Lucians-logo

De nieuwe privacywet (AVG)

Op 25 mei aanstaande treedt de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), in werking. En deze geldt voor iedere ondernemer, van ZZP’er tot multinational. Boetes liegen er niet om, deze kunnen oplopen tot 4% van je jaaromzet (of € 20.000.000,-)! Belangrijk dus om op korte termijn ruimte te maken in je agenda om je bedrijf voor te bereiden op de AVG en ervoor te zorgen dat jij aan de eisen voldoet.

Welke persoonsgegevens zijn er binnen je bedrijf?
Inventariseer welke persoonsgegevens en datastromen er binnen je bedrijf aanwezig zijn van je klanten én je medewerkers, maar ook van leveranciers. Breng in kaart met welke leveranciers je allemaal zaken doet, bijvoorbeeld de partij die de loonadministratie verzorgt of de leverancier van je CRM-systeem. Deze inventarisatie is nodig om verwerkersovereenkomsten met deze partijen te sluiten en kan nodig zijn het register voor dataverwerkingen in te vullen.

Breng gegevensverwerkingen in kaart
Onder de AVG heb je een verantwoordingsplicht. Dat houdt in dat je moet kunnen aantonen dat je bedrijf in overeenstemming met de AVG handelt. Documenteer welke persoonsgegevens je verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze eventueel deelt.

Het bijhouden van een register van verwerkingsactiviteiten kan hierbij helpen. In dit register moet o.a. staan welke persoonsgegevens er verwerkt worden, voor welke doeleinden, met wie je ze eventueel deelt en hoe deze gegevens beveiligd worden. Dit register – wat een excelbestand kan zijn – helpt je ook wanneer betrokkenen hun privacyrechten uitoefenen. Als zij je vragen hun gegevens te corrigeren of verwijderen, moet je dit ook doorgeven aan de organisaties waarmee je hun gegevens hebt gedeeld. Als je dit op een overzichtelijke manier in een register hebt verwerkt, gaat dat een stuk makkelijker en sneller. Bovendien kun je, wanneer je hierom gevraagd wordt door de Autoriteit Persoonsgegevens, aantonen dat je handelt conform de AVG.

Verzamel alleen gegevens die je nodig hebt en beveilig deze goed
Wanneer je persoonsgegevens vraagt van iemand, dan mag je alleen díe persoonsgegevens vragen die je nodig hebt voor het doel van de verwerking. Daarnaast mag je de persoonsgegevens niet langer bewaren dan noodzakelijk. Voor aanmelding voor een nieuwsbrief, is een naam en e-mailadres voldoende. Het is niet toegestaan om bijvoorbeeld ook een woonadres of geboortedatum verplicht op te laten geven. Of het vakje ‘Ja, ik wil aanbiedingen ontvangen’ op een website bij bijvoorbeeld een aankoop, dit mag niet standaard aangevinkt staan.

Tot slot ben je verplicht de persoonsgegevens goed te beveiligen en aan te kunnen tonen hoe je dit doet.

Zorg dat je aan kunt tonen hoe je toestemming hebt gekregen
Je moet niet alleen kunnen aantonen dát je toestemming hebt gekregen van betreffende personen dat je hun persoonsgegevens mag verwerken, je moet ook kunnen aantonen hóe. Zorg dus dat je aan kunt tonen aan de hand van welke informatie die aan de betrokkene is vertrekt voorafgaand aan de gegeven toestemming, de toestemming is gegeven. En documenteer het proces op welke manier je toestemming ontvangt en vastlegt. Verwijzen naar een automatische registratie van toestemming door je website, is onvoldoende om geldige toestemming aan te kunnen tonen, de informatie die aan de betrokkenen is vertrekt, ontbreekt dan namelijk.

Daarnaast moeten deze personen net zo makkelijk hun toestemming weer kunnen intrekken.

