Wat is AVG

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De Wet bescherming persoonsgegevens (wbp) geldt niet meer.

De AVG is ook bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Sinds 25 mei 2018 zijn er een aantal dingen veranderd. De AVG heeft er onder andere voor gezorgd:

  • Versterking en uitbreiding van privacy rechten
  • Meer verantwoordelijkheid voor organisatie

Versterking en uitbreiding van privacy rechten
Met de nieuwe AVG wetgeving heeft iedereen de mogelijkheid om voor zichzelf op te komen bij het verwerken van jouw gegevens. Organisaties moeten geldige toestemming krijgen van mensen om hun persoonlijke gegevens te verwerken. Hierbij moet de organisatie ook duidelijk kunnen aantonen hoe deze geldige toestemming is verkregen. Daarbij moet je ook makkelijk te toestemming kunnen intrekken als je deze eerder hebt gegeven.

Meer verantwoordelijkheden voor organisatie
Met de komst van de AVG wetgeving hebben organisaties meer verplichtingen gekregen. Met name bij het verwerken van persoonsgegevens. De nieuwe AVG wetgeving legt de verantwoordelijkheid meer bij de organisaties om aan te tonen dat de wetgeving ook wordt nageleefd.

Wat betekent dit voor jouw website
Elke website moet AVG proof zijn, vooral als jouw website formulieren bevat of waarbij personen de mogelijkheid hebben om kunnen in te loggen. Hierbij verzamel je persoonsgegevens die opgeslagen worden in de database van je website. Hieronder staan 10 stappen die elke organisatie moet doorlopen om te voldoen aan de AVG:

1. Geef aan wat er met persoonsgegevens gaat gebeuren.
Maak een lijst met de persoonsgegevens die je verzamelt voor je website en bedrijf. Persoonsgegevens van websitebezoekers, relaties, medewerkers. Belangrijk om hierbij te vertellen dat gegevens van bedrijven of organisaties niet gerekend worden tot persoonsgegevens.
Daarbij moet je in kaart brengen wat je met de persoonsgegevens doet, ook wel het verwerken van data. Voorbeelden van verwerken van data zijn:

  • versturen van e-mails met de naam van klanten erin;
  • back-up van IP-gegevens van websitebezoekers;
  • verwijderen van ingeschreven mensen uit de nieuwsbrieflijst.

Heb je een WordPress website dan kan het zijn dat je de volgende persoonsgegevens verzameld:

  • Nieuwsbrieven; naam en e-mailadres wordt verzameld
  • Website statistieken; door tools zoals Google Analytics
  • Google Maps; geolocatie van bezoeker
  • Webshops; creditcardgegevens en adressen van klanten
  • Social media pixels; tracking van bezoekers op social media
  • Contactformulieren; data wordt opgeslagen in een database
  • Back-up plugins; data die op je server wordt bewaard, belangrijk om na te denken hoelang dit bewaard gaat worden
  • Foto’s; foto’s van mensen die op de website staan. Foto’s worden ook verstaan onder persoonsgegevens. Daarbij moet aangegeven worden dat deze mensen vrijwillig op je website staan. Gaat het om stockphoto’s dan is het een ander verhaal.

2. Verwerkingsregister.
In een verwerkingsregister schrijf je wat jij met de persoonsgegevens doet. Dit dient als documentatie om aan te tonen dat je volgens de AVG wet voldoet, en het is je verantwoordingsplicht als organisatie. Dit zijn documenten die je intern kunt bewaren. Mocht de Autoriteit Persoonsgegevens deze opvragen dan kan je dit delen. Deze gegevens hoeven namelijk niet online gepubliceerd te worden.

Beschrijf in een word-document

  • Wat is het doel van de verwerking?
  • Welke persoonsgegevens worden verwerkt?
  • Waarom is het nodig om deze persoonsgegevens te verzamelen?
  • Welke partijen hebben toegang tot deze gegevens?
  • Wat is de termijn voor het opslaan van deze persoonsgegevens?
  • Hoe worden deze gegevens beveiligd (bijv. SSL certificaat op je website) ?

