U bent waarschijnlijk nog niet zo bekend met de term AVG of de Engelse variant GDPR. Echter, als website eigenaar worden deze termen wel heel belangrijk voor u! Immers, vanaf 25 mei is elke website eigenaar verplicht zich te houden aan de nieuwe Algemene Verordening Gegevensbescherming (AVG), ook wel bekend onder de GDPR (General Data Protection Regulation).

Ook deze website is op het moment van schrijven (nog) niet helemaal klaar voor de AVG. Echter, voor 25 mei zal deze klaar zijn. In dit artikel gaan we in op de praktische invulling en voorbereiding op de AVG. Tevens bieden we een volledige audit en voorbereiding aan voor uw website.

Sinds 1995 beschermt de Wet Bescherming Persoonsgegevens (WBP) ons tegen misbruik van persoonsgegevens. De wereld is in de afgelopen jaren echter gedigitaliseerd en de wet uit 1995 is inmiddels achterhaald. Om aan te blijven sluiten op de huidige ontwikkelingen die wereldwijd plaats vinden introduceert de Europese Unie daarom de General Data Protection Regulation (GDPR). In Nederland heet deze wet de “Algemene Verordening Persoonsgegevens” (AVG).

Als organisatie moet je consumenten vanaf 25 mei 2018 dus duidelijker informeren over wat er met zijn of haar persoonlijke data gebeurd en wie toegang heeft tot deze data. De consument mag in de nieuwe wet te allen tijde bezwaar maken tegen de verwerking of het gebruik van zijn of haar persoonlijke data. Na een bezwaar mogen de gegevens niet meer gebruikt worden door de organisatie.

Wat moet er voor de nieuwe AVG gebeuren?

Persoonsgegevens bestaan uit de informatie waarmee je iemand hebt geïdentificeerd of waarmee je een persoon kunt identificeren. Als website eigenaar heeft u al gauw met persoonsgegevens van klanten en niet-klanten te maken. Denk maar aan het verzamelen van de naam, het telefoonnummer en het e-mailadres van uw klanten. Daarnaast zijn een IP-adres of locatiegegevens die je kunt uitlezen (via bijvoorbeeld Google Analytics) wanneer een consument uw website via zijn smartphone bezoekt ook persoonsgegevens.

Het verwerken van persoonsgegevens en de bescherming van privacy slaan niet alleen op het doorverkopen van privacygevoelige informatie aan derde partijen; ook het zelf verzamelen, inzien, opslaan of zelfs vernietigen van persoonsgegevens vallen hieronder. De AVG geldt dus ook voor jou als je geen persoonsgegevens doorverkoopt, maar slechts NAW-gegevens verzamelt om je klanten beter van dienst te zijn.

De Wet Bescherming Persoonsgegevens (WBP) regelt al een aantal zaken waaraan u al moet voldoen. Echter, met de introductie van deze nieuwe wetgeving is het goed om even een pas op de plaats te maken en de privacyregels opnieuw te interpreteren en onder de loupe te nemen. De nieuwe AVG bestaat uit een aantal componenten:

• Weten welke gegevens worden opgeslagen en verwerkt
• Het hebben van een privacyverklaring in klare taal
• Het hebben van een verwerkersovereenkomst met iedere entiteit die privacygevoelige data verwerkt en opslaat
• Het recht op vergeten worden
• Pro-actieve communicatie bij databreaches

We zullen al deze punten kort nalopen.

Weten welke gegevens worden opgeslagen en verwerkt

Het eerste wat van belang is, is bepalen welke gegevens opgeslagen en verwerkt worden. Bij een “normale” website zal dit normaliter bestaan uit Google Analytics gegevens en gegevens van klanten die zich op enige wijze registreren (denk aan een nieuwsbrief of een achtergelaten reactie op een artikel). Echter, bij een webshop worden veel meer gegevens geregistreerd, bewaard en verwerkt, zoals adresgegevens en andere voorkeuren.

Nu is dus het moment om door de website heen te gaan en te kijken welke klantgegevens weg kunnen. Heeft deze klant al meer dan een jaar niet besteld, dan kunt u deze beter verwijderen. Ook is het van belang om te verifiëren of deze gegevens veilig zijn. Een SSL certificaat is dus van steeds groter belang. Datzelfde geldt ook voor alle derde partijen waar deze data wordt opgeslagen. Denk hierbij aan uw hostingbedrijf, uw nieuwsbrief provider of uw Google Drive!

Door met de fijne kam door uw website te gaan, zorgt u ervoor dat er minder privacygevoelige data over blijft waar u problemen mee kunt krijgen.

Het hebben van een privacyverklaring in klare taal

Elke onderneming heeft een privacyverklaring nodig. Deze moet minimaal 11 punten bevatten en moet in klare taal en duidelijk weergegeven worden. Heeft u nog geen privacyverklaring? Dan wordt het nu echt tijd. Deze moet duidelijk zichtbaar zijn op de website en in principe bij elke klant communicatie beschikbaar zijn. Bij webshops is het van belang dat de klant deze ook echt kan lezen tijdens het aanmaken van het account.

Het alleen hebben van de verklaring is niet voldoende, u moet er ook naar handelen. Nieuwsbrief vinkjes moeten bijvoorbeeld nu standaard uit staan en uw privacyverklaring moet duidelijk zichtbaar zijn voor uw klanten. Het beste is als zij de verklaring accepteren bij het aanmaken van een account.

Het hebben van een verwerkersovereenkomst

In principe moet er een overeenkomst zijn met elke verwerker van privacy data. Dat is niet alleen je webhost, maar ook andere dienstverleners. Denk aan de nieuwsbriefleverancier, maar ook aan de cloud opslag leverancier of de mailprovider. De meeste hebben al een verwerkersverklaring ingebakken in hun algemene voorwaarden of hun gebruikersovereenkomst en deze zal de komende periode ook aangepast worden. Voorkomen is echter altijd beter dan genezen en het beste is als u contact opneemt met uw leveranciers om dit te bespreken.

Ook zult u een verwerkersovereenkomst van Werkend Webdesign krijgen in de komende periode, omdat ook wij inzage en verwerking doe van privacygevoelige gegevens voor u. Denk aan uw eigen gegevens in ons account, maar ook inzage in bezoekersgegevens van uw websites. Dit zal zal beter geregistreerd en beheerd moeten worden.

Het recht op vergeten worden

Een klant of bezoeker heeft het recht om vergeten te worden. U bent verantwoordelijk voor het vastleggen welke en hoe u die gegevens registreert. Op het moment dat een klant of bezoeker om het wissen van gegevens vraagt, dient u hieraan te voldoen en tevens te bewijzen dat alle gegevens inderdaad gewist zijn. Dit alles dient per omgaande en via email of papier aangetoond te worden.

Dit is nieuw in de privacywetgeving, omdat dit niet goed geregeld was in de wet. Iedereen heeft het recht om zijn of haar gegevens in te zien en te laten verwijderen indien hij of zij dat wenst.

Pro-actieve communicatie bij databreaches

Indien er een databreach plaatsvindt waarbij privacygevoelige data (mogelijk) gelekt is, dient u alle gebruikers van de website pro-actief te informeren. Dit betekent niet alleen een bericht op de website, maar ook een mailing naar alle mensen waar u gegevens van bewaard of verwerkt. Databreaches moeten dan eerst geconstateerd worden, dus is er een mogelijkheid nodig waarbij er controle plaatsvindt op uw website. Wij bieden hiervoor onder andere het Website Security Pakket voor aan.

Er zijn nog meer wetteksten in de AVG, maar dit zijn de meest belangrijke onderdelen van de nieuwe wetgeving.

Niet compliant, boetes!

Ook nieuw in de AVG is de verplichte compliancy. De wetgever is gerechtigd om audits uit te voeren bij elke onderneming die onder AVG valt. En aangezien alle ondernemingen onder AVG vallen, kan iedereen hieronder vallen. De boetes bij het niet voldoen aan de AVG kunnen flink oplopen. De precieze impact en de frequentie van deze audits, de boetekans en de strengheid van de controles is nog niet bekend bij het schrijven van dit artikel en zal ook rond en na 25 mei 2018 nog onduidelijk blijven. Maar feit blijft dat er wel degelijk een controle komt op het naleven van de AVG, in tegenstelling tot de vorige wetgeving.

De AVG Audit

Daarom biedt Werkend Webdesign de AVG Audit aan, een stappenplan waarin wij samen met u een checklist nalopen op basis van alle bovengenoemde punten. Ook leveren wij een standaard privacyverklaring en passen wij uw website aan om zoveel mogelijk conform AVG te kunnen werken.

Veel is er op het moment van schrijven nog niet duidelijk, maar de komende periode zal, in de aanloop naar 25 mei 2018, meer bekend worden vanuit zowel de overheid als vanuit de Website / WordPress community. Wordt dus zeker vervolgd!