Pak je kans & bereid je goed voor op de AVG!

Jordy

AVG… De afgelopen weken het meest besproken woord binnen veel organisaties. Sommige ondernemers liggen er van wakker, anderen zijn volop bezig met het AVG-proof maken van de organisatie en de rest is er al helemaal klaar voor! Toch roept de invoering van het AVG wat vragen op. ‘Wat houdt de AVG precies in? Welke stappen moet ik ondernemen om te voldoen aan de AVG wet? En niet geheel onbelangrijk, hoe blijf ik mijn website, social media kanalen, online campagnes en digitale nieuwsbrief op de juiste manier gebruiken?’ 100% LEIDEN helpt je hierbij met tips & trucs.

Nog even kort… wat is het AVG?

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG zorgt onder meer voor:

  • Versterking en uitbreiding van privacyrechten
  • Meer verantwoordelijkheden voor organisaties
  • Dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders
De AGV in een notendop (pdf)

 

Verplichtingen voor jou als ondernemer

Als je niet aan de wet voldoet, kun je flinke boetes riskeren. Belangrijk om daarom te zorgen dat je aan de verplichtingen voldoet. Maar wat zijn de verplichtingen?

  • Je moet duidelijk zichtbaar een privacyverklaring op je website hebben.
  • Je hebt toestemming nodig van de personen van wie je gegevens verwerkt.
  • Personen van wie je gegevens verwerkt, hebben het recht hun persoonsgegevens in te zien, aan te passen en te verwijderen.
  • Je bent verplicht bewerkersovereenkomsten te hebben met alle bedrijven die voor jou persoonsgegevens verwerken.
  • Je hebt een register nodig met alle verwerkingen. Documenteer welke persoonsgegevens je verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.
  • Zorg voor een gegevensbeschermingsbeleid en (digitale) beveiliging.
  • Personen van wie je gegevens verwerkt, hebben het recht op indienen van een klacht bij de Autoriteit Persoonsgegevens (AP).
  • Je hebt meldplicht bij datalekken, dat doe je bij Meldloket datalekken AP.

100% Stappenplan

Nu het duidelijk is wat de AVG inhoudt en wat de verplichtingen zijn, laten wij je stap voor stap zien wat er nodig is om aan de AVG te voldoen.

  1. Nieuwe privacyverklaring

Zorg voor een nieuwe privacyverklaring. Wat er in een privacyverklaring in ieder geval moet staan?

  • Bedrijfsgegevens
  • Doeleinden: waarom verwerk je de persoonsgegevens?
  • Persoonsgegevens: welke persoonsgegevens verwerk je?
  • Recht van toestemming
  • Recht op inzage, aanpassing en verwijdering
  • Beveiligingsmaatregelen

  1. Privacyverklaring-pagina

Omdat de privacyverklaring duidelijk zichtbaar op de website moet staan, is het noodzakelijk dat de privacyverklaring op een aparte pagina staat. Zorg daarnaast voor een link naar de privacyverklaring in de footer en op elke pagina waar persoonsgegevens worden verzameld.

  1. Google Analytics blijven gebruiken

Achter elke professioneel ontwikkelde website hangt een Google Analytics account om statistieken van de website te verzamelen. Om dit te blijven gebruiken moet er een goede cookiemelding op de website staan. In deze cookiemelding moet te lezen zijn dat cookies pas geplaatst worden als mensen:

  • Actief aangeven dat ze hiermee akkoord gaan (voor remarketing noodzakelijk)
  • Als ze verder navigeren door de website.

  1. Beveiliging regelen

De opslag en verwerking van gegevens moet voor 100% beveiligd zijn. Daarom kom je nu echt niet meer onder een SSL-certificaat uit. Heb je nog geen SSL-certificaat op je website? Regel dit dan snel.

5. Transparant gegevens verzamelen

Wanneer gebruikers persoonsgegevens op je website achterlaten, bijvoorbeeld voor het inschrijven voor een nieuwsbrief (hier geeft de eigenaar van een e-mailadres dus expliciet en aantoonbaar toestemming voor), moet het duidelijk zijn waarom je deze gegevens nodig hebt en hoe je ze gaat gebruiken. Je moet bij het verzamelen van gegevens altijd verwijzen naar de privacyverklaring waarin dit staat vermeld. Wat moet je niet vergeten te beschrijven?