Wees glashelder
Zorg dat de gebruiker precies weet waar hij toestemming voor geeft. Vraag alleen díe gegevens, die je nodig hebt voor het doel (je hebt geen huisadres van iemand nodig als hij/zij zich aanmeldt voor een nieuwsbrief). Je mag de gegevens alléén gebruiken voor hetgeen de gebruiker toestemming heeft gegeven. Zorg daarnaast dat je de gebruiker ook kenbaar maakt dat hij een klacht in kan dienen over de verwerking van zijn persoonsgegevens bij de Autoriteit Persoonsgegevens.

De eigenaar van de persoonsgegevens heeft recht op:
- informatie
- toegang
- rectificatie
- verwijdering
- restrictie
- verhuizing

Dit moet binnen 1 maand geregeld worden. Bij het ‘recht op toegang’ geldt dat de eerste keer gegevens opvragen, dit kosteloos dient te worden toegestuurd. Bij herhaaldelijk opvragen van gegevens, mogen hier kosten voor in rekening worden gebracht.

De gegevens moeten op voor de gebruiker toegankelijke manier aangeleverd worden. Dat wil zeggen: deze moeten ingezien kunnen worden zonder gebruik van speciale programma’s. Een excel- of .csv-bestand volstaat.

Sluit verwerkersovereenkomsten

Maak een lijst van alle partijen waar jij mee samenwerkt en waar je persoonsgegevens mee deelt/verwerkt of wie dat voor jouw organisatie doet. Dit kan je boekhouder zijn, of personeel dat je af en toe inhuurt, het bedrijf dat de software levert voor je CRM, offertes en/of nieuwsbrieven, maar ook je webbouwer en hostingprovider. Als er nog geen overeenkomst met deze partijen is, zorg dan dat je een verwerkersovereenkomst afsluit.

Voorbeelden van verwerkersovereenkomsten kun je online vinden, bijvoorbeeld deze. Belangrijk is dat de volgende afspraken opgenomen zijn in deze overeenkomst: beveiliging van de gegevens, geheimhouding en hoe om te gaan met datalekken. Neem ook op hoe de verwerker het inschakelen van subverwerker moet aanvragen en neem elke subverwerker expliciet op in de overeenkomst. Denk daarnaast aan het vermelden van wat er gebeurt met de gegevens na afloop van de overeenkomst.

Wanneer je een overeenkomst afsluit met een organisatie, kan de verwerkersovereenkomst daar onderdeel van uit maken en hoeft deze niet persé apart te worden opgesteld. Zorg dat in de hoofdovereenkomst, algemene voorwaarden en/of service level agreement deze verwerkersafspraken opgenomen zijn.

Zorg voor een SSL-certificaat op je website
Zorg dat je website over een SSL-certificaat beschikt en houd de software van je website altijd up-to-date. Neem contact op met je webbouwer of hostingprovider voor een SSL-certificaat. Zij kunnen dit zo voor je regelen. Onderhoud je de website niet zelf, informeer dan bij je webbouwer hoe zij ervoor zorgen dat je website en de achterliggende software up-to-date is en gegevens die via de website worden opgeslagen goed beveiligd. Sluit een verwerkersovereenkomst met je webbouwer én hostingprovider af.

Update je privacyverklaring
Zorg ervoor dat de privacyverklaring, die er mogelijk al is, aangepast wordt aan de nieuwe privacywetgeving. Neem hierin op met welk doel persoonsgegevens verwerkt worden, maar ook hoe de betrokkene zijn bij jou opgeslagen gegevens kan inzien, wijzigen of verwijderen.

De privacyverklaring neem je als aparte pagina op in je website, met een duidelijke link en op de plek waar de gebruiker persoonsgegevens invoert.

