Ben jij al klaar voor de AVG?

De afgelopen periode zijn er enkele belangrijke ontwikkelingen geweest op het gebied van veiligheid van websites en privacy van persoonsgegevens. Er is (wordt) veel over gezegd en geschreven. Termen als SSL, AVG, WBP, CBP vliegen je om de oren. Zie jij door de bomen het bos nog?

In het artikel “Wat betekent de AVG voor je website?” heb ik al een korte inleiding gegeven over wat de AVG inhoudt met een paar tips over wat je moet doen.

Omdat ik vooral praktisch wil zijn, zal ik nu proberen om e.e.a. wat uitgebreider en op een zo logisch mogelijke manier voor je op een rijtje te zetten. Dit wordt toch wel een lang verhaal, maar bevat zeker heel belangrijke en waardevolle informatie. Soms lijk ik een beetje op de Belastingdienst, maar dan weer een beetje anders: “Leuker kan ik het niet maken… makkelijker ook niet…” Doe er vooral je voordeel mee!

Nieuwe privacy wet (AVG)

De nieuwe privacy wetgeving (Algemene Verordening Gegevensbescherming of in goed Engels General Data Protection Regulation (GDPR) genoemd) is een heel erg “breed” verhaal. Eigenlijk is deze wet niet “nieuw” meer. Deze is feitelijk al op 25 mei 2016 in werking getreden, maar men heeft iedereen twee jaar de kans gegeven om de nodige actie te ondernemen om aan de voorwaarden te voldoen. Vanaf 25 mei is de wet definitief van toepassing en moet iedereen echt voldoen aan de voorwaarden die in deze (Europese) wet zijn vastgelegd. Als je dan niet voldoet aan de wet, riskeer je een boete van 20 miljoen euro of 4% van je (wereldwijde) jaaromzet. Pfiewww, dat kan nogal oplopen…

AVG gaat niet alleen over websites. Het gaat over veel aspecten binnen je bedrijf of organisatie die met privacy te maken hebben, in de breedste zin van het woord. Maar er zijn zeker ook een aantal raakvlakken met je website. Omdat ik me met websites bezig hou, zal ik me hier beperken tot de toepassingen van AVG op websites.

Een paar voorbeelden:

  • Een website die voldoet aan de AVG moet duidelijk aangeven welke persoonsgegevens worden verzameld, op welke manier dat gebeurt en met welk doel, hoe lang je deze gegevens bewaart en wat je er verder mee doet.
  • Ook moet je aangeven dat je er alles aan doet om ervoor te zorgen dat de gegevens die mensen met je delen niet zomaar in verkeerde handen vallen.
  • Verder heb je een meldplicht als je een datalek hebt (gehad).

Waar je concreet voor moet zorgen:

  1. Dat je website veilig is.
  2. Je dient een nieuwe privacyverklaring op te stellen die je het beste op je website kunt publiceren om op open wijze te communiceren hoe je met persoonsgegevens omgaat.
  3. Met bedrijven waarmee je gegevens uitwisselt, dien je zogenaamde verwerkersovereenkomsten af te sluiten.

Adem in, adem uit…

Natuurlijk kun je niet achterover leunen en denken: “Het zal zo’n vaart niet lopen.” Je moet er echt serieus mee aan de slag! In de praktijk zal het niet zo zijn dat op 26 mei a.s. ineens een controleur op je stoep staat om te kijken of je alles wel goed geregeld hebt. Maar garanties kan ik je uiteraard niet geven. Op 13 maart 2018 is er in de Tweede Kamer een motie aangenomen dat de Autoriteit Persoonsgegevens in de beginperiode vooral moet gaan richten op voorlichting en hulp bij de uitvoering:

“…overwegende dat in de fase waarin nog veel vragen zijn over de regels, de overheid zich zo hulpvaardig mogelijk moet opstellen en zich dus primair behoort te richten op voorlichting en hulp bij de interpretatie en uitvoering van de regelgeving, onverlet haar handhavingstaak inzake bewuste schendingen…” (Bron: https://zoek.officielebekendmakingen.nl/dossier/34851/kst-34851-18).

