Wat is de AVG?
Sinds 25 mei 2018 is in alle landen in de Europese Unie nog maar één privacywetgeving van toepassing: de GDPR (General Data Protection Regulation).
In Nederland zijn deze nieuwe privacyregels verwerkt in de AVG, de opvolger van de Wet bescherming persoonsgegevens. De AVG volgt de Europese richtlijnen die zijn vastgesteld in de GDPR, maar biedt ook enige ruimte voor nationale keuzes. In Nederland zijn deze keuzes uitgewerkt in de UAVG (Uitvoeringswet Algemene verordening gegevensbescherming).
Wat is het doel van de AVG?
Het doel van de AVG is het beter beschermen van privacyrechten in onze sterk gedigitaliseerde samenleving. Om dat te bereiken krijgt je organisatie meer verantwoordelijkheden en plichten. De AVG geldt daarom voor alle zelfstandige ondernemers, bedrijven of organisaties die privacygevoelige data verwerken.
Nu ligt 2018 alweer een tijdje achter ons. En hoewel bijna iedereen wel bekend is met de term AVG, zijn er genoeg ondernemers die niet precies weten wat de nieuwe privacywet inhoudt en hoe je de regels correct toepast in de praktijk. En dat kan vervelende situaties opleveren. Van boze klanten tot torenhoge boetes. Situaties die je dus liever vermijdt.
Volg daarom deze 7 stappen en maak je onderneming AVG-proof.
In 7 stappen AVG-proof
Stap 1: Werk aan bewustwording
Persoonsgegevens en privacy is iets waar je zorgvuldig mee omgaat. Creëer daarom een stukje bewustwording bij jezelf en je werknemers. Besteed bijvoorbeeld aandacht aan het thema met interne mailings of trainingen over hoe je persoonsgegevens goed bewaart en verwerkt op de juiste manier.
Stap 2: Inventariseer welke persoonsgegevens je verwerkt
Daarnaast is inventarisatie belangrijk. Welke persoonsgegevens van klanten en medewerkers verzamelen en verwerken jullie? Hoe bewaar je de gegevens én met welk doel? Het doel moet vanaf het begin duidelijk zijn. Je mag dus niet zomaar persoonsgegevens opslaan, omdat ‘die misschien ooit nog van pas komen’.
Anders gezegd: je mag alleen persoonsgegevens verwerken als het echt niet anders kan; dus noodzakelijk om je doel te bereiken.
Dataminimalisatie
Verzamel alleen persoonsgegevens die strikt noodzakelijk zijn voor je doel. Vraag bijvoorbeeld niet meer gegevens dan nodig voor het abonneren op een nieuwsbrief.
Stap 3: Zorg voor aantoonbare toestemming
Je mag iemands persoonsgegevens meestal pas verwerken als je daarvoor toestemming hebt. Iemand ongevraagd bombarderen met allerlei marketing e-mails is dus niet toegestaan.
Vrijelijk, ondubbelzinnig, geïnformeerd en specifiek
In veel gevallen moet je expliciete toestemming hebben. Je kunt hierom bijvoorbeeld vragen tijdens het aankoopproces. De AVG stelt dat deze toestemming vrijwillig, geïnformeerd, specifiek en ondubbelzinnig moet zijn.
Een ‘opt-out’ vinkje tijdens het aankoopproces waarmee een klant een vakje uitvinkt om geen marketing gerelateerde e-mails te ontvangen, is dus niet genoeg.
Je kunt mensen in een online omgeving wel om toestemming vragen door ze:
- Actief een vakje aan te laten vinken
- Een elektronisch formulier in te laten vullen
- Een e-mail aan jou te sturen
- Een elektronische handtekening te laten zetten
- Een gescand document met handtekening te laten uploaden
Een mondelinge verklaring is meestal ook voldoende om geldige toestemming te krijgen. Maar ja, hoe bewijs je dit als iemand zich bedenkt? Wees hier dus terughoudend mee.
Overeenkomst
Je hoeft niet altijd expliciet toestemming te vragen als je gegevens bewaart. Dat heeft te maken met de grondslag voor het verwerken van persoonsgegevens. Soms is persoonsgegevens verwerken en gegevens opslaan gewoonweg noodzakelijk om een (koop)overeenkomst uit te voeren.
Ben je eigenaar van een webwinkel en bestelt iemand een product? Dan heb je adresgegevens nodig om het product te kunnen verzenden. Je hebt deze gegevens nodig om de koopovereenkomst uit te voeren. Toestemming vragen voor het verwerken van persoonsgegevens voor dat specifieke doel is dan niet nodig.