In een privacyverklaring moet je aan de bezoekers van je website uitleggen wat je met de gegevens van de bezoeker doet. De privacyverklaring moet makkelijk te vinden zijn, daar waar je om persoonsgegevens vraagt. In een privacyverklaring staat in ieder geval:
- je bedrijfsgegevens
- het doel van de gegevensvastlegging
- welke gegevens je verzamelt
- aan wie je de gegevens eventueel doorgeeft
- hoe lang je de gegevens bewaart
- uitleg over cookies en de reden van gebruik (of verwijzing naar de cookieverklaring)
- de door jou toegepaste beveiliging van de vastgelegde persoonsgegevens
- het recht op inzage, correctie, verwijdering en het meenemen van eigen gegevens (dataportabiliteit)
- het recht op intrekking van verleende toestemming
- het recht om een klacht in te dienen (met link naar Autoriteit Persoonsgegevens)

Cookiemelding / Toestemming vragen voor gebruik van cookies
Je hoeft geen toestemming te vragen voor het gebruik van cookies op je website wanneer de cookies geen of geringe gevolgen hebben voor de privacy van de bezoeker. Dit doe je door Google Analytics privacyvriendelijk in te stellen.
Wordt er met de cookies informatie verzameld over het surfgedrag van individuele bezoekers aan meerdere websites gedurende een langere periode en kunnen deze cookies gebruikt worden om mensen individueel te benaderen? Dan zijn het tracking cookies en moet je vooraf toestemming vragen aan de bezoekers.

Je hebt géén toestemming (meer) nodig voor het plaatsen van functionele of analytische cookies, mits je deze laatste alleen gebruikt om bezoekers te tellen en je de gegevens niet gebruikt om mensen anders te behandelen. Functionele cookies zijn cookies die technisch noodzakelijk zijn om de website goed te laten werken, denk hierbij aan het gebruik van een cookie om de inhoud van het winkelwagentje te onthouden.

Je moet wél toestemming vragen wanneer je op je website Google advertenties toont.

Maak een cookieverklaring waarin je de bezoeker informatie geeft over de soorten persoonsgegevens die je verzamelt en verwerkt met cookies. Geef de bezoeker idealiter de mogelijkheid om aan te geven welke cookies wel, en welke cookies hij geen goedkeuring voor geeft, zie het voorbeeld hieronder:

Cookieinstellingen

Laat je bezoekers weten waarvoor je hun persoonsgegevens verzamelt en verwerkt. Wees hierin zo specifiek mogelijk (‘verbeteren van de dienstverlening’ is onvoldoende specifiek).

Wanneer je tracking cookies gebruikt, denk dan aan:
- bezochte webpagina’s
- IP-adressen
- cookie-inhoud
- referrer-URL
- eventuele overige gegevens die u verzamelt, zoals gegevens over de gebruikte randapparatuur en instellingen van de software op het apparaat.

Informeer bezoekers per cookie over de bewaartermijn.

Voeg een Cookieverklaring pagina aan je website toe en plaats een link naar de cookieverklaring in de footer van je website.
Een goed voorbeeld van een helder cookiebeleid is die van de Consumentenbond

Verwijder inactieve data
Persoonsgegevens van bijvoorbeeld klanten van je webshop, die 6 maanden inactief zijn, ben je verplicht te verwijderen. Maar ook gegevens van oud-medewerkers, sollicitanten of contactpersonen van een leverancier, moeten wanneer niet meer in gebruik verwijderd worden. Voor de fiscus moeten financiële gegevens 7 jaar bewaard worden, maar dat geldt niet voor alle gegevens van betrokkenen.

Check bij je brancheorganisatie en/of de belastingdienst welke gegevens je moet bewaren voor administratie-archivering. Vergeet niet ook de andere personen binnen je organisatie die betreffende persoonsgegevens hebben opgeslagen te verzoeken de data te verwijderen op hun opslagmiddelen.

Houd ook rekening met gegevens die niet gestructureerd bewaard worden, maar wel in een organisatie ‘rond gaan’. Bijvoorbeeld in Outlook folders, excelbestanden aangemaakt als werkbestand, oudere bestanden met data en oudere personeels- en contactgegevens in CRM systemen die eerder gebruikt werden.

Bepaal een beleid en formuleer uitgangspunten die richting geven aan de organisatie.

Geen afzender no-reply@ meer
E-mails die je verstuurt, mogen niet meer van een no-reply e-mailadres verzonden worden. De ontvanger moet op de mail kunnen reageren.

