Klaar voor de nieuwe AVG privacywet?

Verwerk je als stichting, vereniging, zzp’er, MKB of groot bedrijf persoonsgegevens van mensen? Lees dan zeker dit artikel! Vanaf 25 mei is de Algemene verordening gegevensbescherming, ofwel AVG privacywet van toepassing en dat gaat grote gevolgen hebben voor iedereen die gegevens opslaat van klanten, websitebezoekers of andere betrokkenen.

We zitten momenteel in een overgangsperiode, want eigenlijk is de wet in mei 2016 al in werking getreden. Alleen 25 mei aanstaande zal iedere organisatie moeten voldoen aan deze wet.

Wat is de AVG privacywet?

De Algemene verordening gegevensbescherming (AVG) is vanaf 25 mei de opvolger van de Wet bescherming persoonsgegevens (Wbp). Het is een Europese privacywetgeving en veel strenger dan de Wpb. De AVG zorgt voor versterking en uitbreiding van privacyrechten van klanten en bezoekers en stelt meer verantwoordelijkheden aan organisaties.

Met de privacywet moet je aan je klantenkring of achterban, van wie je mogelijk persoonsgegevens registreert, aangeven op welke grondslag je de gegevens verzameld. Dit kan zijn op basis van de volgende gronden:
• Toestemming van de gebruiker
• Vitale belangen (bijvoorbeeld ziekenhuizen)
• Wettelijke verplichting
• Overeenkomst
• Algemeen belang
• Gerechtvaardigd belang

Kort samengevat; het moet voor betrokkenen duidelijk zijn welke gegevens je van hen verzameld en met welke grondslag. Je mag dan ook niet meer gegevens verzamelen dan strikt nodig.

Stappenplan

Autoriteit Persoonsgegevens heeft een lijst van de belangrijkste 10 stappen opgesteld om je voor te bereiden op de AVG. Deze lijst kun je hier downloaden. Zelf vatten wij ze nog eens voor je samen.

Stap 1: Bewustwording
Zorg dat alle relevante personen op de hoogte zijn van de nieuwe regels. Zij moeten weten wat voor effect de nieuwe wet heeft op de verwerking van goederen of diensten. En om maar even te waarschuwen zodra je persoonsgegevens verwerkt, al is het maar via een simpel contactformulier of door het sturen van nieuwsbrieven, zul je dit kenbaar moeten maken op je website.

Stap 2: Recht van betrokkenen
In de nieuwe wetgeving krijgen de betrokkenen meer rechten over de persoonsgegevens die u verwerkt. Denk daarbij op ‘recht op inzage’ of het ‘recht op correctie en verwijdering’, maar ook op nieuwe rechten zoals het ‘recht op dataportabiliteit’ ofwel ‘recht op overdragen van gegevens’. U moet dus inzicht kunnen geven in de gegevens die u verzameld van uw betrokkenen.

Stap 3: Overzicht verwerkingen
Zorg dat je jouw gegevensverwerking in kaart hebt, documenteer de persoonsgegevens die u verzameld en met welk doel u dit doet. Daarnaast kijk ook goed waar ze vandaan komen en met wie u ze deelt. Je hebt onder de nieuwe AVG dan een verantwoordingsplicht. Mocht een betrokkenen bij jou de gegevens willen verwijderen, dan moet je dit ook doorgeven aan organisaties met wie je de gegevens hebt gedeeld.

Stap 4: Data protection impact assessment
Onder de AVG moet je verplicht vooraf je privacyrisico’s van de gegevensverwerking in kaart brengen. Dit zodat je snel maatregelen kunt treffen en risico’s kunt verkleinen op data lekken. Komt uit je controle dat je een hoog risico hebt op verlies van data, dan moet je met de Autoriteit Persoonsgegevens overleggen hoe je dit kunt aanpakken.

