De Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse versie van de General Data Protection Regulation (GDPR) die al sinds 2017 is, geldt maar vanaf 25 mei 2018 echt in zal treden. De Verordening is ontstaan vanuit Europese afspraken over het werven, verwerken, bewerken en verstrekken van persoonsgegevens. De Verordening moet ervoor zorgen dat Persoonsgegevens en het verkeer tijdens de uitwisseling hiervan beter beschermd worden. Organisaties moeten kunnen verantwoorden welke gegevens er verzameld worden, hoe en hoelang deze gegevens worden opgeslagen en voor welk doel de gegevens gebruikt zullen worden. De AVG is van toepassing op alle bedrijven die te maken hebben met persoonsgegevens.

Gegevensbescherming

Het verschilt per bedrijf, branche en website wat u moet doen om met aan de eisen van de AVG te voldoen. Het hangt er voornamelijk vanaf welke soorten persoonsgegevens u verzamelt, gaat het hierbij bijvoorbeeld over heel veel gegevens per persoon of bijzondere gegevens dan wordt van u verwacht dat u hier uiterst voorzichtig mee omgaat. Daarentegen bent u ook verantwoordelijk voor een goede bescherming van de gegevens die u verkrijgt via bijvoorbeeld het contactformulier op uw website.

Gebruikerstoestemming en informeren

Naast gegevensbescherming gaat er ook een hoop veranderen op het gebied van gebruikers toestemming en de manier waarop u ze moet informeren. Zo is het vanaf 25 mei niet meer mogelijk om trackers op uw site te instaleren die activeren voordat de bezoeker hier expliciet toestemming voor heeft gegeven.

Daarnaast moet u in een privacy statement in begrijpbare taal tegen uw bezoeker vertellen welke gegevens u verzamelt, waarom u dat doet, hoelang u deze gaat bewaren en hoe de gebruiker het zeggenschap over zijn eigen gegevens kan gebruiken. De eisen aan het bijhouden en registreren van de zogenoemde gebruikers opt-in worden ook verzwaard. De autoriteit persoonsgegevens wil bedrijven hierdoor opnieuw laten controleren hoe zij toestemming van gebruikers hebben verkregen en hoe zij die hebben geregistreerd.

Misschien heeft u hier al iets van gemerkt omdat veel bedrijven op dit moment mails versturen, cookie meldingen instellen en voorwaarden aanpassen om opnieuw uw toestemming te vragen. Het komt er eigenlijk op neer dat iedereen die op welke manier dan ook persoonsgegevens verzamelt,
dit heel duidelijk aan de gebruiker moet melden.

Zijn er andere bedrijven die toegang hebben tot uw gegevens?

Voor bijna ieder bedrijf geldt dat er andere bedrijven toegang hebben tot uw gegevens, denk hierbij bijvoorbeeld aan uw hosting, boekhouder of boekhoud software, website ontwikkelaar, mail software en advertentie platformen zoals Facebook, Google Adwords en Analytics. U bent vanaf 25 mei verplicht om een verwerkersovereenkomst te sluiten met deze bedrijven. In deze verwerkersovereenkomst maakt u afspraken met de partijen over hoe zij met uw klantgegevens omgaan. Grote platformen zoals Google hebben vaak al een verwerkersovereenkomst die u eenvoudig kunt accepteren via uw account.

Moet ik nog andere maatregelen nemen?

U moet de persoonsgegevens die u verzamelt zo goed als mogelijk beschermen, dit betekent niet dat u alle duurste en nieuwste apparatuur of software moet kopen maar wel dat u naar verhouding voldoende investeert in goede bescherming. Wat in ieder geval wel verplicht wordt is een SSL-verbinding tussen de gebruiker en uw website. U kunt eenvoudig via uw hostingpartij een SSL-certificaat aanvragen. Dat u gegevens moet beschermen geld ook voor gegevens die u offline bewaart, ga voor uzelf na of u klant facturen op een plek bewaart waar niemand erbij kan of dat u ze achter slot en grendel bewaart wanneer u niet op uw werkplek bent.

Functionaris Gegevensbescherming (FG)

Als u met veel of gevoelige persoonsgegevens te maken heeft kan het zijn dat u verplicht bent om een functionaris gegevensbescherming (FG) aan te stellen. De FG is een onafhankelijke professional die de bescherming, verwerking, aanpassing en verzameling van de persoonsgegevens binnen uw bedrijf controleert. De FG kan ingrijpen op het moment dat er binnen het bedrijf niet goed met gegevens om wordt gegaan en hij let bijvoorbeeld op hoe het personeel de gevoelige data behandelt. U kunt ook gebruik maken van een externe functionaris gegevensbescherming.

Privacyrecht

Onder de AVG krijgen personen in de Europese unie meer rechten over hun persoonsgegevens. Zo moet u gebruikers de mogelijkheid bieden om hun inschrijving in te trekken en hun gegevens te verwijderen. De gebruiker moet uw bedrijf kunnen vragen alle gegevens die u over de gebruiker bezit met hem te delen, let hierbij op dat de gebruiker zich wel moet kunnen identificeren. De gebruiker krijgt ook het recht om zijn gegevens mee te nemen naar een ander bedrijf. Naast deze rechten krijgt de gebruiker ook het recht op vergetelheid, dit betekent dat uw bedrijf alle gegevens over die gebruiker moet wissen en dat u hem nooit meer mag benaderen tot de gebruiker uw bedrijf zelf weer benadert.

Werkt uw website al volgens de AVG eisen?

Doe de gratis test via onze testformulier. Na de test krijgt u op maat advies voor uw website.
Voorkom onnodige boetes voor uw website.