Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden. De AVG wet geldt voor de gehele EU maar is voor veel mensen nog steeds onduidelijk. Natuurlijk is het zo dat de AVG zich vooral richt op misbruik van data. Dit speelt veelal bij zeer grote bedrijven. Maar uiteraard wil jij als ondernemer er ook voor zorgen dat jouw website aansluit op de wetgeving. Bovendien wil je je bezoekers een veilig gevoel geven en datamisbruik voorkomen. Daarom zullen wij een aantal onderdelen uitlichten die belangrijk zijn voor de AVG. We gaan het hebben over de volgende onderwerpen:
- Wat houdt de AVG in
- SSL als basis beveiliging
- Privacyverklaring voor je bezoekers
- Cookies
- Google Analytics
Wat houdt de AVG in?
De AVG heeft gezorgd voor:
- Het versterken en uitbreiden van privacyrechten.
- Dat er meer verantwoordelijkheid komt te liggen bij de organisaties (ook bij kleine ondernemingen).
- Dat de Europese privacy toezichthouders dezelfde bevoegdheden hebben om bijvoorbeeld boetes op te leggen.
De belangrijkste reden voor het ontstaan van de Europese AVG wet is om privacyrechten te versterken. Door de snelle online ontwikkelingen worden deze rechten ook wel eens overschreden en data misbruikt. Voor organisaties ligt voornamelijk de nadruk op verantwoordelijkheid.
Wat is bijvoorbeeld je grondslag om gegevens te verzamelen? Ga je zorgvuldig om met deze gegevens? Zijn de gegevens voldoende beveiligd en kunnen betrokken controle uitoefenen? Deze vier onderdelen vormen eigenlijk de basis voor een goede aansluiting op de AVG. Daarom zullen we ze per onderdeel kort uitleggen.
De grondslag – waarom verzamel je persoonsgegevens
De grondslag is waarom jij persoonsgegevens mag verzamelen. Dit kan dus onder andere zijn bij de volgende situaties:
Wanneer je toestemming van de gebruiker hebt
Als de gebruiker / betrokkene toestemming heeft gegeven tot het verwerken van de persoonsgegevens, is het een rechtmatige verwerking. Voor deze soort grondslag zijn er wel een aantal voorwaarden:
- De toestemming moet ondubbelzinnig zijn
- De toestemming moet vrijelijk gegeven zijn
- De toestemming moet specifiek zijn
- De organisatie moet de betrokkene informeren over de organisatie
- De toestemming moet net zo makkelijk weer in te trekken zijn als dat het was om de toestemming te geven
Wanneer er sprake is van een vitaal belang
Wanneer het een vitaal belang betreft is toestemming niet nodig. Vaak zijn dit situaties waarbij er geen toestemming gevraagd kan worden. Bijvoorbeeld wanneer iemands leven of gezondheid in gevaar is maar niet aanspreekbaar is of mentaal niet in staat is om toestemming te geven.
Wanneer je een wettelijke verplichting hebt
Soms ben je wettelijk verplicht om bepaalde persoonsgegevens te verwerken. Denk bijvoorbeeld aan het verstrekken van gegevens voor de Belastingwet. Op het moment dat er een wettelijke verplichting is, is de verwerking ook rechtmatig.
Wanneer je een overeenkomst hebt gesloten
Wanneer je als organisatie een overeenkomst sluit met een klant kan het noodzakelijk zijn om persoonsgegevens te verwerken.
Wanneer je bijvoorbeeld een product besteld is het noodzakelijk om je naam en adresgegevens door te geven. Immers is het anders niet mogelijk om je product bij jou te bezorgen. Koop je een digitaal product dan zijn deze adresgegevens niet noodzakelijk. Wanneer er sprake is van een digitaal product waarbij je je adresgegevens moet invullen dan moet er een rechtsgeldige toestemming (of andere grondslag moet van toepassing zijn) gegeven worden.
Wanneer er een algemeen belang meespeelt
Wanneer het algemeen belang meespeelt kan dit een grondslag zijn om gegevens te mogen verwerken. De verwerking van deze persoonsgegevens moet wel noodzakelijk zijn om de taak goed te kunnen uitvoeren.
Een voorbeeld hiervan is cameratoezicht in openbare ruimtes. Deze worden gebruikt om de veiligheid van mensen te garanderen. In dit geval is de verwerking van persoonsgegevens dan ook noodzakelijk.
Wanneer er sprake is van een gerechtvaardigd belang
De laatste grondslag is iets ingewikkelder. Wanneer een verwerking van persoonsgegevens aantoonbaar noodzakelijk is om bedrijfsactiviteiten te kunnen uitvoeren is er sprake van een gerechtvaardigd belang.
Een goed voorbeeld is een personeelsadministratie. Hierbij moet er wel altijd goed gekeken worden naar zowel de belangen van de organisatie als de belangen van de betrokkenen.
Zorgvuldig en veilig omgaan met de gegevens
Het is daarnaast belangrijk om zorgvuldig met gegevens om te gaan. Dit houdt in dat verwerkingen bijgehouden worden en de gegevens goed beschermd zijn.
Maak jij bijvoorbeeld gebruik van een Excel sheet om je klantgegevens op je pc bij te houden maar is deze niet voorzien van antivirus? Dan loop je een risico dat jouw klantengegevens bij een infectie zomaar overgenomen kunnen worden. Het is daarom verstandig om programma’s te gebruiken die hiervoor gebouwd zijn, zoals bijvoorbeeld een boekhoudprogramma.
Ook speelt de digitale beveiliging een rol. En deze begint natuurlijk al bij je website, namelijk het SSL certificaat. Hiermee zorg je ervoor dat kwaadwillende geen data kunnen onderscheppen en uitlezen.
Op je website moet je daarnaast ook zorgen voor een privacyverklaring. Hierin staat onder andere waarom je persoonsgegevens verzameld en wat hier mee gebeurt, of een derde partij gegevens verzameld (bijvoorbeeld Google Analytics, Facebook enzovoorts) en de contactgegevens waar een gebruiker contact met jou als ondernemer kan opnemen als ze de gegevens willen inzien, aanpassen of laten verwijderen.
Gebruikers / Betrokkenen moeten controle kunnen uitoefenen
Het recht om controle te kunnen uithouden bestaat eigenlijk uit vijf verschillende mogelijkheden. Zo moet data overgedragen kunnen worden aan bijvoorbeeld de betrokkene of een andere partij waar ze mee verder willen.
Daarnaast hebben ze het recht op informatie. Dat wil zeggen dat jij moet kunnen verantwoorden wat je met de persoonsgegevens doet en waarom je deze nodig hebt.
Een gebruiker heeft ook het recht om zijn gegevens te kunnen inzien. Vanzelfsprekend hebben ze dan ook het recht om hun gegevens te kunnen wijzigen.
Indien een gebruiker je vraagt om de gegevens te verwijderen “vergeten” ben je dit wettelijk verplicht om te doen. Mits er geen zwaardere grondslag van toepassing is. Stel bijvoorbeeld dat je wettelijk gezien bepaalde persoonsgegevens nodig hebt dan kun je je op deze grondslag beroepen.
Privacyverklaring voor je bezoekers
We gaven het al eerder aan dat een privacyverklaring een vereiste is wanneer je persoonsgegevens verzameld. Vaak wordt hier gedacht aan bijvoorbeeld een inschrijving voor een nieuwsbrief. Maar zelfs een simpel contactformulier valt onder het verzamelen van persoonsgegevens.
Daarnaast heb je vaak ook te maken met gekoppelde systemen zoals bijvoorbeeld Google Analytics, Facebook pixel of een Mollie koppeling. Deze systemen verzamelen ook gegevens die jij weer kan uitlezen. Zo zal Mollie een betaling pas kunnen afschrijven wanneer er een rekeningnummer bekend is met een geldige eigenaar. Google Analytics toont je waar je bezoeker vandaan komt, op welke pagina’s deze is geweest en nog veel meer. Een Facebook pixel kan weer gebruikt worden om advertenties te tonen aan bezoekers die op je website zijn geweest.
Dit zijn slechts enkele voorbeelden! Daarom is het belangrijk dat je minimaal altijd het volgende in je privacyverklaring opneemt:
- Waarom verzamel je persoonsgegevens
- Wat gebeurt met deze persoonsgegevens
- Wat is het privacybeleid van een derde partij die persoonsgegevens verwerkt zoals Google en Facebook
- Contactgegevens zodat ze met jou contact kunnen opnemen wanneer iemand zijn gegevens wil inzien, aanpassen of laten verwijderen.
Let op: Wil je 100% zeker zijn dat je privacyverklaring op orde is? Schakel dan een jurist in
Cookies
Cookies is ook een onderdeel waar je rekening mee moet houden. Cookies zijn namelijk kleine tekstbestanden die worden opgeslagen op je computer. Deze worden opgeslagen op het moment dat je een website bezoekt.
Deze cookies zorgen ervoor dat ze gebruikers kunnen onderscheiden. Een goed voorbeeld is wanneer je inlogt bij een website. Dankzij een cookie kun je ingelogd blijven terwijl je de website gebruikt.
Behalve functionele cookies zijn er ook tracking cookies. Deze worden vaak gebruikt om een website te verbeteren of om jou gepersonaliseerde advertenties te tonen. Denk bijvoorbeeld aan cookies van Google Analytics en Facebook. Vaak wanneer je een webshop hebt bezocht kom je de webshop ook tegen op Facebook of in Google. Dit is dus het werk van tracking cookies.
Daarom werken wij met een zogenoemde cookiebanner. Deze kom je waarschijnlijk zelf ook vaak genoeg tegen. Hierin kun je kiezen om alles te accepteren, alles te weigeren of je kunt bijvoorbeeld Google Analytics toestaan maar andere cookies zoals bijvoorbeeld Facebook niet. Hierdoor heeft de bezoeker de privacy zelf in de hand.
Samengevat
Let erop dat je gegevens dus veilig opslaat, ongeacht welke persoonsgegevens je opslaat.
Zorg dat je website uitgerust is met een goede cookiebanner die je bezoekers de mogelijkheid geeft om zelf te kiezen wat gebruikt mag worden.
Zorg voor een privacyverklaring en zorg dat deze makkelijk bereikbaar is op je website. Zelf plaatsen we deze altijd helemaal onderaan in de footer.
Beveilig je website met SSL, niet alleen voor de AVG maar ook voor de algemene veiligheid.
Verzeker jezelf ervan dat je alleen noodzakelijke persoonsgegevens verzameld.