Stap 5: Privacy by design & privacy by default
Met ‘Privacy by design’ bereiden we onszelf voor dat alle producten en diensten qua persoonsgegevens goed beschermd zijn. Bij ‘Privacy by default’ moet je er ook voor zorgen dat je de technische en organisatorische maatregelen hebt genomen, dat je alleen de data verwerkt die strikt noodzakelijk zijn voor het doel dat je wilt bereiken. Bijvoorbeeld: wanneer een klant een bestelling plaatst in een webshop, mag het vinkje van ‘nieuwsbrief ontvangen’ niet automatisch aangevinkt staan, want daar moet een klant afzonderlijk toestemming voor geven.

Stap 6: Functionaris gegevensbescherming (FG)
Onder de AVG moet er verplicht een functionaris zijn die toezicht houdt op het nastreven de beveiliging van alle persoonsgegevens. Bij voorkeur is dit iemand met een IT-achtergrond, die kan checken of alle systemen up to date en optimaal beveiligd zijn.

Stap 7: Meldplicht datalekken
Is er iets fout gegaan, ben je bang dat er gegevens van klanten op straat liggen, dat mag en kun je nu niet meer verzwijgen. Er zijn strengere eisen gesteld, je moet vanaf nu alle datalekken documenteren.

Stap 8: Bewerkersovereenkomsten
Worden de persoonsgegevens van de betrokkenen verwerkt door een bewerker (een externe partij buiten jouw organisatie), dan moet je met hen een overeenkomst afsluiten. Hierin moeten ook zij voldoen aan de nieuwe wetgeving.

Stap 9: Leidende toezichthouder
Dit is een stap die alleen voor de grote jongens van toepassing is. Is je organisatie actief in meerdere EU-lidstaten, dan krijgt de organisatie over alle vestigingen één privacytoezichthouder, ookwel de ‘leidende toezichthouder’ genoemd.

Stap 10: Toestemming
Voor gegevensverwerking heb je in de meeste gevallen toestemming nodig van de betrokkenen. Bekijk goed op welke manier u toestemming vraagt en hoe u dit registreert. Je zult als organisatie of verwerker van de gegevens aan moeten tonen dat de betrokkene toestemming heeft gegeven, dat hoeft de betrokkene niet te bewijzen. Ook moet het voor hen eenvoudig zijn hun toestemming weer in te trekken, dus je mag geen onnodige blokkades maken.

Bron: Autoriteit Persoonsgegevens

Wat moet ik nu doen?

Zorg dat je voor 25 mei het bovenstaande stappenplan hebt doorlopen en op basis hiervan je privacyverklaring update. Het moet dus openbaar bekend zijn welke gegevens je van betrokkenen verwerkt en op welke grond je dit doet. Ook geef je aan hoe lang je de gegevens opslaat. Gelukkig heeft de website ‘veiliginternetten.nl’ en handige tool beschikbaar gesteld om aan de hand van deze stappen te doorlopen een actuele privacyverklaring op te stellen. Deze tool kun je hier vinden.

 

Belangrijke vragen

Het is niet niks wat de wetgeving van je vraagt… we snappen dat er dan ook nog vragen op doemen. We hebben er een aantal verzameld, welke elders online zijn beantwoord door externe bronnen. Deze hebben we hieronder gezet. Mochten er nog andere vragen komen, stuur ze op naar info@wjh-ict.nl en wij proberen ze z.s.m. te beantwoorden en aan dit artikel toe te voegen.

Wat valt er onder persoonsgegevens?
Onder persoonsgegevens vallen namen, adressen, telefoonnummers en e-mailadressen. De KvK-gegevens van eenmanszaken en VOF’s zijn meestal ook persoonsgegevens. Wat verandert onder de AVG, is dat een zakelijk doorkiesnummer en zakelijk e-mailadres ook persoonsgegevens zijn. Voorheen zou mijn persoonlijke zakelijke mailadres charlotte@charlotteslaw.nl bijvoorbeeld geen persoonsgegeven zijn geweest, omdat het een e-mailadres is dat bij mijn bedrijf hoort en niet mijn persoonlijke e-mailadres is. Maar onder de AVG zijn ook dit soort gegevens persoonsgegevens. Ook IP-adressen en locatie gegevens vallen onder persoonsgegevens.

