Wat betekent de AVG voor jou?

De AVG en persoonsgegevens

De AVG gaat de bestaande Wet Bescherming Persoonsgegevens vervangen. Een aantal belangrijke wijzigingen zijn het vragen van toestemming, een informatieverplichting en een documentatieverplichting. Met persoonsgegevens wordt bedoeld; alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Informatie is identificeerbaar als deze direct of indirect te herleiden is naar een persoon. Identificatoren zijn een naam, identificatienummer, maar ook betaalgegevens, IP-adressen en locatie gegevens.

Wat betekent dit voor jou?

Heb jij een webshop of bijvoorbeeld een contactformulier waarop sitebezoekers hun gegevens achterlaten? Dan verwerk je persoonsgegevens en is de AVG ook op jou van toepassing. Dit betekent dat je voor 25 mei aan een aantal voorwaarden moet voldoen. Zo moet je nagedacht hebben over de persoonsgegevens die je opslaat en de bewaartermijn daarvan, maar moet je ook kunnen voldoen aan klantverzoeken zoals het inzien van gegevens en het recht op vergetelheid.

De belangrijkste aandachtspunten:

Data minimalisatie
Zorg dat je in kaart hebt gebracht welke gegevens je verwerkt, hoe je deze gegevens verwerkt en welke beveiligingsmaatregelen je neemt. Ook de bewaartermijn is belangrijk; zijn de gegevens niet meer nodig voor het doel dat je hebt omschreven? Dan is het belangrijk dat je deze persoonsgegevens verwijdert.

Toestemming en grondslagen
Zomaar gegevens verzamelen mag niet meer. Je hebt een grondslag nodig om gegevens op te slaan. Voorbeelden van grondslagen zijn een overeenkomst, een wettelijke verplichting of een gerechtvaardigd belang.  Heb jij bijvoorbeeld een webshop, dan heb je een naam en adres nodig om een pakketje te kunnen versturen en valt het verzamelen van deze gegevens onder gerechtvaardigd belang.

Openheid
Er wordt verwacht dat je transparant bent over hoe je persoonsgegevens verwerkt. Omschrijf in begrijpelijke en duidelijke taal welke gegevens je opslaat en voor welke doeleinden je die gegevens gebruikt. Je kunt deze transparantie geven in een privacyverklaring. Hier hoort onder andere in te staan wat het doel en de rechtsgrond is, de bewaartermijn en de rechten van de betrokkene. Dit zijn rechten als inzage, het wissen van gegevens en het aanpassen van de gegevens.

Privacy by Default en Privacy by Design
Met Privacy by Default wordt bedoeld dat de privacy van jouw klanten altijd prioriteit moet zijn. De instellingen van een app, programma, website of dienst horen zo ingericht te worden dat ze maximale privacy geven. Zomaar gegevens opslaan, zoals een geboortedatum of telefoonnummer, mag niet meer als daar geen doel voor is gedefinieerd. Met Privacy by Design wordt bedoeld dat zodra je een nieuw product of dienst gaat ontwerpen, privacy een belangrijk onderwerp moet zijn. Een voorbeeld hiervan is het anonimiseren van persoonsgegevens.

Klantverzoeken
Met de nieuwe wet krijgen klanten meer rechten. Zo hebben zij het recht de persoonsgegevens in te zien, te corrigeren, of te laten verwijderen. Ook hebben zij het recht op bezwaar van het gebruik van persoonsgegevens. Mocht een klant deze verzoeken hebben, dan is het belangrijk dat je hier een procedure voor hebt zoals een inzage protocol en een procedure om gegevens te corrigeren of te verwijderen.

Datalekken en privacy
Elke onderneming moet een procedure hebben die omschrijft hoe je omgaat met datalekken. Ook het veilig omgaan met persoonsgegevens is vereist. Doe dit door bijvoorbeeld een SSL-certificaat te activeren op je website.

To do-lijst voor 25 mei
Voor 25 mei zijn er dus een aantal zaken die je moet regelen. Zo heb je onder andere nodig:

• Een privacyverklaring waarin je in duidelijke en eenvoudige taal informeert over onder meer de doeleinden en rechtsgronden van de verwerking van persoonsgegevens, hoe lang je die gegevens bewaart, het recht op inzage en rectificatie en het wissen van persoonsgegevens.
• Een cookie beleid waarmee je informeert over welke cookies je verzamelt. Voor sommige cookies heb je toestemming nodig. Zet je bijvoorbeeld remarketing in? Dan hoor je voor het plaatsen van deze cookies toestemming te vragen.
• Voor de AVG hoor je verwerkers overeenkomsten af te sluiten met leveranciers van diensten die jij gebruikt. Gebruik je bijvoorbeeld Google Analytics om websitebezoekers te registreren? Dan moet je een verwerkersovereenkomst met Google afsluiten.
• Zorg er voor dat je procedures hebt klaarliggen voor klantverzoeken. Al jouw klanten hebben het recht om informatie te ontvangen over de verwerking van hun persoonsgegevens, te vragen om correctie of te verzoeken dat persoonsgegevens worden gewist als deze niet langer noodzakelijk zijn.
• Zorg dat je website beveiligd is met een SSL-certificaat. Met de komst van de AVG ben je verplicht te zorgen voor een optimale beveiliging van persoonsgegevens. Https is verplicht als je persoonsgegevens opslaat via je website, bijvoorbeeld voor het opslaan van bestellingen of invullen van formulieren.

Yourhosting en de AVG
Zelf hebben we natuurlijk ook de nodige voorbereidingen getroffen om te voldoen aan de AVG. Het kan zijn dat jij ook een verwerkersovereenkomst nodig hebt met ons, bijvoorbeeld als wij een back-up maken van jouw website. Via de algemene voorwaarden ga je akkoord met onze verwerkersovereenkomst.

Meer lezen over dit onderwerp
De AVG is een wet in ontwikkeling. Omdat er nog geen precedent is, staan veel onderwerpen ter discussie. De vertaling van de wet naar de realiteit is daarom lastig. We raden je dan ook aan om regelmatig bij te lezen over de GDPR/AVG. Bronnen die je hiervoor kunt gebruiken zijn onder andere de website van de Europese Commissie en de website van Autoriteit Persoonsgegevens. Tot slot, het doel van dit blog is om de belangrijkste veranderingen en aandachtspunten uit de AVG te schetsen, niet om juridische beslissingen op te baseren. Wij adviseren je om bij juridische beslissingen altijd een expert te raadplegen.