Meer achtergrondinformatie:

  • Op de website van Autoriteit Persoonsgegevens is alles terug te vinden over de AVG.
  • Ik heb een recent artikel gevonden waarin op een heldere manier alles omtrent de AVG duidelijk wordt uitgelegd. Dus wil jij alles nog eens nalezen, kijk dan eens op het artikel “Ben jij al klaar voor de AVG?” op de website van Gonect.
  • Ook op de website van Charlotte’s Law staat veel duidelijke informatie over de AVG, vaak ook met video’s.

1) Veilige website

Wat doe jij als je op de snelweg rijdt en boven de rijbaan staat een matrixbord met daarop grote rode kruizen met de opmerking dat als je rechtdoor rijdt het supergevaarlijk wordt? Juist, dan pak je de eerstvolgende afslag en verlaat je deze weg.

Hetzelfde geldt voor je website: als bezoekers een melding krijgen dat je site NIET VEILIG is dan zijn ze direct weg. En doen ze dus niet waarvoor ze op jouw website zijn gekomen. En dat dat jammer is, is een understatement.

Een veilige website hoort tegenwoordig een SSL certificaat te hebben en via https:// (in plaats van http://) getoond te worden. Met een SSL certificaat wordt de verbinding tussen de computer van je bezoeker en jouw website versleuteld. Hierdoor is het voor potentiële hackers minder makkelijk om de verstuurde data te lezen.

Is een SSL certificaat juridisch verplicht? In de “Handleiding Algemene verordening gegevensbescherming (AVG)” (pdf, 1.981 kB) op de website van de Rijksoverheid, staat op pagina 62 het volgende:

5.8 Aan welke beveiligingseisen moeten mijn verwerkingen voldoen?

De Verordening verplicht u de persoonsgegevens die u verwerkt te beveiligen. U dient hiertoe passende technische en organisatorische maatregelen te treffen, die een op het risico afgestemd beschermingsniveau waarborgen. Deze maatregelen omvatten bijvoorbeeld:

  • pseudonimisering en versleuteling van de persoonsgegevens;

Technische maatregelen zijn bijvoorbeeld het toepassen van encryptie, het opzetten van een firewall of het opslaan van gegevens in beveiligde omgevingen…

Er staat dus niet expliciet aangegeven dat een SSL certificaat verplicht is, maar het is wel de meest “ideale” manier om aan bezoekers te tonen én te bewijzen dat de website authentiek is en dat de verbinding waarover de gegevens worden verzonden veilig en versleuteld is.

Heb je nu nog geen SSL op jouw website, dan wordt steeds vaker de melding getoond aan je bezoekers dat jouw website NIET VEILIG is. Ik heb zelfs begrepen dat dit na 25 mei a.s. sowieso bij alle sites zonder SSL het geval is! Niet zo ‘handig’ dus…

Met andere woorden, heb je nog geen actie ondernomen voor het overzetten van je website op SSL, dan is het raadzaam dit binnenkort alsnog te doen.

Let op: het is niet mijn verantwoordelijkheid; het is jouw eigen beslissing!

2) Privacyverklaring & cookies

Mocht je het nog niet gehoord hebben: je hebt een nieuwe privacyverklaring nodig! Tada…

Vroeger kon je volstaan met een korte melding dat je aan de WBP (Wet Beperking Persoonsgegevens) voldeed. Dat kan dus nu niet meer. Je moet in je nieuwe privacy verklaring veel uitgebreider uitleggen wat je met persoonsgegevens doet.

De bedoeling is dat je privacy verklaring in begrijpelijke taal wordt opgesteld, dus voor iedereen goed te begrijpen is. En de informatie moet transparant en gemakkelijk toegankelijk zijn! Het is niet verplicht om je privacyverklaring op je website te plaatsen, maar het is wel ontzettend handig. Je bent namelijk wèl verplicht om de betrokkene op tijd te informeren, dus direct als ze hun persoonsgegevens bij jou achterlaten. Het gemakkelijkst is dan dat je bijvoorbeeld bij je contactformulier een link maakt naar je privacyverklaring of privacy statement. En in je mailhandtekening, want ook op die manier komen persoonsgegevens bij je binnen.

