AVG: Hoe zit het er ook al weer mee?
Sinds 25 mei 2018 is de wet Algemene Verordening Gegevensbescherming (AVG) voor de hele Europese Unie (EU) van kracht. De AVG wordt in het Engels “General Data Protection Regulation (GDPR)” genoemd. Dit klinkt als ‘oud nieuws’, maar door drukte en andere ontwikkelingen kan het er eenvoudigweg bij in zijn geschoten om hier goed naar te kijken. Daarom deze blog als herinnering. Je vindt in de tekst verschillende linkjes. Deze verwijzen naar de website van de de Autoriteit Persoonsgegevens.
Waar heeft de AVG voor gezorgd?
De AVG heeft onder meer gezorgd voor:
- Dat mensen (particulieren) meer mogelijkheden hebben gekregen om voor zichzelf op te komen bij de verwerking van hun gegevens. De privacyrechten zijn namelijk versterkt en uitgebreid. Denk aan: inzage en recht tot verwijdering van hun persoonsgegevens uit jouw systemen. Kijk hier voor meer info (Je komt op de website van de Autoriteit Persoonsgegevens)
- Als organisatie/ bedrijf heb je meer verplichtingen gekregen bij het verwerken van persoonsgegevens. De AVG legt namelijk meer nadruk op de verantwoordelijkheid van jou als organisatie om aan te tonen dat je je aan de wet houdt. Dit heet de verantwoordingsplicht.
- Dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
Wat houdt de AVG nu in voor jouw bedrijf?
Zorg dat je het volgende aan kunt tonen bij een controle en in je Privacy Statement communiceert op je website:
- Welke persoonsgegevens je vraagt en opslaat. Voor sommige beroepsgroepen, zoals de zorg, heb je ook te maken met aandoeningen en medicatiegebruik. Hier gelden aparte richtlijnen voor. Noem hierbij waar je je patiëntendossiers bewaart.
- Waar sla je de gegevens op? Welke apparaten, welke software. En vergeet niet je papieren administratie.
- Hoe heb je dit alles beveiligd? Als het met een wachtwoord is, zorg dan dat het een uniek wachtwoord is en niet degene die je overal gebruikt. Zorg dat je archiefkast af te sluiten is met een sleutel. Zodra je een afspraak op kantoor hebt, zorg dan dat diegene geen inzage heeft in formulieren op je bureau of openstaande documenten op je beeldscherm.
- Wie heeft er toegang tot de gegevens? Wees je hierbij ook bewust van welk e-mailprogramma je gebruikt, welke clouddienst en denk bijvoorbeeld aan een accountant. Voldoet diegene aan de AVG-eisen? Ga bij externe diensten na of het bedrijf zich binnen de EU bevindt. Die bedrijven dienen namelijk sowieso aan de AVG te voldoen. Jij bent hier de zogenaamde “verwerkingsverantwoordelijke” en je blijft altijd verantwoordelijk voor de persoonsgegevens die je verwerkt. Ook als je dit uitbesteedt aan zogenaamde “Verwerkers”. Ook als verwerker moet je aan bepaalde AVG-regels voldoen. Opdrachtgevers mogen dat ook van je verwachten. Als verwerker moet je een verwerkersovereenkomst hebben. Met een verwerkersovereenkomst kunt je verantwoorden dat je persoonsgegevens mag verwerken en op welke manier. Je kunt je dan beroepen op de grondslag van de verwerkingsverantwoordelijke.
- Betreft je website: hoe ga je om met inschrijvingen voor je nieuwsbrief, weggever of info via je contactformulier?
- Vermeld ook in het Privacy Statement je Cookiebeleid. Het Cookiebeleid plaats je vervolgens ook apart op je website.
Dit is kort wat er in een Privacy Statement moet komen te staan. Op de website www.autoriteitpersoonsgegevens.nl kun je meer informatie vinden. Ook wat er wordt verstaan onder een datalek en hoe je hiermee om dient te gaan.
Checklist voor je website
Om je niet helemaal te laten zwemmen in de informatie en moeilijke materie, volgt hieronder een checklist voor je website, zodat ook deze AVG-proof is.
- Zorg voor een goed leesbaar Privacy Statement, welke duidelijk vindbaar is op je website. Meestal is dit onderaan de homepagina of op alle pagina’s. Gebruik geen moeilijke woorden en niet meer tekst dan nodig.
- Zorg voor goed leesbare Algemene Voorwaarden. Geen moeilijke woorden en ook niet 25 pagina’s.
- Vermeld duidelijk je Cookiebeleid en zorg voor een Cookiemelding. Iedere website maakt gebruik van cookies, namelijk: functionele, analytische en sociale cookies. Het Privacy Statement, Algemene Voorwaarden en Cookiebeleid worden vaak bij elkaar vermeld op een website. Allen dus ook in één oogopslag te vinden.
- Zorg bij inschrijfformulieren voor je nieuwsbrief of voor een weggever dat er een link vermeld staat naar je Privacy Statement met een checkbox (aanvinkbaar vakje). Deze mag nooit vooraf al aangevinkt zijn, maar moet de inschrijver zelf aanvinken. Hierbij geeft hij jou uitdrukkelijk toestemming om de gegevens op te slaan.
- Vaak zijn dit soort inschrijfformulieren bedoeld om e-mailadressen toe te voegen aan je maillijst. Dit mag ook nog steeds, mits je vermeld wat de inschrijver kan verwachten: welke onderwerpen en hoe vaak je nieuwsbrief verschijnt. Deze punten neem je ook op in je Privacy Statement.
- Verder moet je op papier aan kunnen tonen wie, wanneer en waarvoor zich heeft ingeschreven en akkoord heeft gegeven voor het verwerken van persoonsgegevens. Tijdens een onverwachte controle dien je dit te kunnen overhandigen.
- Als je gebruik maakt van een contactformulier op je website, dan gelden hier dezelfde regels voor. Dus: een checkbox met een link naar je Privacy Statement.
- Heb je een webshop zorg dan dat er op de pagina waar de koper zijn gegevens invult, ook weer een link staat naar het Privacy Statement met een checkbox.
- Last but not least: zorg voor een goed SSL certificaat. Dit certificaat zorgt er voor dat derden geen toegang hebben tot ingevulde persoonsgegevens op jouw website. Je herkent een SSL certificaat aan een (groen) slotje in de browser voor je websitenaam. En als antwoord op onderstaande vraag: Je hebt zéker een SSL certificaat nodig als je een contactformulier op je website hebt!
Inmiddels zijn de nodige maatregelen doorgevoerd in systemen, waardoor verschillende aanpassingen voor je bedrijf nu ook eenvoudiger zijn door te voeren. Zeg eens eerlijk: hoe zit het binnen jouw bedrijf? Voldoet jouw website aan de checklist? In alle situaties is het positief wanneer je laat zien dat je de AVG-regels kent en daaraan voldoet.
Kun je wel wat hulp gebruiken bij het instellen van wachtwoorden of het bewaren van al je wachtwoorden op één veilige plek? Wil je meer weten over een SSL certificaat of hoe jij aanpassingen kunt doen aan jouw website? Doe me een berichtje en samen zorgen we er voor dat jouw bedrijf AVG-proof is.