Duidelijk doel
Verzamel je de gegevens voor een bepaald doel? Dan mag je diezelfde gegevens niet zomaar voor een ander doel gebruiken.
Cookie statement
Cookies zijn kleine tekstbestanden die websites na een bezoek plaatsen op een computer, mobiele telefoon of tablet. Bedrijven moeten altijd uw toestemming vragen om cookies te plaatsen die inbreuk maken op de privacy. Vaak gaat het dan om ‘tracking’ cookies. Deze cookies houden individueel websitegedrag bij en stellen profielen op voor bijvoorbeeld gerichte advertenties. In een cookie statement vertel je de bezoeker van je website welke cookies je gebruikt op je website. Hier is een voorbeeld van een cookie statement.
Whitepaper Controle Belastingdienst
Transparantie en documentatie
Wees open en duidelijk naar je klanten over hoe je persoonsgegevens verzamelt en gebruikt. Werk met een up-to-date privacybeleid. Verwerk je beleid in duidelijke, begrijpelijke taal in een document dat makkelijk vindbaar is op je website, bijvoorbeeld via een link in je footer. Hier vind je een privacystatement dat je kunt gebruiken.
Stap 4: Zorg dat klanten altijd hun rechten kunnen uitoefenen
Klanten mogen op elk moment vragen naar welke persoonsgegevens je van ze hebt opgeslagen. Bovendien kunnen ze een correctie of zelfs verwijdering eisen.
Recht op bezwaar
Je klanten hebben het recht om bezwaar te maken tegen elke vorm van direct marketing. Als iemand niet meer benaderd wil worden voor marketingdoeleinden, respecteer je dat verzoek.
Stap 5: Sluit verwerkersovereenkomsten af
De kans is groot dat je gebruikmaakt van bepaalde leveranciers of serviceproviders die persoonsgegevens van jouw klanten en/of medewerkers verwerken. Denk bijvoorbeeld aan een SAAS-dienstverlener voor je salarisadministratie of een boekhouder.
Dit soort leveranciers worden in de AVG ‘verwerkers’ genoemd. De AVG geeft aan dat deze zaken onder verwerken van persoonsgegevens vallen: opslaan, wijzigingen, raadplegen, verzamelen, opvragen en vernietigen. Een breed begrip dus waar al snel sprake van is in de samenwerking met andere partijen.
Je bent verplicht om met deze partijen verwerkersovereenkomsten af te sluiten. In veel gevallen zijn er standaard-verwerkersovereenkomsten beschikbaar die je zelf kunt aanpassen. Geïnteresseerd? Hier vind je een rechtsgeldige verwerkersovereenkomst.
Stap 6: Neem beveiligingsmaatregelen
Een heel belangrijk onderdeel van de AVG is gegevensbeveiliging. Zorg ervoor dat persoonsgegevens veilig worden verwerkt en opgeslagen. Dit houdt ook in dat je maatregelen treft om gegevens te beschermen tegen ongeautoriseerde toegang, verlies en/of beschadiging. Bij maatregelen kun je denken aan versleuteling van gegevens, twee-factor authenticatie, etc.
Andere voorbeelden van beveiligingsmaatregelen:
- Gedegen wachtwoordbeleid
- Gebruik van antivirusprogramma’s en instellen firewall
- Rechten- en autorisatiestructuur inrichten
- Fysieke beschermingsmaatregelen (bijvoorbeeld server in afgesloten ruimte)
- Procedures opstellen voor opslag, onderhoud en vernietiging van data
- Back-up beleid opstellen en regelmatig back-ups maken
- Procedure opstellen voor omgaan met datalekken
Stap 7: Ontwikkel procedures voor datalekken
Bouw procedures in om datalekken te detecteren, te melden en te onderzoeken. Liggen persoonsgegevens van klanten op straat, bijvoorbeeld na het kwijtraken van post of het versturen van een e-mail naar een verkeerd adres? Of ben je het slachtoffer van ransomware en worden persoonsgegevens ‘gegijzeld’?
Dan moet je dit direct melden bij de toezichthoudende autoriteit. In Nederland is dat de Autoriteit Persoonsgegevens. In sommige gevallen moet je dit ook melden aan de betrokkenen zelf. De incidenten houd je bij in een apart register.
Alles weten over het recht op privacy in de digitale wereld? Bezoek dan eens de website van Autoriteit persoonsgegevens.