Eerste hulp bij AVG Nieuwe Europese Privacywetgeving

Geschreven op 16-05-2018
Door: Lieneke de Wolf

VEELGESTELDE VRAGEN AVG

Per 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) actief. De afgelopen maanden merkten we dat er veel vragen leven bij onze opdrachtgevers: wat zijn de implicaties hiervan, welke acties moet je ondernemen, wat zijn de consequenties?

Infosessies AVG: bewustwording en concrete tips 

Om inzicht te geven in deze nieuwe Europese Privacywetgeving en onze opdrachtgevers en relaties zoveel mogelijk informatie en houvast te geven, besloten we om samen met Nobus Nieuwenhuijse Advocaten en iVenture IT Solutions een infosessie AVG te organiseren. Uiteindelijk werden het drie (!) info sessies vanwege de grote animo. 

Vanuit verschillende invalshoeken werd AVG / GDPR belicht; juridisch, organisatorisch, technisch en op marketing gebied. Lieneke lichtte vanuit Get a Grip vnl de marketing kant toe en een aantal acties die je organisatorisch moet nemen.

Tijdens de infosessies zijn er veel vragen de revue gepasseerd. We zetten een aantal veelgestelde vragen en de acties die je kunt ondernemen, voor jou op een rijtje!

Persoonlijke gegevens binnen mijn bedrijf: hoe maak ik die inzichtelijk?

Maak voor jezelf een document of spreadsheet waarin je per doelgroep (bijv. klanten, aanvragers informatie) vastlegt welke informatie / persoonlijke gegevens je verzamelt. Een paar voorbeelden:

  • Contactformulier op je website: waarschijnlijk naam, mailadres, evt bedrijfsnaam en de vraag die mensen hebben (doelgroep aanvragers informatie)
  • Webshop: naam, adres, woonplaats, betalingsgegevens, aflever- en factuuradres ets. (doelgroep klanten)

Welke rechten t.a.v. de persoonlijke gegevens hebben mijn doelgroepen? En hoe kunnen ze deze rechten uitoefenen?

Leg de verschillende rechten per doelgroep vast in je document. Rechten die in de nieuwe privacywetgeving van toepassing zijn, zijn o.a. de volgende: 

  • Recht op vergetelheid – mensen kunnen vragen hun gegevens te verwijderen uit jouw systemen. Voorbeeld hiervan is het afmelden voor een nieuwsbrief (dit kan over het algemeen heel gemakkelijk via de afmeldlink in je e-mailings via je mailingprogramma), maar ook het verwijderen van gegevens als mensen geen klant meer bij je zijn;
  • Recht op inzicht: je moet mensen inzicht geven in welke gegevens je van hen opslaat en verwerkt;
  • Recht op dataportabiliteit  - je moet op aanvraag alle gegevens die je van iemand hebt in een ‘pakketje’ aanleveren zodat deze meegenomen kunnen worden naar een ander partij.

Nog wel een opmerking bij het recht op vergetelheid. Zoals gezegd moet je mensen dus in staat stellen om hun gegevens te laten verwijderen (het recht op vergetelheid) maar daar tegenover staat de verplichting die je binnen je boekhouding hebt aan bijvoorbeeld de belastingdienst voor het bewaren en archiveren van bepaalde gegevens. Denk hierbij aan facturen en dergelijke. Dit soort zaken moet vaak ook bewaard worden in verband met de garantietermijnen die aan een product verbonden zijn. Dus wettelijke verplichtingen zorgen voor een uitzondering op de regels en je mag dus deze zaken wel gewoon bewaren, ondanks het recht op vergetelheid.

Wie heeft er toegang tot de persoonlijke gegevens die ik verzamel?

Denk aan het beheergedeelte van je website, je boekhoudprogamma, de kast met de personeelsdossiers… Ook hier ga je aan de slag met inventariseren wie er toegang heeft. Vermeld dit ook weer in je document en bekijk eens kritisch of iedereen ook daadwerkelijk toegang moet hebben tot desbetreffende gegevens. Staan er bijv nog ex-medewerkers of stagiaires in je content management system van je website? Verwijder deze dan als gebruiker. Hebben alle gebruikers een uniek en voldoende sterk wachtwoord en liggen de inloggegevens voor het CMS niet op straat?

Heb ik wel alle gegevens nodig waar ik nu om vraag?

Maak ik ook daadwerkelijk gebruik van al deze gegevens? Kijk dit eens kritisch na; bijvoorbeeld het aanmeldformulier voor de nieuwsbrief op je website. Waarom wil je de bedrijfsnaam weten van de inschrijver? Is dat nodig voor verzending van de nieuwsbrief of kan je prima uit de voeten met naam en e-mail adres? De AVG geeft aan dat je uit moet gaan van dataminimalisatie: verzamel uitsluitend de minimale gegevens die je nodig hebt voor een bepaalde handeling. Je moet ook kunnen verantwoorden waarom je die dan nodig hebt. Loop alle formulieren op je website door en pas ze aan waar nodig.