3. Zorg voor een duidelijke privacyverklaring.
Na het maken van een verwerkingsregister is de volgende stap op transparant aan te geven welke persoonsgegevens je verzameld en verwerkt in de privacyverklaring. Kortom dit is de informatie die je hebt verzameld in het verwerkingsregister. Je kan hierbij de bezoekers van jouw website informeren via de privacyverklaring. Deze publiceer je op de website en kan je in de header (bovenkant) en/of footer (onderkant) van je website zetten.

Heb je een WordPress website dan is er al een bestaand privacyverklaring template. Deze kan je vinden in je WordPress Dashboard bij instellingen en vervolgens privacy. Vervolgens kan je dit document lezen en aanvullen op jouw situatie.

Cookies
Op het moment dat jij op je website cookies plaatst, dan heb je expliciet toestemming nodig van de bezoeker voordat je de gegevens van de bezoeker verzameld. Een standaard cookiebanner waarbij je aangeeft dat er cookies worden verzameld waarbij de bezoeker akkoord moet gaan om verder te gaan voldoet niet meer.

De bezoeker moet in de cookie instellingen kunnen aanvinken welke cookies hij wel of niet wil hebben. Daarbij moet er een lijst zijn waar wordt aangegeven

  • welke cookies er worden verzameld
  • binnen welke categorie de cookie valt
  • welke cookie van welk platform hoort
  • de geldigheid van cookie

Daarna kan de bezoeker de instellingen opslaan en klikken op accepteren.

4. Zorg ervoor dat personen hun data kunnen inzien, kunnen aanpassen en kunnen verwijderen.
Bezoekers van jouw website moeten de mogelijkheid hebben om hun persoonlijke gegevens in te zien die worden opgeslagen. Zoals eerder gezegd kan het dan gaan om een IP-adres, e-mailadres, login gegevens. Deze gegevens moeten ze naast het kunnen inzien, ook kunnen aanpassen, downloaden, opsturen of juist kunnen verwijderen als ze dat willen.

5. Zorg voor beveiliging.
Zorg ervoor dat niet iedereen bij jouw website kan en dat het goed beveiligd is. Gebruik bijvoorbeeld een two-steps-authenticator om ervoor te zorgen dat alleen jij bij je website kan.

6. Verwerkersovereenkomsten.
Heb je te maken met derde partijen die persoonsgegevens verwerken of opslaan dan moet je verwerkersovereenkomsten sluiten. Bij grote bedrijven waaronder Google voor Google Analytics, hebben dit proces deels geautomatiseerd. Het enige wat jij moet is een vinkje zetten.

Bedrijven die buiten Europa opereren waaronder Google en Facebook voldoen aan de Privacy Shield. Dit is een overeenkomst met Europa dat ze voldoen aan de wetgeving en zorgvuldig omgaan met de data. Dit verwerk je vervolgens in de privacyverklaring.

7. Meld data lekken en blijf up-to-date.
Blijf vervolgens controleren of je niet nieuwe persoonsgegevens aan het verzamelen bent die verwerkt moeten worden in de verwerkingsregister. Heb je een data lek dan moet dit vermeld worden aan de Autoriteit Persoonsgegevens.

Wat gebeurt er als ik de AVG wetgeving niet naleef.
De AVG wetgeving is vrij simpel. Iedereen moet zich er aanhouden. Houdt jij je vanaf 25 mei 2018 niet aan deze punten dan ben je strafbaar. Bij de introductie van de AVG wetgeving zijn bedrijven op hun vingers getikt. Destijds kregen bedrijven nog een waarschuwing indien de AVG wetgeving niet werd nageleefd. Tegenwoordig, anno 2019, krijgen bedrijven boetes.
Daarbij worden er twee categorieën gehanteerd bij een overtreding:

  1. Overtreding op fundamentele verplichtingen
  2. Overtreding op administratief georiënteerde verplichtingen

Overtredingen van de eerste categorie kunnen oplopen tot maximaal €20.000.000, kortom 4% van de wereldwijde omzet. Categorie twee overtredingen kunnen maximaal oplopen tot €10.000.000, 2% van de wereldwijde omzet.