Meld datalekken
Er was al een meldplicht datalekken, maar onder de AVG gelden nog strengere eisen met betrekking tot je eigen registratie van de datalekken die zich in jouw organisatie hebben voorgedaan. Je moet alle datalekken documenteren. Datalekken moet je nog steeds binnen 72 uur melden wanneer het bijzondere persoonsgegevens betreft. Denk aan gegevens over financiële situatie, gebruikersnamen en wachtwoorden, gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene, gegevens die kunnen worden misbruikt voor (identiteits)fraude.

Onder datalekken valt bijvoorbeeld:
- het kwijtraken van een USB-stick;
- de diefstal van een laptop;
- een e-mail met gegevens naar de verkeerde persoon.

Wat doe je met bestaande mailinglijsten?
Stel, je hebt de afgelopen jaren hard gewerkt aan het opbouwen van een klantenbestand. Mag je die klanten dan nog wel mailen, onder de nieuwe AVG wet? Of moet je iedereen nu opnieuw toestemming vragen om de al eerder verzamelde persoonsgegevens verder te gebruiken? Wanneer je dit doet, is de kans natuurlijk groot dat de betrokkenen dit zullen negeren of weigeren en daarmee slinkt je klantenbestand aanzienlijk.

Belangrijk hierin is het element ‘toestemming’. Toestemming moet volgens de AVG blijken uit een verklaring of uit een duidelijke actieve handeling. Alleen een uitdrukkelijke opt-in zal tot een effectieve toestemming kunnen leiden. Anders gezegd, de betrokkene moet zelf aangeven dat hij toestemming geeft tot het verwerken van zijn persoonsgegevens (dit kan door het aanvinken of klikken op een button), het mag niet al standaard aangevinkt zijn.

Wanneer je persoonsgegevens in je bezit hebt op basis van toestemming, mag je de gegevens behouden wanneer de manier waarop de gegevens verkregen zijn voldoet aan de standaarden van de AVG. Dit betekent bijvoorbeeld, wanneer de toestemming werd verkregen door middel van een vooraf aangevinkte box, je opnieuw toestemming moet vragen.

Toestemming is echter niet altijd de belangrijkste rechtsgrond . In het kader van marketing kun je bijvoorbeeld steunen op het gerechtvaardigd belang; de AVG zegt hierover dat de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als een gerechtvaardigd belang. Wanneer je je dus beroept op het gerechtvaardigd belang, moet je kunnen aantonen dat jouw belangen als onderneming bij de verwerking van de persoonsgegevens voor reclamedoeleinden zwaarder doorwegen dan het recht op privacy van de betrokkene.

Naast de AVG wordt binnen afzienbare tijd ook de Europese e-privacywet ingevoerd. Deze bevat ook regelgeving met betrekking tot het gebruik van (bestaande) e-mailadressen en de toestemming voor e-marketing. Eenvoudig gezegd vereist de e-Privacy verordening toestemming via opt-in voor e-marketing, tenzij de persoonsgegevens verzameld zijn in het kader van een (koop)overeenkomst en de betrokkene op dat moment de mogelijkheid had om zich te verzetten (opt-out). Als er nog geen klantrelatie is, mogen de gegevens alleen verzameld worden via een opt-in.

Op basis van de huidige concepttekst van de e-Privacy verordening kan dus worden volstaan met een mogelijkheid tot opt-out of het aanbieden van een recht van verzet om rechtmatig aan e-marketing te voldoen. De elektronische communicatie moet dan wel een ‘gelijksoortige dienst of product’ betreffen en het moet voortvloeien uit een verkoop en dus een bestaande klant zijn.

Meer lezen?

Op de website van de Autoriteit Persoonsgegevens is veel informatie, die ook goed leesbaar is, over de AVG te lezen. Hoewel veel stappen - met name de inventarisatie van je datastromen - voor vrijwel iedere organisatie gelden, is de te nemen actie en het op te stellen beleid maatwerk. Neem hiervoor gerust contact met ons - of een gespecialiseerde (juridische) partij op.