GDPR / AVG – iedereen krijgt ermee te maken

Sbddesign.nl | WordPress websites

GDPR
 
5 april 2018 – Op 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) van kracht. Dit is een Nederlandse verordening die afgeleid is van de Europese GDPR (General Data Protection Regulation). De AVG bestond al langer in Nederland maar vanaf 25 mei 2018 zal deze wet ook gehandhaafd gaan worden.

Wat is de GDPR / AVG?

De GDPR / AVG is een verordening die de bescherming van persoonsgegevens regelt. Burgers krijgen meer zeggenschap over hun gegevens. Ze hebben het recht om hun gegevens in te zien, te wijzigen en te verwijderen. Partijen die gegevens over personen bewaren en verwerken, moeten kunnen aangeven dat ze daar toestemming voor hebben gekregen. Daarnaast moeten ze aangeven dat het bewaren en verwerken op een zo veilig mogelijke manier gebeurt. Om dat te waarborgen gaan zij overeenkomsten (verwerkingsovereenkomsten) aan met partijen die dat voor ze doen. Denk bijvoorbeeld aan hostingbedrijven, MailChimp, mailproviders, en zo zijn er nog vele te bedenken.
Het doel van de GDPR / AVG is privacy regelen. Mensen hebben zeggenschap over hun eigen gegevens en zelfs recht op vergetelheid.

Iedereen krijgt ermee te maken

Wat betekent dit nu concreet voor jou en jouw website? Heb je een bedrijf of instelling dan moet je nadenken of je persoonsgegevens opslaat, welke gegevens dat zijn en waar je dat opslaat. Gegevens opslaan doe je al snel. Als je facturen verstuurt, dan zul je daarvoor namen en adressen nodig hebben. Dit zijn persoonsgegevens. Vaak heb je ook een CRM met namen, e-mailadressen, telefoonnummers etc. Al die gegevens vallen onder de GDPR.
 

En wat moet jij nu doen?

Allereerst moet je in kaart brengen welke gegevens je verzamelt. Op zich is gegevens verzamelen meestal geen probleem. Als je een bedrijf hebt, heb je nu eenmaal gegevens van een klant nodig. Al is het maar om de overeenkomst die je met je klant bent aangegaan, uit te kunnen voeren. Maar je zult je bij elk persoonsgegeven moeten afvragen of je dat ook echt nodig hebt. Bijvoorbeeld vragen naar de geboortedatum als iemand zich inschrijft voor een nieuwsbrief is meestal niet nodig. Tenzij je je klant een kaartje wilt sturen op zijn verjaardag. Wil je dat laatste, dan zul je duidelijk naar je klant moeten zijn en aangeven waarom je bepaalde gegevens vraagt. En je moet voor alle gegevens expliciet toestemming vragen. Wees transparant.

Daarnaast zul je duidelijk moeten aangeven hoe lang je gegevens van je klanten bewaart. Je zou bijvoorbeeld kunnen melden dat je klantgegevens bewaart zolang de overeenkomst met die klant duurt. Zegt de klant of jij de overeenkomst op, dan zijn de gegevens niet meer nodig en zul je ze moeten verwijderen. Of op zijn minst doen binnen een bepaalde tijd na afloop van de overeenkomst. Ook hier weer: geef aan wat je doet, wees transparant.

Je kunt dus nog steeds gegevens vragen, maar vraag toestemming, geef aan waar je de gegevens voor nodig hebt (waarom je het vraagt), en hoe lang je de gegevens bewaart.

Een belangrijk aspect van de GDPR is de zeggenschap van de burger over zijn eigen gegevens. Dit betekent dat ieder op elk moment zijn/haar gegevens kan opvragen, inzien, wijzigen en verwijderen. Natuurlijk is het ondoenlijk om iedere klant toegang te geven tot elk systeem dat je gebruikt. Dat is ook helemaal niet de bedoeling. Maar biedt klanten aan dat ze hun gegevens kunnen inzien en geef aan hoe ze dat kunnen melden. Geef aan dat ze een mailtje kunnen sturen en dat jij dan binnen een bepaalde termijn de gegevens zal toesturen, en dat de klant wijzigingen kan doorgeven of zelf kan aangeven dat de gegevens verwijderd moeten worden.
Belangrijk hierbij is ook dat klanten rechten hebben over de overdraagbaarheid van zijn gegevens. Dus wil een klant niet meer met jou in zee gaan, maar naar een concurrent overstappen, dan kan hij/zij jou vragen de gegevens over te dragen aan die nieuwe partij.

Wat betekent deze wet voor mijn website?