  • Waarvoor iemand zich inschrijft.
  • Hoe vaak er een nieuwsbrief wordt verstuurd.
  • Dat je je op elk gewenst moment kunt uitschrijven.

  1. Het recht om vergeten te worden

Accounts en profielen moeten (zo eenvoudig mogelijk) in te zien, aan te passen of te verwijderen zijn. Mensen met een account bij een website kunnen zelf een aantal gegevens inzien en wijzigen. Hetzelfde geldt voor e-mailvoorkeuren van ons e-mailprogramma. In de privacyverklaring moet je daarom niet vergeten te noteren hoe mensen gegevens kunnen wijzigen of verwijderen.

  1. Zorg voor legale lijsten

Alle e-mail opt-ins moeten worden geregistreerd. Achteraf moet je kunnen aantonen hoe je ze hebt verkregen en waarvoor deze personen precies toestemming hebben gegeven. Kom je op verschillende manieren aan de e-mailadressen? Zorg dan ook voor verschillende lijsten in het nieuwsbrief systeem.

Kun je dat nu niet aantonen? Zorg dan eerst voor een e-mail met daarin een opt-in voor de daadwerkelijke e-maillijst, waaruit je ze vervolgens kunt blijven mailen. Alleen mensen die zich dan actief aanmelden, mag je blijven mailen. Overigens mag je klanten met wie je een betaalrelatie hebt, wel zonder actieve opt-in blijven mailen over soortgelijke producten of diensten.

  1. Hoe lang bewaar je persoonsgegevens?

Eigenlijk mag je persoonsgegevens niet langer bewaren dan noodzakelijk voor het doel van je verwerking. Onder het doel van statistische doeleinden kun je dit termijn vrij lang maken. Statistische doeleinden zijn als je de gegevens gebruikt voor bijvoorbeeld de opbouw van je statistieken of onderzoek. Beschrijf dit wel goed in je privacyverklaring.

  1. Bewerkersovereenkomsten

Je hebt een bewerkersovereenkomst nodig met alle partijen (ja, echt alle partijen) die toegang hebben tot de persoonsgegevens die jij verzamelt. Een vervelend puntje… Je moet dus overeenkomsten sluiten met verschillende bedrijven. De overeenkomst biedt garanties dat de bescherming van de rechten van personen wordt gewaarborgd. Als er problemen ontstaan, kan de verwerker hier verantwoordelijk en aansprakelijk voor zijn.

Nog even voor je nieuwsbrief…

Let nog even op de volgende punten met betrekking tot het versturen van een nieuwsbrief.

  • Zorg dat alle opt-ins binnen je website voldoen aan de eisen die ik in dit blog heb geschreven.
  • Als iemand nog geen 16 jaar is, moet iemand met ouderlijk gezag (mede)toestemming geven.
  • Je mag iemand dus niet meer mailen als hij of zij zich heeft uitgeschreven.
  • Een ‘noreply@’-e-mailadres mag onder de nieuwe wetgeving niet meer. Als je dat nu gebruikt als afzender voor je nieuwsbrieven, dan moet je dat aanpassen naar een adres waar de ontvanger wel naar kan mailen.
  • Alleen iemand naam en e-mailadres vallen onder ‘gewone informatie’ die je mag opvragen. Vraag je op een geboortedatum dan moet je laten weten waarom. Deze dat moet niet verplicht zijn om je aan te melden.

Het AVG team van 100% LEIDEN helpt

Hopelijk helpt deze checklist je bij het AVG-proof maken van jouw organisatie. Heb je nog vragen of wil je meer advies? Laat het ons weten!

Ontvang tips & inspiratie in je mailbox

Schrijf je in voor onze nieuwsbrief

Lees nog meer over dit onderwerp

Inspiratie, tips en trends

Junior Webdeveloper 100% Leiden
Junior webdeveloper (stage)
2 oktober 2023
Lees meer
Social Media Updates Facebook Instagram LinkedIn
Online Communicatie / Content / Marketing Medewerker (stage)
2 oktober 2023
Lees meer
Back To Top