Het gaat om de vernieuwde privacywetgeving voor de hele Europese Unie. In dit artikel zet ik op een rijtje wat deze wet voor kleine ondernemers met een website, mailinglist en social-mediakanalen betekent, wat je (zelf) moet doen en waarmee ik je kan helpen om op tijd AVG-proof te zijn.

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).

Waar gaat het om?

Om als ondernemer te voldoen aan de wet gaat het samengevat om vier dingen: 

  1. wees duidelijk over de persoonsgegevens die je beheert en wie ze kan inzien
  2. vraag toestemming om ze te mogen verzamelen en bewaren 
  3. zorg dat men de gegevens kan laten aanpassen of verwijderen
  4. bewaar de gegevens veilig en niet langer dan nodig

Wees duidelijk

Wees duidelijk over de persoonsgegevens die je verzamelt. 

  • welke gegevens bewaar je? 
  • waarom bewaar je ze? 
  • wat doe je er mee?  
  • hoelang bewaar je ze?

Je mag niet meer gegevens vragen en verzamelen dan dat je nodig hebt en ze niet langer bewaren dan dat nodig is.
Omschrijf duidelijk in een Privacyverklaring wat je bewaart, waarvoor en hoe je dat doet. Die Privacyverklaring zet je op je website.

Met behulp van de privacyverklaring generator kun je jouw Privacyverklaring opstellen. Je mag ook mijn Privacyverklaring als voorbeeld nemen. Neem daarbij in acht dat iedere onderneming anders is en dat ik geen jurist ben, dus laat je verklaring door een jurist nakijken als je zeker wilt zijn dat deze klopt.

Je gebruikt meer persoonsgegevens dan je denkt

Denk bij persoonsgegevens niet alleen aan naam, adres en telefoonnummer. Maak je gebruik van Google Analytics, Google Adwords, Social Media share knoppen en/of een Facebook pixel op je website of toon je YouTube-filmpjes in je website? Dan is de kans groot dat je via de websitestatistieken de IP-nummers van je websitebezoekers uitleest en opslaat. Veel websitebeheerders kijken nooit naar die gegevens en doen er niets mee. Ben jij er ook zo eentje? In dat geval kan ik aanpassingen in je website en in je Google Account doen waardoor voortaan de IP-nummers geanonimiseerd zijn. Omdat je ze daarna verzamelt zonder dat ze gekoppeld zijn aan een persoon hoef je er geen toestemming voor te vragen. Is het voor jouw onderneming wel belangrijk om de IP-nummers uit te lezen en te bewaren, dan moet je de websitebezoeker daarvoor toestemming vragen (lees verder onder Toestemming vragen).

Wie hebben er nog meer toegang tot deze gegevens?

Noteer de partners en tools waarmee je werkt en verwijs naar de Privacyverklaringen van deze partners en bedrijven. Gaan deze partijen netjes om met de gegevens die zij via jou kunnen inzien? Denk aan de uitgever van het CRM dat je gebruikt, je facturenprogramma, je belastingadviseur, je hoster, je nieuwsbrieven-tool en Dropbox als je daar mee werkt.

Samenwerkingspartners

Bij de meeste van mijn opdrachtgevers heb ik, als hun webdesigner, tot op zekere hoogte ook toegang tot de gegevens van hun klanten. Denk aan de accounts die jouw klanten hebben aangemaakt binnen de website die ik voor je beheer. In mijn Privacyverklaring omschrijf ik hoe ik daar naar beste kunnen zorgvuldig mee omga. Met alle samenwerkingspartners stel je een Verwerkersovereenkomst op, zodat het voor jouw klanten duidelijk is wie er via jou zicht heeft op hun persoonlijke gegevens. Ben je opdrachtgever van mij en heb ik toegang tot de persoonsgegevens van jouw klanten? Dan stel je met mij ook een Verwerkersovereenkomst op.

EU versus VS en Zwitserland

Sommige bedrijven/tools waarmee ik werk zitten niet in de EU. Is dit bij jou ook het geval? Als het om een bedrijf in de VS of in Zwitserland gaat, check dan of dit bedrijf op de Privacy Shield List staat. Dan is er een overeenkomst getroffen tussen de wet die in Europa wordt gehandhaafd en de wet in de VS of Zwitserland. Staat het bedrijf waarmee je werkt er niet bij? Check in dat geval hun Privacy Statement en kijk of jij je daarin kunt vinden, of jij en je klanten daarop kunnen vertrouwen.

Goed registreren

In de wet staat dat je een register (een Excel-bestand o.i.d.) moet bijhouden waarin de partners en de Verwerkersovereenkomsten in staan opgesomd. Bij controle is dit wat de toezichthouder gaat checken. Ik heb gekozen voor het opstellen van een collectieve Verwerkersovereenkomst zodat mijn opdrachtgevers er niet ieder afzonderlijk één hoeven op te stellen.

