe privacy wetgeving, dan raad ik je met klem aan hier echt even tijd voor vrij te maken en je privacy beleid na te lopen en waar nodig te herzien!
Kijk eerst op de site van de Autoriteit Persoonsgegevens. Daar vind je:

• duidelijke informatie over de AVG
• een goed stappenplan om je privacybeleid op orde te krijgen
• een handige AVG-Regelhulp; een soort invuloefening waarmee je al een aardige basis legt voor jou privacybeleid

Een echte aanrader is daarnaast de privacyverklaring generator van veiliginternetten.nl. Deze helpt je aan een basistekst voor de privacyverklaring die:

• voldoet aan de nieuwe privacywetgeving (de AVG)
• kort en voor je klanten begrijpelijk is
• zo goed als mogelijk is toegespitst op jouw bedrijf (je moet hier en daar wel zelf nog wat gegevens toevoegen)

De MKB servicedesk biedt ook een duidelijk stappenplan en veel handige informatie.

Ter informatie heb ik je onderaan dit artikel verschillende links opgenomen naar websites met goede, heldere informatie over de wetgeving en (nogmaals) de tools waarmee je je privacyverklaring op orde kunt brengen.

Wat betekent de AGV voor je website?

Afhankelijk van de persoonsgegevens die je via je site verzamelt en de stappen die je al eerder hebt ondernomen, vraagt de nieuwe privacy wetgeving dus ook aanpassingen op je website. Zorg er in ieder geval voor dat de volgende zaken op orde zijn:

• Je website moet over een SSL-certificaat beschikken en over beveiligde https-verbinding lopen (herkenbaar aan groen slotje en je webadres start met https://). Dat is de eerste stap waarmee je laat zien dat je de privacy van je bezoekers serieus neemt en dus belangrijk voor de AVG!
• Je moet een heldere, leesbare, AVG-bestendige privacy policy en een cookie verklaring hebben en die op een duidelijke plek op de site zetten (bijv.in een menu of in de footer).
• Op elk formulier op de site dien je een link naar je privacy-verklaring te tonen en een open checkbox die de bezoeker aan moet vinken om hiermee akkoord  te gaan.
• Google Analytics gegevens moeten geanonimiseerd zijn.
• Je moet een cookie-melding hebben die mensen attendeert op het gebruik van cookies en deze moeten zij al dan niet kunnen accepteren. Je moet je bezoekers ook duidelijk inzage geven in welke cookies je gebruikt.
• Voor nieuwsbrieven van Mailchimp geldt dat je aantoonbaar bewijs moet kunnen keveren dat de mensen op jouw mailinglist inderdaad expliciet toestemming hebben gegeven om daarop te staan.
• Je moet verwerkingsovereenkomsten sluiten met business partners en anderen (zoals bijv. Mailchimp, Google Analytics, Facebook,  ArtoFakt enz.) met wie jij persoonlijke gegevens deelt van jouw relaties, klanten of personeel.

Wat kan ArtoFakt voor je doen?

ArtoFakt kan je helpen met het opstellen van basisteksten voor de privacy- en cookieverklaring en met de implementatie van een aantal technische maatregelen (zie boven) om je site in lijn te brengen met de nieuwe eisen van de AVG. We kunnen onder andere:

• een geldig SSL-certificaat voor je implementeren en je site overzetten naar https
• een overzicht maken van cookies op je site, implementeren van een cookie-banner en helpen met het opstellen van je cookieverklaring
• je formulieren nalopen en indien nodig voorzien van privacy link en akkoord-checkbox
• google analytics gegevens anonimiseren (heeft Artofakt voor de meeste sites al geregeld)
• genereren van een basistekst voor je privacy verklaring (Let op: je bent zelf verantwoordelijk voor de inhoud!)
• versleutelen van privacy gevoelige gegevens
• verwijderen van oude en overtollige data en controleren wie waar toegang tot heeft.
• etc.

Wat er voor jouw site precies nodig is, moeten we eerst helder krijgen. We lopen daarom je site eerst helemaal na, maken een advies op maat en voeren dit na jouw akkoord uit. De prijs hangt af van wat er precies nodig is, wat je zelf regelt en wat jouw specifieke wensen of eisen zijn. Bel of mail voor meer informatie: 06-45756386 – joke@artofakt.com

LET OP: Je bent zelf verantwoordelijk voor je website en voor de inhoud van jouw privacy-verklaring. ArtoFakt kan je alleen op weg helpen met advies over en implementatie van website gerelateerde onderdelen. Wil je helemaal zeker zijn van je zaak, schakel dan een jurist in die je helpt met de inhoudelijke kant van je privacy beleid!

Handige links

OFFICIËLE INFO OVER DE AVG:

• Autoriteit persoonsgegevens – AVG
• EU GDPR Information website

TOOLS VOOR JE PRIVACY VERKLARING:

• REGELHULP Van de overheid
• PRIVACY VOORWAARDEN GENERATOR
• FNV Zelsftandigen: Alles over de AVG + templates
• Gratis template verwerkersovereenkomst

INFORMATIE:

• Ben jij klaar voor AVG (MKB servicedesk)
• AVG voor dummies (Management Team Magazine)
• AVG in 10 stappen (Softwarezaken)
• Zo is je privacyverklaring-AVG-proof (Frankwatching)
• Mailchimp GDPR forms and more tools (Mailchimp)
• GDPR/AVG bij nieuwsbrief Mailchimp en Google Analytics (Nicklink)
• Juridische blog over de AVG (Charlottes law)

Bekijk ook de privacy-verklaring en cookie statement van ArtoFakt.

Meer weten over wat ArtoFakt voor jou kan doen op het gebied van de AVG?
Bel of mail Joke: 06-45756386 – joke@artofakt.com