Ten minste de volgende punten moeten in je privacyverklaring komen staan:

  1. Identiteit van je bedrijf of organisatie en contactgegevens van degene die verantwoordelijk is voor de verwerking van gegevens.
  2. De doeleinden waarvoor de gegevens worden verzameld.
  3. Hoe lang de gegevens worden bewaard.
  4. Dat de betrokkene recht heeft op inzage, rectificatie of het verwijderen van persoonsgegevens. Maar ook het recht op overdraagbaarheid van de gegevens.
  5. Of de verstrekking van gegevens een wettelijke verplichting of een noodzakelijke voorwaarde is om een overeenkomst af te sluiten en wat de gevolgen zijn als de gegevens niet worden verstrekt.
  6. Als er sprake is van geautomatiseerde besluitvorming of profilering, dan moet worden vermeld waarom dit gedaan wordt en wat de verwachte gevolgen daarvan zijn.
  7. Als er overige partijen zijn die de gegevens ontvangen, dan moet dat worden vermeld.
  8. Dat men recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP).

Omdat al deze gegevens voor ieder bedrijf of organisatie anders zijn, kun je niet (meer) volstaan met eenzelfde tekst op iedere website. Je zult echt je eigen bedrijf onder de loep moeten nemen en goed moeten bedenken wat voor jou van toepassing is.

Gratis tool

Na wat zoekwerk, vond ik op de overheidswebsite Veilig internetten.nl een gratis tool om een privacy verklaring te maken die voldoet aan de nieuwe privacy wetgeving, die voor je bezoekers begrijpelijk is en die zo goed mogelijk is toegespitst op jouw bedrijf (je moet nog wel hier en daar wat gegevens aanpassen en/of toevoegen).

Om jezelf alvast een beetje voor te kunnen bereiden zal ik aangeven welke vragen tijdens het stapsgewijze proces allemaal aan bod komen. Let wel: het kan zijn dat het hier en daar iets anders loopt dan bij mij. Dat komt dan vooral omdat voor jouw bedrijf andere zaken gelden dan voor mij. Maar de grote lijnen zullen kloppen. De vragen zijn als volgt:

  1. Vul de naam van het bedrijf in.
  2. Spreek je mensen aan met u of jij?
  3. Verwerk je persoonsgegevens?
  4. Zo ja, welke persoonsgegevens verwerk je?
  5. Verwerk je bijzondere en/of gevoelige persoonsgegevens?
  6. Zo ja, welke gevoelige persoonsgegevens verwerk je?
  7. Met welk doel en op basis van welke grondslag verwerk je persoonsgegevens?
  8. Neemt jouw bedrijf besluiten op basis van geautomatiseerde verwerkingen over zaken die (aanzienlijke) gevolgen kunnen hebben voor personen?
  9. Hoe lang bewaar je persoonsgegevens?
  10. Deel je persoonsgegevens met derden?
  11. Gebruikt je website cookies?
  12. Op welke wijze bied je klanten de gelegenheid hun rechten uit te oefenen?
  13. Hoe beveilig je persoonsgegevens?
  14. Daarna vul je je bedrijfsgegevens in.

Je ziet nu de privacy verklaring die op basis van de door jou ingevulde gegevens is gegenereerd. Deze kun je downloaden als .txt of als .pdf bestand en je kunt hem aan jezelf laten mailen als je wilt.

Je nieuwe privacyverklaring is nog niet helemaal klaar

Zoals ik al eerder aangaf, staan in deze privacy verklaring nog een paar gegevens die je nog moet aanpassen (bijv. of je wel/niet aan geautomatiseerde besluitvorming doet). Verder moeten er nog wat gegevens worden aangevuld (bijv. hoe lang je persoonsgegevens bewaart). Dat wordt ook duidelijk aangegeven. Ook zul je mogelijk “wij” en “ons” moeten of willen aanpassen naar “ik” en “mijn”.

Nog even het volgende. Je hoeft je privacy verklaring niet per se door een jurist te laten controleren, maar twijfel je aan jouw privacy verklaring dan is het misschien raadzaam dit wel te doen. Een speurronde op internet leert mij dat daar veel verschillende opties en mogelijkheden voor zijn èn veel verschillende prijzen. De keuze is aan jou.