Vraag toestemming

Mailinglist
Klanten waarmee je een betaalrelatie hebt mag je (blijven) mailen. Mensen die zich hebben aangemeld voor je mailinglist ook. Men moet zich wel gemakkelijk van je mailinglist kunnen uitschrijven. Alle andere mensen die je voorheen zelf aan je mailinglist hebt toegevoegd (bijvoorbeeld je LinkedIn connecties) mag je niet meer mailen zonder dat zij daarvoor expliciet toestemming hebben gegeven. Ook mag je niet langer mensen automatisch op je mailinglist zetten die een gratis product op je website hebben gedownload (ook al zeg je dit vooraf erbij). Zij moeten zelf beslissen of ze na de download mailtjes van je willen ontvangen. Men moet voor het een kunnen kiezen zonder verplicht te worden tot het ander.

Website Cookies
Als je er niet voor hebt gekozen om de IP-nummers van de websitebezoekers te anonimiseren, moet je toestemming vragen voor het verzamelen van de tracking cookies. Geeft de bezoeker de toestemming niet, dan mag je de gegevens niet verzamelen en moet het voor de bezoeker toch mogelijk zijn je website te bezoeken.

Zorg voor aanpasbaarheid

In de wet staat dat mensen te allen tijde hun gegevens moeten kunnen (laten) aanpassen of verwijderen. Ze hebben recht op vergeten worden, zoals dat zo mooi heet. Grote bedrijven moeten dit proces automatiseren maar voor kleine ondernemers is het voldoende als je laat weten wat iemand moet doen om zijn of haar persoonsgegevens bij je te laten aanpassen of verwijderen. Zet in je Privacyverklaring bijvoorbeeld dat ze je daarover een mailtje kunnen sturen waarna jij actie onderneemt.

Zorg voor veiligheid

Beveilig de persoonsgegevens die je bewaart goed. Werk in ieder geval met een wachtwoord op je computer en een pincode of vingerafdruk op je Smartphone.

Datalek
Mocht er toch iets gebeuren waarbij er misbruik wordt gemaakt van persoonsgegevens die via jou zijn verkregen, dan ben je verplicht om dit te melden aan Meldloket Datalek. Ben je verwijtbaar nalatig geweest in de beveiliging van de persoonsgegevens, dan krijg je daarvoor een boete.

Wat staat je te doen?

Duidelijkheid geven

  • privacyverklaring opstellen en aan je website toevoegen. Laat daarin ook weten hoe mensen hun gegevens bij jou kunnen (laten) aanpassen of verwijderen
  • verwerkersverklaringen opstellen en deze in een register (Excelbestand) bewaren

Toestemming vragen

  • waar nodig cookie-melding toevoegen of aanpassen
  • waar nodig formulieren aanpassen waarin je naar persoonsgegevens vraagt
  • automatisch aanmelden voor mailinglist aanpassen in handmatige aanmelding

Veiligheidsmaatregelen treffen of aanscherpen

Dat betekent dat:

  • je computer beveiligd is met een wachtwoord
  • je mobiel beveiligd is met een pincode of vingerprint 
  • je website loopt via een beveiligde verbinding (SSL-certificaat)
  • je websiteformulieren beveiligd zijn met een anti spam handeling
  • je sterke wachtwoorden gebruikt voor het inloggen bij je website, nieuwsbrief etc.
  • dat je internetverbinding loopt via een veilige verbinding (met fire wall)
  • het CMS van je website up to date is *
  • het besturingssysteem van je computer up to date is. 
  • de browser(s) die je gebruikt up te date is

* Wanneer je het onderhoud van je website door ons laat doen is het CMS van je website al up-to-date en daarmee zo veilig als mogelijk.

Wil je weten of jouw emailadres in combinatie met een wachtwoord ooit is vrijgekomen tijdens een datalek? Check het op have I been pwned? Check daar eens het wachtwoord dat je eigenlijk voor te veel accounts gebruikt.
Wil je checken hoe veilig je website, mailadres en internetverbinding is? Check het op internet.nl
Wil je voortaan over het net surfen zonder dat de gegevens die worden verzameld aan jou als persoon worden gekoppeld? Overweeg VPN

Waarbij kan ik je helpen?

  • cookie-melding in orde maken (toestemming vragen)
  • SSL-certificaat aan je website toevoegen (veiligheid)
  • formulieren op je website aanpassen (toestemming vragen en/of duidelijke info geven)
  • voorbereiden en onderzoeken van je Privacyverklaring en Verwerkersovereenkomsten
  • de ip nummers in je Google Analytics of youtube account anonimiseren

Nog meer weten?

Alle informatie bij elkaar: 
https://autoriteitpersoonsgegevens.nl/

Direct naar AVG stappenplan:
https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-biedt-10-stappenplan-voorbereiding-nieuwe-privacywet

Privacyverklaring Generator
https://veiliginternetten.nl/privacyverklaring/

Vind je het maar een hoop gedoe? Hier wordt de AVG beschreven als een positieve ontwikkeling. Privacy bescherming als unique selling point.
http://www.kompletigo.nl/

Controle over je data!
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/controle-over-je-data

Met dank aan mijn collega's Janneke ten Cate en Mariken de Ruiter waarmee ik dit taaie onderwerp bij de kladden pakte en Bas van Lier voor de eindredactie van dit artikel.

Moon Tummers
29 maart 2018 (bijgewerkt op 17 mei 2019)