Wanneer mag je persoonsgegevens verzamelen?
Allereerst mogen persoonsgegevens alleen verzameld worden als daar een grondslag uit de AVG voor gebruikt kan worden. Vervolgens mogen die gegevens alleen voor een bepaald doel verzameld worden en mogen de gegevens alleen voor dat doel gebruikt worden. Er zijn 6 mogelijke grondslagen: Toestemming van de gebruiker, Vitale belangen (bijvoorbeeld ziekenhuizen), Wettelijke verplichting, Overeenkomst, Algemeen belang en Gerechtvaardigd belang. Geef in je privacyverklaring aan op welke grondslag jouw organisatie de gegevens verzameld!

Met wie moet ik de verwerkersovereenkomst aflsuiten?
In een verwerkersovereenkomst wordt onder meer geregeld waar de verwerker aan moet voldoen en wie waarvoor verantwoordelijk en aansprakelijk is.
Je beseft het misschien niet altijd, maar voor veel zaken die op een computer met de persoonsgegeven gebeuren, worden diensten van derden gebruikt. Staat alles in the cloud? Dan biedt een ander bedrijf waarschijnlijk die serverruimte aan. Zij zullen niets met die persoonsgegevens doen wat jij niet wil (ze zullen er waarschijnlijk niet eens naar kijken), maar ze ‘verwerken’ ze wel door ze voor jou op te slaan op een server. Veel services die meteen ook opslag aanbieden, veel online software bijvoorbeeld, zijn ook verwerkers.

Hoe kan ik mijn gegevens beveiligen en beschermen?
Om te beginnen, zorg dat je website optimaal beveiligd is met de standaarden waar deze bij wet aan moet voldoen. Bijvoorbeeld met een SSL-certificaat. Ook dit laat je terugkomen in de privacyverklaring, de betrokkenen van wie jij gegevens registreert moet weten hoe jij alles beveiligd is. Daarnaast moet ook je computer goed beveiligd zijn. Bijvoorbeeld: heb je geen (goede) virrusscanner, wordt je PC gehackt met daarop privégegevens van klanten, dan ben je strafbaar!

Bron: FrankWatching – Charlotte Meindersma

 

Voorbeelden

Om je nog even uit de twijfels te helpen of de nieuwe AVG wet wel voor jou, je organisatie, stichting of vereniging geldt geef ik nog een paar voorbeelden wanneer de wet van toepassing is.

Voorbeeld 1: Reserveren kaartjes voor een concert
Op het moment dat mensen persoonsgegevens met je delen, gaan ze een overeenkomst met je aan, maar jij moet aangeven welke overeenkomst en waarom jij gegevens nodig hebt. Bijvoorbeeld: Jan wil kaartjes bestellen voor een concert via een simpel bestelformulier, dan hoeft hij alleen de gegevens op te geven die strikt noodzakelijk zijn voor het afhandelen van de bestelling. Als hij wil dat deze gegevens daarna direct weer verwijderd worden, dan heeft hij daar nu alle recht toe!

Voorbeeld 2: Google Analytics
Veel bedrijven gebruiken Google Analytics bezoekers op hun website te volgen op basis van hun browser, locatie, surfgedrag etc. Op basis hiervan proberen zij vaak hun diensten te verbeteren. Dit MOET je aangeven in je privacyverklaring dat je op grondslag hiervan persoonsgegevens verzameld.

Voorbeeld 3: Jarenlang bewaren van gegevens
Je mag vanaf nu niet meer eindeloos gegevens van klanten bewaren. In de privacyverklaring moet je voortaan aangeven over welke periode gegevens bewaard (bijvoorbeeld 2 jaar), welke gegevens je bewaard en met welke doeleinden. Na het verlopen van deze periode moet je de gegevens verwijderen en ook als deze bij een externe verwerkerspartij staan.

 

Ook WJH-Services verwerkt persoonsgegevens, onder andere via Google Analytics, doordat bezoekers zich aanmelden voor de nieuwsbrief of omdat wij met iemand hebben (samen)gewerkt en van wie wij de gegevens verwerken in een CRM. Daarom zullen ook wij tijdig voor 25 mei een nieuwe privacyverklaring publiceren op onze website.

 Deel dit artikel via: