mei 23, 2018

AVG

AVG is de nieuwe wet “Algemene verordening gegevensbescherming en gaat in op 25 mei 2018. Deze wet gaat tegelijkertijd gelden voor alle EU landen (GDPR is de Engelse term) en vervangt in Nederland de wet bescherming persoonsgegevens (wbp). Bij het niet naleven van deze wet ben je strafbaar en kunnen boetes worden opgelegd die flink kunnen oplopen.

Wat betekent de AVG voor mijn bedrijf en/of website?

Wanneer je persoonsgegevens verzamelt op je website zoals door een bestelling, contactformulier, nieuwsbrief, ledenadministratie etc. dien je al actie te ondernemen. Je dient ervoor te zorgen dat alle data die je bewaart veilig opgeslagen staat en veilig verwerkt kan worden. Daarbij dien je goed te inventariseren wie bij deze data kan komen en wat zij ermee kunnen doen.

Ook al heb je een kleine website en ben je een kleine zelfstandige, ook dan dien je aan deze wet te voldoen. De nieuwe regels gelden voor iedereen die ook maar iets opslaan aan gegevens en verstrekken naar partijen zoals boekhouder, nieuwsbrief, contactformulier etc..

de eerste stap is de inventarisatie, hiermee laat je bij eventuele controle van de Autoriteit Persoonsgegevens zien dat je deze wetgeving uiterst serieus neemt. Zet dit daarom goed op papier en zorg ervoor dat alle medewerkers deze structuur kennen. Hierin dient minimaal het volgende te staan:

Welke gegevens verzamel je?

  • Op grond waarvan doe je dat?
  • Met welk doel?
  • Hoe lang bewaar je deze gegevens?
  • Wie kunnen er allemaal bij?
  • Welke beveiliging heb je om inbreuk (hacken) te voorkomen?

In de basis mag je alleen gegevens gebruiken met een gerechtvaardigd doel. Deze mogen nooit worden doorverkocht / verhandeld of gebruikt worden voor spam activiteiten.

Welke gegevens vallen onder deze wet? NAW gegevens (Naam Adres en woonplaats, email adres, telefoonnummer, politieke voorkeur, seksuele voorkeur, gezondheidsgegevens, strafrechtelijke gegevens enz…

Verwerkersovereenkomst derden

Een verwerker is een derde partij waar persoonsgegevens naartoe worden gestuurd voor het verwerken in diensten zoals o.a. naar ons als hosting partij.

In deze verwerkingsovereenkomst staan heldere afspraken tussen de 2 partijen dat  de ontvangen persoonsgegevens en data alleen wordt gebruikt met de doelen die de verwerkingsverantwoordelijke heeft gesteld.

Je website AVG klaar maken

Hierbij is de basis regel, wie kan er bij de gegevens komen? Dit zijn externe dienstverleners. Je dient er dus voor te zorgen dat er duidelijke afspraken zijn met de externe dienstverleners (verwerkers) hoe zij hun zaken hebben geregeld, wat zij met de data doen en of deze beveiligd zijn.

Voor je website kunnen dit de volgende partijen zijn:

Webhosting en Domeinnaam registratie
Je webhosting partij heeft in de praktijk toegang tot tot alle gegevens op jouw website.

 Externe ontwikkelaars en beheerders
Je kan hierbij denken aan webdesign bureau, marketing team en ontwikkelaars die jouw website hebben gebouwd en/of beheren.

Backup locaties
Heeft jouw webdesigner backups? Of heb je dit ook extern zoals je eigen netwerk of derde partij. Naast deze basis externe partijen kan je ook denken aan je eigen website, inventariseer al je gebruikte plugins en de impact ervan zoals E-commerce plugins, Contactformulieren, marketing, nieuwsbrief etc…

Met alles wat er in je website gebeurt moet je kunnen verantwoorden waarom je dit gebruikt en verzamelt. Mocht er controle komen dien je dit altijd te kunnen overleggen.

Zijn er diensten die je buiten de EU afneemt, ga dan na of zij voldoen aan deze wetgeving.

Website beveiliging (SSL)

Een SSL certificaat oftewel https:// is eigenlijk wel het grootste gevolg van deze nieuwe wet. Veel websites en webshop hebben nog niet deze beveiliging. Dit is wel verplicht vanaf 25 mei 2018 wanneer je dus persoonsgegevens verwerkt, dit kan dus al een contactformulier zijn.

Wanneer je website in de browser een Groen slotje vertoont dan heeft jouw website een SSL en hoeft je niets meer te doen. Heb je nog geen SSL beveiliging neem dan contact met ons op en dan zullen we samen zorgen voor een passende oplossing.

Begrijpelijk informeren

Informeer je website bezoekers en klanten in helder en transparante tekst wat je verzamelt en wat er mee gebeurt, dit doe je in een Privacy Policy. De ontvangen gegevens dienen altijd ongedwongen te zijn ontvangen.

Wat er allemaal in de privacy policy moet staan kan je in deze blog van Frankwatching vinden

 

Moet ik deze AVG wel zo serieus nemen

JA! dit moet je zeker serieus nemen. Er zullen zeker boetes worden uitgedeeld om een voorbeeld te stellen. Zorg er altijd voor dat je een inventarisatie kan laten zien waaruit blijkt dat je het zeer serieus neemt en open staat om aanpassingen te verrichten zodat je aan alle eisen kan voldoen. Checklist AVG

 

Wij hebben hier kort de hoofdlijnen van de AVG besproken. Wil je verder lezen? Bekijk dan de gedetailleerde informatie van ICTRecht, de Autoriteit Persoonsgegevens en het Ministerie van Justitie en Veiligheid.

 

Let op: Dit is enkel een eigen interpretatie van de huidige regels. Wij zijn geen juridische experts en we raden aan bij twijfel een specialist in te schakelen