De GDPR / AVG heeft gevolgen voor je website:

–Privacy Statement
Ten eerste zul je een Privacy Statement moeten hebben waarin je precies aangeeft hoe je met de gegevens omgaat. Op de website veiliginternetten.nl kun je een ‘generator’ vinden waarmee je een Privacy Statement kunt maken. Maak je gebruik van derden voor het opslaan van gegevens, dan noem je deze hier ook in (denk bijvoorbeeld als je nieuwsbrieven verstuurd aan MailChimp, etc). Plaats de Privacy Statement op je website en attendeer je klanten daarop.

–Expliciet toestemming vragen voor verwerken van gegevens
Daarnaast moet je je webformulieren nalopen op welke gegevens je daarmee opvraagt. Leg uit waarom je bepaalde gegevens nodig hebt. Wat je met de gegevens doet, etc. Je mag ook verwijzen naar de Privacy Statement. En dan nog een belangrijk punt: vraag toestemming voor het opslaan van de gegevens. Dit kun je doen door een checkbox toe te voegen aan het formulier, dat verplicht aangekruist moet worden voordat het formulier verzonden kan worden. Wil je het helemaal klantvriendelijk doen, geef de bezoeker dan de keuze om ook telefonisch contact met je te nemen, als hij of zij liever niet wil dat gegevens opgeslagen worden. Voor jou zou het zonde zijn om een mogelijke klant te verliezen als deze geen formulier wil invullen, toch?

–SSL-certificaten
Omdat deze verordening gaat over bescherming van persoonsgegevens is het belangrijk dat gegevens ook veilig opgeslagen worden. Klanten geven jou toestemming om gegevens op te slaan, maar geven hackers geen toestemming om deze gegevens te stelen. Daarom zul je er alles aan moeten doen om datalekken te voorkomen. Of in ieder geval moet je je best doen om geen datalekken te veroorzaken. Dat gaat al zo ver dat je je bewust moet zijn dat als je een database/programma met klantgegevens open hebt staan op je computer en je even van je PC wegloopt, dat kwaadwillenden al bij je gegevens kunnen. Of als je gegevens op USB-sticks zet en deze verliest je ook al een lek hebt gecreëerd – of zelfs al als je de stick weggooit nadat je de gegevens gewist hebt. Wees je bewust ervan.
Voor jou als website-eigenaar kun je denken aan een SSL-certificaat. Hiermee worden gegevens over het internet niet meer via het http-protocol verzonden, maar via het beveiligde https-protocol. Dit zorgt er voor dat gegevens bijvoorbeeld van een formulier niet meer makkelijk door kwaadwillenden zijn af te tappen.

–Cookies
Persoonsgegevens kunnen door websites ook in zogenaamde Cookies opgeslagen worden. Dit zijn kleine bestandjes die op je computer worden gezet met gegevens over je webpaginabezoeken. Dit kunnen allerlei soorten gegevens zijn. Cookies worden vaak gebruikt om bij te houden wat iemand bezoekt, waar zijn/haar interesses liggen. Ze worden voor online marketing doeleinden gebruikt. Ook deze bestandjes vallen onder de GDPR / AVG. Dit omdat het mogelijk is om met deze gegevens i.c.m. persoonsgegevens tot profilering over te gaan.
Maak je gebruik van Cookies op je website, dan moet je de bezoeker toestemming vragen voor het plaatsen daarvan. Je moet aangeven welke cookies je gebruikt en waarvoor deze dienen. Toestemming vragen kan met de bekende Cookie-meldingen. (Overigens is het mogelijk om Google Analytics zo in te stellen dat je dat zonder toestemming mag gebruiken. In dat geval worden er geen persoonsgegevens opgeslagen.)

Wat gebeurt er als je je niet aan de GDPR houdt?

Als eerste zult je een waarschuwing ontvangen. Geef je daar geen gehoor aan, dan wordt je berispt. Heeft dat nog geen effect, dan volgt opschorting van gegevensverwerking. En als laatste sanctie wordt er een geldboete opgelegd tot € 20 miljoen of 4% van de wereldwijde jaaromzet. Zo’n vaart zal het bij de kleinere ondernemers waarschijnlijk niet lopen, mits je goede wil en inzet toont. Maar schend je willens en wetens de privacy-regels, dan zul je ongetwijfeld echt in de problemen komen!

Verder lezen

Enkele handige links over dit onderwerp:

Hulp nodig bij het aanpassen van je website voor de GDPR?

Social media

   

© 2007-2019, Sbd design, Hilversum.   |  
Algemene voorwaarden   |  
Privacy Statement