Check je website: maak jij al gebruik van een beveiligde verbinding en heb je een zogenaamd SSL certificaat?

Als de mogelijheid bestaat om gegevens via jouw website in te vullen en te verzenden, zorg dat dit via een beveiligde verbinding gebeurt. Dit is heel makkelijk te controleren: check in de browser het slotje met ‘veilig’ wordt weerggeven en er vervolgens https:// staat in plaats van http://

Nog geen beveiligde verbinding? Neem dan snel contact op met je webbouwer of hostingpartij, zij kunnen dit snel voor je regelen.

Moet ik verwerkersovereenkomsten afsluiten met externe partijen die toegang hebben tot de persoonsgegevens die ik heb?

Ja, hoogstwaarschijnlijk wel! Feitelijk is iedere partij die toegang heeft tot de persoonsgegevens van je website een gegevensverwerker en moet je met die partij een overeenkomst sluiten. Dus ook je webbouwer en hostingpartij horen daarbij. Andere partijen waar je aan moet denken zijn bijv. Google Analytics, Mailchimp, betalingspartijen zoals Mollie etc. Maar ook je salarisverwerker of de ZZP-er die af en toe helpt met jouw online beheer of de boekhouding, hoort in het rijtje partijen thuis met je wie je een verwerkerovereenkomst moet afsluiten.

Waar moet ik de informatie over welke persoonlijke gegevens ik verzamel, wat ik er mee doe en wat de rechten van de gebruikers zijn, zichtbaar en toegankelijk maken?

Stel een duidelijke privacy verklaring op en plaats die zichtbaar op je site. Voor de privacy verklaring geldt dat deze duidelijk, kort en bondig en goed leesbaar moet zijn. De minimale onderdelen die er sowieso in moeten zitten: je bedrijfsnaam, contactgegevens, de verschillende doelen die je wilt bereiken met het verzamelen van data van je gebruikers, de eventuele toestemming die ze hiervoor gegeven hebben en hoe dat geregeld is, de duur van de opslag van data, het recht op inzage, vergetelheid en dataportabiliteit en hoe je dat zou regelen en het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. 

Soms zijn er aanvullende onderdelen mogelijk: bijv de contactgegevens van de Functionaris Gegevensbescherming (FG) indien vereist, contactgegevens van externe partijen waar je gegevens mee deelt, of er gegevens gedeeld worden met andere landen dan Nederland en hoe die omgaan met privacy.

Heeft iemand je explicitiet toestemming voor iets gegeven, bijv. het ontvangen van de nieuwsbrief? Je moet dan vermelden dat die toestemming ook weer ingetrokken mag en kan worden. Inmiddels zijn er al de nodige voorbeelden van privacy verklaringen verschenen, maar wil je zeker zijn dat jouw verklaring helemaal klopt, neem dan contact met ons op.

Waar zet je de privacy verklaring neer op je website? Uitgangspunt is dat hij makkelijk vindbaar en toegankelijk moet zijn, dus de footer is een prima plek. Advies is om op diverse plaatsen op je website waar je persoonlijke gegevens vraagt, een link op te nemen naar de privacy verklaring. Het kan maar duidelijk zijn!

En nog een laatste opmerking: Een privacy verklaring is niet hetzelfde als algemene voorwaarden en het is daarom ook niet nodig dat mensen met een vinkje akkoord gaan met de termen uit de privacy verklaring, zolang hij maar wel toegankelijk op de site te vinden is.

Hoe zit het met die cookie melding? Moet die wel of niet op mijn website?

Laten we beginnen bij het begin: er zijn verschillende soorten cookies. Cookies zijn tekstbestandjes die op je computer worden geplaatst, o.a. om te helpen analyseren hoe gebruikers de site gebruiken. De volgende soorten cookies kunnen worden gebruikt:

  • Noodzakelijke of functionele cookies: voor het laten functioneren van de techniek waardoor de website naar behoren werkt;
  • Statistische cookies: voor het verzamelen van geanonimiseerde gegevens over het gebruik van een website om te helpen de website te optimaliseren;
  • Marketing cookies; deze houden jouw surfgedrag bij;
  • Tracking pixel: dit is een elektronisch bestand (grootte normaal 1 pixel x 1 pixel) dat in bijv in een een e-mail op op een website wordt geplaatst. Door het gebruik van een tracking pixel kan gezien worden wat er gebeurt: wordt een e-mail bijv. gelezen. Ook van Facebook en Linkedin kunnen pixels worden geplaats om de activiteit vanuit deze social media kanalen op websites te zien en te analyseren.

Indien  je niet-functionele cookies gebruikt op je site moet je ook een cookiemelding met een verzoek voor toestemming en een cookieverklaring toevoegen aan je site met daarin de uitleg hoe je die cookies gebruikt. Maar wat houdt dat nou precies in en geldt dit ook voor 'gewoon' gebruik van Google Analytics? Wij hanteren de stelregel dat als je marketingcookies gebruikt voor andere dingen dan analytics dat je dan sowieso een cookieverklaring moet maken waarin je uitlegt wat er gebeurt. Een praktisch voorbeeld hiervan is als je gebruik maakt van remarketing via Google of Facebook. Maar voor gewoon gebruik van Google Analytics is dit niet vereist, mits je de gegevens anonimiseert (oftewel de IP adressen uitsluit – want een IP adres wordt ook gezien als een persoonsgegeven). Dat doe je zo:

  • Accepteer het “Amendement gegevensverwerking” in je Analytics-account (‘Beheer’ > ‘Account instellingen’ en dan helemaal onderaan);
  • Blokkeer het meezenden van volledige IP-adressen (ga(‘set’, ‘anonymizeIp’, true);) en forceer tevens SSL (ga(‘set’, ‘forceSSL’, true););
  • Zet het delen van gegevens met Google uit (‘Beheer’ > ‘Account instellingen’ en dan vier instellingen uitvinken);
  • Informeer je bezoekers in een cookieverklaring of privacyverklaring over je gebruik van Google Analytics.

Vind je dit lastig en wil je hulp? Neem dan contact met ons op!

Ik heb al veel e-mail adressen waar ik nieuwbrieven aan verstuur. Mag ik dat blijven doen?

Ja dat mag: als je tenminste kunt aantonen dat je van al de ontvangers toestemming hebt gekregen en waarvoor: bijvoorbeeld om ze een nieuwsbrief te sturen. In veel gevallen zal dit niet het geval zijn; vaak zijn e-mail bestanden samengesteld uit klantgegevens, visitekaartjes vanuit gesprekken, bijeenkomsten, beurzen, gegevens vanuit e-mail correspondentie…

Let erop dat je de gegevens die klanten jou verstrekken niet automatisch mag gebruiken als er geen toestemming voor een andere toepassing is.

Neem het inschrijfproces van je nieuwsbrief onder de loep: hoewel niet verplicht kan het slim zijn het proces aan te passen naar 'double opt-in' zodat je voor nieuwe inschrijvingen expliciete toestemming krijgt die opgeslagen wordt in je nieuwsbrief software. Je kan dat in de meeste gevallen instellen in je nieuwsbrief software. Hulp nodig daarbij? Neem dan contact met ons op.

Let ook op de wijze waarop toestemming wordt gegeven: dit moet expliciet gebeuren, bijv. door het daadwerkelijk aanvinken van een vakje met ‘Ja ik wil de nieuwsbrief ontvangen’. En het is belangrijk dat er toestemming per onderdeel wordt gegeven; je mag toestemmingen niet koppelen. Opname van een zin in een webshop bij het doen van een bestelling zoals ‘ik accepteer de algemene voorwaarden en wil ook de nieuwsbrief ontvangen’ mag dus NIET.

In het kader van expliciete toestemming is het ook niet toegestaan om vinkjes al vooraf in te vullen bij een bepaalde toestemming!

Zo! Ben je nu klaar voor AVG? 

Ben je na het doorlopen van bovenstaande acties nu helemaal AVG-proof? Nee, maar ze helpen hopelijk wel een eind op weg. Wil je volledig zijn, dan raden wij je aan om op de website van de Autoriteit Persoonsgegevens de informatie en handleiding door te lopen; daarin zijn handige checklist opgenomen waarmee je zelf aan de slag kunt.

Het verschilt per bedrijf of organisatie in welke mate de AVG invloed heeft; toch kan je er wel van uitgaan dat ook jij de nodige acties zult moeten ondernemen. En dat kost tijd, dus plan dit in en ga er (snel) mee aan de slag. Toon in ieder geval aan dat je je hebt verdiept in de eisen van de nieuwe wetgeving en waar je welke acties hebt ondernomen.

Heb je vragen naar aanleiding van bovenstaande?  Mail of bel, dan proberen we gelijk antwoord te geven op je vraag. Als je aanvullingen of correcties hebt; laat het ons weten. Dit artikel is met grote zorg samengesteld maar wij zijn geen juristen en kunnen niet aansprakelijk gehouden worden voor de inhoud hiervan. Mochten er komende tijd nog nieuwe inzichten of praktische tips bijkomen dan voegen we die toe. 

Heb jij vragen die hier niet aan de orde zijn gekomen? Dat zou heel goed kunnen :) 

Was je niet bij de infosessie maar wel benieuwd naar de presentatie en een voorbeeld van een verwerkingsregister

Neem gerust contact met ons op. We helpen je graag, samen met onze 'AVG partners in crime'  Nobus Nieuwenhuijse  Advocaten en iVenture IT Solutions. 

Groeten, Lieneke 

T 06- 2960 3960 | E Lieneke@get-agrip.nl