splash image

Algemene Verordening Gegevensbescherming AVG

Ben jij al voorbereid op de nieuwe wetgeving? Op 25 mei 2018 gaat namelijk de Algemene verordening gegevensbescherming in (AVG). In het Engels: General Data Protection Regulation ( GDPR ). Dit kan gevolgen hebben voor jouw website en de manier waarop je persoonsgegevens verwerkt. In deze blog alvast de belangrijkste veranderingen en een aantal actiepunten die je zelf kunt uitvoeren.

Toepassing
De AVG is van toepassing op organisaties die persoonsgegevens (laten) verwerken van EU inwoners en van toepassing op ‘alle informatie over een identificeerbaar persoon’. Dit wil zeggen; Wanneer een persoon met behulp van een (online) identificator geïdentificeerd kan worden. Bijvoorbeeld: Naam, e-mailadres, IP-adres etc.

Actiepunt : Breng de datastromen in kaart; welke gegevens verzamel je allemaal en wat doe je er mee? Denk bijvoorbeeld aan contactformulieren, nieuwsbrief-inschrijvingen, online aankopen etc.

Transparantie
Transparantie is eigenlijk het belangrijkste woord in deze nieuwe wet. De bezoeker moet namelijk te allen tijde geïnformeerd worden over welke gegevens er opgeslagen worden, wat er met zijn gegevens gebeurt en hoelang je deze bewaart. Dit moet opgenomen worden in de privacy statement. Dit is een aparte pagina op je website. Daarnaast heeft de bezoeker recht op inzage en recht op vergetelheid. Dit houdt in dat een websitebezoeker bij jou mag opvragen welke van zijn gegevens je hebt opgeslagen. Jij hebt vervolgens 1 maand de tijd om de bezoeker deze informatie te verstrekken.

Actiepunt: Pas het privacy statement van jouw organisatie aan en bedenk een stappenplan voor als er iemand zijn gegevens opvraagt. Let op: Dit actiepunt geldt voor iedere website.

Toestemming
Een ander belangrijk onderdeel is toestemming geven. Iedere betrokkene moet toestemming geven voor het bewaren van persoonsgegevens en deze toestemming moet uit een actieve handeling bestaan. Dus geen vooraf aangevinkte hokjes meer! Als er toestemming voor meerdere doeleinden wordt gevraagd, moet daar aparte toestemming voor gegeven worden. Daarnaast moet je kunnen bewijzen dat de bezoeker toestemming heeft gegeven en heeft de betrokkene het recht vergeten te worden.

Actiepunt : Ga na of jouw organisatie toestemming vraagt voor persoonsverwerking. Veel voorkomende persoonsverwerkingen zijn contactformulieren, nieuwsbrief-inschrijvingen en webshops. In deze formulieren moet straks een extra hokje komen die aangevinkt moet worden als men akkoord gaat met het privacy statement.

Cookiemelding
Een cookiemelding is alleen nodig als er third-party cookies op je website staan. Dit kan bijvoorbeeld een Facebook pixel of AdWords pixel zijn, maar bij een Youtube video ben je ook al verplicht een cookiemelding te plaatsen. Youtube meet namelijk het kijk-gedrag van Youtube gebruikers die zijn ingelogd.

Google Analytics is zonder cookiemelding toegestaan als:
– De IP-adressen van de bezoekers geanonimiseerd worden.
– Er een gegevensverwerking is getekend met Google (dit kan in de account-instellingen van Analytics.
– De advertentiefuncties zijn uitgeschakeld in de property-instellingen van het Google Analytics account.

Papierwerk
Om volledig aan de nieuwe wetgeving te voldoen, moet je een aantal zaken op papier zetten:
– Stel een verwerkingsregister op. Hierin staat welke gegevens er voor welk doel opgeslagen worden.
– Bedenk welke gegevens er worden doorgeven aan een derde partij. Stel met deze partij een Privacy overeenkomst op.
– Werk je in een (semi) overheidsorganisatie, verzamel je zeer privacygevoelige gegevens of verwerkt jouw organisatie meer dan 50.000 persoonsgegevens per jaar? Stel dan een Privacy Officer aan. Deze persoon is aanspreekpunt van de AVG binnen de organisatie.

Kom je er niet uit? Neem dan gerust contact met ons op zodat we samen tot een passende oplossing kunnen komen. En let goed op, het negeren van de AVG kan hoge boetes opleveren!