Overige verklaringen

Je privacy verklaring moet duidelijk gescheiden worden van de algemene voorwaarden of andere verklaringen op je website zoals een disclaimer of copyright statement. Het beste is dus om hier aparte verklaringen voor te maken die je ieder op een eigen pagina op je website plaatst.

3) Verwerkersovereenkomsten

Het kan goed zijn dat je nog nooit van gehoord hebt van een verwerkersovereenkomst (ook wel Data Processing Agreement (DPA) genoemd), maar na de invoering van de AVG ga je dit woord vast nooit meer vergeten 😉

Wat is een verwerkersovereenkomst en waar heb je het voor nodig?

Als je andere partijen inschakelt waarbij verwerking van persoonsgegevens aan de orde is, dien je met deze organisaties een verwerkersovereenkomst af te sluiten. Bijvoorbeeld met het bedrijf dat je boekhouding verzorgt. Een paar voorbeelden van soorten bedrijven waar je in relatie tot je website mee te maken kunt krijgen:

  • Het bedrijf waarmee je nieuwsbrieven verstuurt: mensen melden zich aan voor jouw nieuwsbrief en hun persoonsgegevens worden daarmee op de server van jouw leverancier opgeslagen.
  • Je hostingbedrijf: op hun servers worden bijvoorbeeld persoonsgegevens opgeslagen die via jouw website binnen komen.
  • Of een bedrijf dat je gebruikt voor online opslag van jouw bestanden/data, bijvoorbeeld wanneer je een backup systeem ‘in the cloud’ hebt. Nota bene: Als je in de cloud werkt bij de grote aanbieders (bijvoorbeeld Google, Microsoft) dan word je data waarschijnlijk buiten Europa opgeslagen. Je bent dan verplicht te onderzoeken of de vereiste contracten zijn gesloten en of deze partijen gecertificeerd zijn.

Je mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Maar let op: als je de gegevensverwerking door een verwerker laat uitvoeren, dan ben je nog steeds zelf verantwoordelijk voor de naleving van de Algemene verordening gegevensbescherming (AVG).

Met een verwerkersovereenkomst sluit je uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken.

Wat moet er in een verwerkersovereenkomst staan?

In de overeenkomst leg je onder meer het volgende vast:

  • Het onderwerp en de duur van de gegevensverwerking.
  • De aard en het doel van de gegevensverwerking.
  • Het soort persoonsgegevens.
  • De categorieën van betrokkenen.
  • De rechten en verplichtingen van de verwerkingsverantwoordelijke.

Ga dus na met welke bedrijven jij samenwerkt die persoonsgegevens opslaan van jouw relaties en sluit daar een verwerkersovereenkomst mee af.

Tip! De meeste bedrijven waarmee je op deze manier samenwerkt hebben natuurlijk ook met de AVG te maken. Omdat zij veel klanten hebben waarmee ze allemaal zo’n overeenkomst moeten afsluiten, hebben zij vaak al een verwerkersovereenkomst liggen of zijn er druk mee bezig deze op te stellen. Vraag dit bij hen na en dan is dit waarschijnlijk redelijk snel ‘gepiept’.

Conclusie

Ik wil het niet bagatelliseren want het is zeker een ‘ding’, maar als je er even voor gaat zitten is het best te overzien. En ik neem aan dat je zelf ook waarde hecht aan jouw eigen privacy en ook niet wilt dat jouw persoonsgegevens ‘op straat’ komen te liggen?

Vergeet niet:

  1. dat jouw website veilig moet zijn,
  2. dat je een nieuwe privacyverklaring moet hebben, die je bij voorkeur op je website publiceert en
  3. dat je verwerkersovereenkomsten afsluit met alle betrokken partijen.

Let wel, ik ben geen jurist, dus je kunt geen recht ontlenen aan de inhoud van mijn artikel. Het enige dat ik probeer te doen is je wat handvatten meegeven voor wat jou te doen staat!

Ik wens je heel veel succes met de uitvoering van deze actiepunten. Het kost even wat moeite, maar dan heb je ook wat!

Last but not least: zie mijn eigen nieuwe privacyverklaring. Deze wordt nog juridisch gecheckt 🙂

0 reacties

Plaats een Reactie

Wil je op dit artikel reageren?
Hieronder kun je jouw reactie achterlaten!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *