Stappenplan AVG in 9 stappen
De algemene vordering gegevensbescherming (AVG) is een privacywet die ingaat op 25 mei 2018. Dit brengt een flink aantal extra taken met zich mee voor bedrijven. Het maken van een website of bedrijf die helemaal ‘AVG-proof’ is, is niet even makkelijk voor iedereen. Voor degenen die dit nog lastig vinden en niet wijzer worden van alle informatie op het internet, heb ik een overzichtelijk stappenplan AVG gemaakt om jouw website AVG-proof te maken!
Stap 1: Zorg ervoor dat je een wettelijke reden (grondslag) hebt waarop jij de verwerking van persoonsgegevens baseert. In de meeste gevallen is dit het verkrijgen van duidelijke en specifieke toestemming!
Stap 2: Ga op een goede manier met de door jou verzamelde persoonsgegevens om. Grote organisaties zijn verplicht om iemand verantwoordelijk te stellen over de gegevens: een Functionaris Gegevensbescherming (FG).
Stap 3: Zorg ervoor dat de beveiliging van de gegevens op technisch gebied altijd perfect en up-to-date is. Zet ook alle standaard instellingen zo, dat je altijd rekening houdt met het correct verzamelen, behouden en beschermen van persoonsgegevens. Grote organisaties zijn verplicht om een Data Protection Impact Assessment (DPIA) test te doen voor extra beveiliging.
Stap 4: Houdt een goed beveiligd register bij met alle verzamelde persoonsgegevens. Wanneer de Autoriteit Persoonsgegevens jouw register op ieder gewenst moment wilt inzien, ben je hiertoe verplicht.
Stap 5: Schrijf je privacy beleid in een duidelijke en makkelijke geschreven taal. Hierin leg je uit welke gegevens je verwerkt, van wie, waarom en nog een aantal verplichte zaken. Verder in dit artikel lees je wat er precies in een privacy beleid moet staan.
Stap 6: De personen waarvan jij gegevens verwerkt krijgen meer rechten. Zorg ervoor dat je altijd kunt voldoen aan de eisen van deze personen. In het kort hebben zij altijd het recht om eigen gegevens in te zien, te wijzigen en te verwijderen. Meer informatie over deze rechten lees je later in dit artikel.
Stap 7: Heeft jouw bedrijf een website en maak je gebruik van cookies? Schrijf een duidelijk en in makkelijke taal geschreven cookiebeleid (linkje naar cookiebeleid kopje) . Je mag bezoekers niet meer verplichten om cookies te accepteren (behalve functionele cookies). Cookie Walls mogen de bezoeker niet meer belemmeren om jouw website te bekijken.
Stap 8: Je hebt altijd een meldplicht bij datalekken. Geef (mogelijke) datalekken dus altijd door aan de Autoriteit Persoonsgegevens.
Stap 9: Om goed voorbereid te zijn op de nieuwe privacywet raad ik je aan om naast deze stappenplan AVG, ook even de tijd te nemen voor dit artikel en deze goed door te lezen. Het artikel is zo makkelijk en duidelijk mogelijk geschreven, zodat jij straks weet of je klaar bent voor de nieuwe AVG op 25 mei.
Wanneer mag je persoonsgegevens verwerken?
Zoals in het stappenplan AVG als is genoemd, mag je vanaf 25 mei geen persoonsgegevens meer verwerken zonder dat je daar een grondslag voor hebt. Een grondslag is met andere woorden de wettelijke reden die jij hebt om in dit geval gegevens van iemand te mogen verwerken. Hieronder leg ik je de grondslagen uit. De meest toegankelijke grondslag is de eerste: toestemming van de gebruiker.
Toestemming is het woord dat centraal staat in de AVG.
Toestemming van de gebruiker
Het verkrijgen van toestemming moet aan de volgende eisen voldoen:
- Vrijelijk toestemming geven:
De gebruiker/bezoeker mag niet onder druk zijn gezet om toestemming te geven. Dit houdt ook in dat de gebruiker niet benadeeld mag worden als hij/zij niet toestemt. Het mag dus niet meer zo zijn dat de gebruiker alleen bevoorrecht wordt wanneer hij/zij de persoonsgegevens verstrekt. Een machtsverhouding kan mogelijk van invloed zijn op het toestemmen, houd er rekening mee dat dit ook geen reden tot toestemming mag zijn.
- Ondubbelzinnigheid:
Het moet duidelijk en helder zijn dat er toestemming is gegeven. Zwijgen betekent dus in geen geval dat de gebruiker toestemt. Dit betekent bijvoorbeeld dat een vooraf ingevuld vakje niet geldt als toestemming. De toestemming moet een duidelijke actieve handeling zijn, zoals een mondelinge of een (digitale) schriftelijke verklaring.
- Geïnformeerd:
Informatie moet eenvoudig, begrijpelijk en in een aantrekkelijke vorm aangeboden worden. De gebruiker moet geïnformeerd zijn over 1) de identiteit van jouw organisatie 2) het doel van elke verwerking waarvoor toestemming wordt gevraagd 3) het recht dat de gebruiker heeft om de toestemming weer in te trekken 4) welke persoonsgegevens je verzamelt en gebruikt.
- Specifiek:
Toestemming moet voor een specifieke verwerking en een specifiek doel gelden. Het is bijvoorbeeld niet de bedoeling dat iemand zich inschrijft voor informatie over de huizenmarkt, maar vervolgens informatie ontvangt over schoonheidssalons. Wanneer de toestemming geldt voor verschillende doeleinden, moet de gebruiker hierover ingelicht zijn en moet er voor ieder apart doel toestemming zijn gegeven.
- Intrekken van de toestemming moet gemakkelijk en altijd mogelijk zijn
- Je moet kunnen aantonen dat de toestemming is verkregen volgens al deze eisen, pas dan heb je geldige toestemming gekregen.
Toestemming van kinderen
Kinderen jonger dan 16 jaar geeft de AVG extra bescherming, omdat zij de risico’s van gegevensverwerking mogelijk nog niet goed kunnen inschatten. Jongeren onder de 16 jaar moeten daarom toestemming hebben van een ouder/verzorger.
Aantonen dat je geldige en juiste toestemming hebt verkregen
Wanneer je verwerkingsverantwoordelijk bent, ben je verplicht om te kunnen aantonen dat je geldige toestemming hebt verkregen op basis van de grondslag. Je hebt dus een verantwoordingsplicht tegenover de Autoriteit Persoonsgegevens. Je moet kunnen aantonen dat elke verwerking voldoet aan:
- Rechtmatigheid à bijvoorbeeld: hoe en waarom heb je de gegevens verkregen?
- Transparantie à bijvoorbeeld: ben je duidelijk en specifiek geweest over de toestemming?
- Doelbinding à bijvoorbeeld: is er toestemming gegeven voor specifieke doeleinden?
- Juistheid à bijvoorbeeld: is het nodig dat je de gegevens bewaard en hoe lang bewaar je ze?
Ook moet je kunnen aantonen dat je (technische en organisatorische) maatregelen genomen hebt om alle persoonsgegevens van de gebruiker te beschermen.
Vitale belangen
Een vitaal belang is een belang dat essentieel is voor iemands gezondheid of leven. Het kan bijvoorbeeld in acute, levensbedreigende situaties van belang zijn om van iemand persoonsgegevens te ontvangen. In zo een geval staat gezondheid voorop en hoef je die persoon niet persé om toestemming te vragen.
Anderen toegang geven tot iemand persoonsgegevens op basis van vitale belangen mag dus in ‘noodgevallen’. Wel mag dit dus alleen in een acute situatie, waarbij je de verweking niet op een andere rechtsgrond kan baseren.
Wettelijke verplichtingen
Je kunt het inzamelen van gegevens baseren op deze grondslag wanneer de verwerking van deze gegevens noodzakelijk zijn om aan een wettelijke verplichting te voldoen.
Overeenkomst
Wanneer je een overeenkomst met iemand hebt, die niet gericht is op verwerking van persoonsgegevens, mag je je op deze grondslag baseren mits dit noodzakelijk is.
Stel, jij hebt bijvoorbeeld een webshop. Voor de bezorging van het product moet je de adresgegevens verwerken. Wanneer je hier verder niks mee doet en je de gegevens niet bewaard, hoeft je klant niet geregistreerd te worden. Wil je daarnaast ook nog persoonsgegevens gebruiken om iemands koopgedrag te zien? Dan moet je ook hiervoor een rechtsgeldige toestemming hebben en dit kunnen aantonen.
Algemeen belang
Wanneer je een publieke taak voor het algemeen belang of voor openbaar gezag uitoefent, kun je je beroepen op deze grondslag. Wel moet de verwerking van de gegevens noodzakelijk zijn om deze publieke taak te kunnen uitvoeren.
Een voorbeeld van het beroepen op de grondslag ‘algemeen belang’ is wanneer je als gemeente cameratoezicht voor de openbare veiligheid plaatst.
Gerechtvaardigd belang
Wanneer je een oprecht gerechtvaardigd belang hebt en de verwerking noodzakelijk is om dit belang te behartigen kun je gegevens verwerken op basis van gerechtvaardigd belang. Hierbij is wel van groot belang dat je een afweging maakt tussen jouw belangen en die van de persoon waarvan je de gegevens verwerkt. Het belang moet duidelijk en daadwerkelijk aanwezig zijn.
In het kort:
Zorg dat je waar mogelijk altijd toestemming krijgt van de gebruiker. Dit is voor je bedrijf voordelig, omdat je dan gegevens hebt van klanten die gerichte interesse hebben in jouw bedrijf en/of jouw product(en). Let erop dat je altijd vraagt of de gebruiker ouder is dan 16 jaar, of anders toestemming heeft verkregen van een ouder/verzorger.
Toestemming moet vrijelijk verkregen zijn, dus geen vooraf ingevulde vakjes meer! Zorg er ook voor dat de vraag om toestemming duidelijk, specifiek en ondubbelzinnig is. De gebruiker moet de toestemming makkelijk kunnen intrekken.
Het begint aan de keukentafel (zorgvuldigheid)
Functionaris gegevensbescherming
In sommige gevallen kan het zijn dat grote organisaties een functionaris voor gegevensbescherming (FG) moeten aanstellen. Een FG houdt binnen deze organisatie toezicht op de naleving en toepassing van de AVG. Er zijn drie situaties waarin een FG verplicht is:
- Overheidsinstanties en publieke organisaties
- Organisaties die individuen op grote schaal volgen (als kernactiviteit)
- Organisaties die op grote schaal bijzondere persoonsgegevens verwerken (als kernactiviteit). Voorbeelden van bijzondere persoonsgegevens zijn iemands ras, geloofsovertuiging, strafrechtelijk verleden, politieke opvatting of gezondheid.
Wanneer je twijfelt of je verplicht bent om een FG aan te stellen, is het belangrijk dat je je keuze of je dit wel of niet doet, goed kunt onderbouwen.
Privacy by design
Dit houdt in dat je:
- Vanaf het begin (bij het ontwerpen van je product/dienst) al rekening houdt met goede bescherming van persoonsgegevens;
- Dat je niet meer gegevens verzamelt dan nodig is voor het doeleinde/de doeleinden waar je toestemming voor hebt gekregen;
- De gegevens worden niet onnodig lang bewaard;
- Technische en organisatorische maatregelen neemt om ervoor te zorgen dat je alleen noodzakelijke gegevens verwerkt;
- Dus geen vakjes zoals “Ja, ik wil op de hoogte gehouden worden” standaard aan mag hebben staan. Er is alleen toestemming gegeven wanneer de betrokkene het vakje bewust aankruist.
Impact assessment
Organisaties die als gegevensverwerker mogelijk een groot privacy risico opleveren voor de personen waarvan de gegevens zijn, moeten een Data Protection Impact Assessment DPIA uitvoeren. Dat betekent dus dat lang niet alle organisaties en bedrijven dit hoeven te doen.
Wanneer moet het dan wel?
- Wanneer een organisaties uitvoerig en systematisch persoonlijke aspecten evalueert;
- Wanneer een organisatie bijzondere persoonsgegevens op grote schaal verwerkt;
- Wanneer een organisatie systematisch en op grote schaal mensen volgt, in een publiek toegankelijk gebied (zoals het geval is bij bijvoorbeeld cameratoezicht).
Bedrijven waarop deze punten van toepassing zijn kunnen meer informatie vinden over de Data Protection Impact Assessment op de website van de Autoriteit Persoonsgegevens.
In het kort:
De meeste ondernemers hebben geen functionaris voor de gegevensbescherming nodig. Deze ondernemers zijn zelf verantwoordelijk over het omgaan met persoonsgegevens. Wanneer jouw bedrijf op grote schaal en/of gevoelige persoonsgegevens verwerkt, ben je mogelijk verplicht om een functionaris aan te stellen en om een DPIA uit te voeren. Op de website van de Autoriteit Persoonsgegevens vind je hier meer informatie over.
Voor zowel grote als kleine bedrijven is het belangrijk dat jouw website technisch gezien standaard ‘AVG-proof’ is. Dit wil zeggen dat je standaard rekening houdt met het beschermen van persoonsgegevens.
Technische en organisatorische maatregelen (verplichtingen)
Register met alle verwerkingen
Voor de nieuwe AVG is het belangrijk dat er een register wordt gemaakt waarin informatie staat over de persoonsgegevens die je verwerkt. Werken er in jouw organisatie/bedrijf meer dan 250 medewerkers? Dan ben je verplicht een verwerkingsregister op te stellen. Werken er minder dan 250 medewerkers? Dan moet je alleen in de volgende gevallen een register bij houden:
- Wanneer je niet incidentele (dus continue en vaste) gegevens verwerkt van bijvoorbeeld klanten en/of medewerkers. Dit is in bijna alle gevallen zo.
- Wanneer je gegevens verwerkt die een hoog risico inhouden voor de rechten en vrijheden van de persoon.
- Wanneer je gegevens verwerkt die vallen onder de categorie bijzondere persoonsgegevens (gegevens over iemands gezondheid, politieke voorkeur, strafrechtelijke gegevens of godsdienst).
Gegevensbeschermingsbeleid
Om aan de Autoriteit Persoonsgegevens te kunnen laten zien dat je je netjes houdt aan de nieuwe regels, is het verstandig om een bestand te maken met de volgende gegevens:
- Zet in dit bestand welke categorieën persoonsgegevens verwerkt worden (gewone- en/of bijzondere persoonsgegevens;
- Zet in dit bestand waarom je deze persoonsgegevens verwerkt, inclusief de grondslag (lees eventueel de eerste paragraaf van dit bericht nog eens door);
- Zet in dit bestand de manier waarop je voldoet aan de beginselen van verwerking van persoonsgegevens (niet te veel gegevens bewaren en deze ook niet te lang bewaren);
- Zet in dit bestand hoe een gebruiker zijn/haar gegevens kan inzien, kan wijzigen en kan verwijderen.
- Zet in dit bestand hoe de persoonsgegevens zijn beveiligd en welke technische en organisatorische maatregelen er zijn genomen om de gegevens te beveiligen;
- Zet in dit bestand duidelijk hoe lang gegevens bewaard worden en waarom.
Al deze gegevens kun je verwerken in een gegevensbescherming- of privacy beleid. Verderop in dit artikel vind je meer informatie over een privacy beleid (linkje naar privacy beleid kopje). Ook voor je bezoekers is een beleid handig, je hebt namelijk vanaf 25 mei een informatieplicht naar bezoekers waarvan je gegevens verwerkt en naar de Autoriteit Persoonsgegevens. Dit houdt in dat je duidelijk moet zijn over welke gegevens je verwerkt en waarom. Wanneer je je privacy beleid goed op orde hebt, voldoe je aan deze informatieplicht.
Bekijk hier als voorbeeld het privacy beleid van VYZUAL, hopelijk helpt deze jou verder!
Digitale beveiliging
Hoe goed je website beveiligd moet zijn, is uiteraard afhankelijk van het type persoonsgegevens dat je verwerkt. Wat voor risico’s brengt de verwerking van de persoonsgegevens (mogelijk) mee? Hoe persoonlijk zijn de gegevens? Wat gebeurt er wanneer deze (per ongeluk) uitlekken? Dit zijn belangrijke vragen om even bij stil te staan.
Zorg ervoor dat je een moderne beveiligingstechniek gebruikt. Gebruik geen verouderde beveiligingstechnieken. Dit maakt het namelijk makkelijker voor hackers om toegang te krijgen tot de persoonsgegevens. Test met regelmaat of de door jou genomen maatregelen nog goed werken.
In het kort:
Voor vrijwel ieder bedrijf is het nodig om een register op te stellen met informatie over de persoonsgegevens die je verwerkt. Daarnaast is het verplicht, maar ook voor jezelf erg handig om een gegevensbescherming- of privacy beleid (beide zijn hetzelfde) op te stellen. Mocht je dit nog niet gedaan hebben, doe dit dan voor 25 mei 2018! Zorg er ook voor dat je voor die datum een goed beveiligingssysteem hebt om alle gegevens te beschermen tegen een lek.
Mensen moeten controle kunnen uitoefenen
Eigenlijk is dit gedeelte van de AVG vrij simpel. Ieder mens krijgt vanaf 25 mei meer rechten als het gaat om persoonsgegevens. Hierbij geldt dat ieder persoon waarvan jij gegevens verwerkt, op elk gewenst moment:
- De gegevens die worden verwerkt kan inzien;
- Kan vragen waarom die gegevens worden verwerkt;
- Kan vragen aan welke bedrijven zijn/haar gegevens mogelijk worden doorgegeven (ook wanneer dit een internationaal bedrijf is);
- Kan vragen hoe lang de gegevens bewaard worden en waarom;
- Bezwaar kan maken tegen de gegevens die verwerkt worden;
- Een klacht kan indienen bij de Autoriteit Persoonsgegevens over de gegevens;
- Kan eisen dat eventuele onjuiste of onvolledige gegevens worden gewijzigd (let erop dat dit ook aan mogelijke derden doorgegeven moet worden);
- Kan eisen dat de gegevens door jou worden overgedragen naar een andere organisatie.
Ook heeft ieder persoon waarvan jij gegevens verwerkt het recht om vergeten te worden, dit geldt in de volgende situaties:
- Wanneer verwerking van gegevens volgens de persoon zelf niet meer nodig is;
- Wanneer gegevens volgens de persoon zelf voor andere doeleinden worden verwerkt;
- Wanneer de persoon zijn/haar toestemming intrekt;
- Wanneer de persoon een bezwaar maakt tegen de verwerking;
- Wanneer de organisatie of het bedrijf de persoonsgegevens onrechtmatig verwerkt (dus wanneer er bijvoorbeeld geen wettelijke grondslag is);
- Wanneer het (wettelijke bepaalde) bewaartermijn verlopen is;
- Wanneer de persoon jonger dan 16 jaar is en de gegevens via een app of website zijn verzameld.
In het kort:
Ieder persoon waarvan jij gegevens verwerkt heeft op ieder moment:
- Recht op inzage
- Recht op wijzigen
- Recht om vergeten te worden
Een privacyverklaring
Zoals eerder in dit artikel genoemd is het belangrijk om een goed privacy beleid op te stellen voor jouw organisatie/bedrijf. Daarnaast is het belangrijk dat deze goed vindbaar is. Zet je beleid dus indien mogelijk online en zichtbaar op jouw website. Ook kun je het privacy beleid tonen met behulp van subtiele pop-ups op je website. Zorg er dan wel voor dat deze pop-up de mogelijkheid om jouw website te kunnen zien, niet belemmerd.
Dit moet er in de privacyverklaring staan:
- Contactgegevens van de verwerkingsverantwoordelijke (dus degene die verantwoordelijk is voor het al dan niet verwerken van de persoonsgegevens) en de verantwoordelijke over de privacy- en gegevensbescherming;
- Contactgegevens van een (mogelijk aangestelde) Functionaris Gegevensverwerking en anders de gegevens van de verwerkingsverantwoordelijke (het kan zijn dat jij dit zelf bent);
- Welke persoonsgegevens je verwerkt en waarom;
- Welke wettelijke basis er is voor het verwerken van persoonsgegevens;
- Hoe lang je de gegevens bewaart;
- Met welke derde partijen mogelijk de gegevens worden gedeeld;
- Hoe er een klacht ingediend kan worden bij de Autoriteit Persoonsgegevens;
- De manier waarop jij toestemming vraagt voor het krijgen van gegevens;
- Dat betrokkenen hun toestemming altijd mogen in trekken;
- Dat de betrokken hun gegevens altijd mogen wijzigen, inzien, verwijderen of meenemen en hoe zij dit doen.
Klik hier voor de volledig voor de uitgebreide lijst van de Autoriteit Persoonsgegevens.
Klik hier voor het privacy beleid van VYZUAL als voorbeeld!
Een cookiebeleid
De nieuwe AVG heeft ook invloed op het cookiebeleid. Wanneer je cookies gebruikt op je website moet je hiervoor toestemming krijgen, behalve voor de functionele cookies, deze zijn wel verplicht. Deze toestemming dien je ook bij te houden en te bewaren, zodat deze aan te tonen is wanneer dit wordt opgevraagd.
Voor analytische-, statische- en marketing cookies moet er vrijelijke toestemming worden gegeven. Vrijelijke toestemming houdt onder andere in dat er dus geen vakjes van tevoren aangevinkt mogen worden, behalve het vakje voor functionele cookies (deze is verplicht). Daarnaast mag het cookievenster (de cookie wall) of de cookie pop-up niet meer de mogelijkheid wegenemen om de website te bekijken. De website moet dus altijd volledig zichtbaar zijn, ook wanneer er nog niet op OK is gedrukt in het cookievenster.
Je dient de verkregen toestemming voor cookies volgens de AVG te registreren. Dit doe je via een log, waarin je de gegeven toestemming anoniem vast legt. Deze log zorgt ervoor dat je aan kunt geven hoe je aan de toestemming bent gekomen.
Onze diensten
Benieuwd wat wij voor jou kunnen betekenen? Hieronder vind je al onze diensten.
Bedrijfsnaam laten ontwerpen
Logo laten ontwerpen
Huisstijl laten ontwerpen
Grafische vormgeving
Bedrijfsfotografie
Bedrijfsvideo’s
Website laten maken
Webshop laten maken
SEO teksten laten schrijven
Blog laten schrijven
Social Media uitbesteden
Social Media campagne uitbesteden