AVG

AVG: praktische tips én tools op een rijtje

  • 29 apr

Op 25 mei 2018 gaat ‘ie in: de nieuwe wet AVG. Nou, vooruit dan, voor de mensen die écht gemist hebben waar die term voor staat: de Algemene Verordening Gegevensbescherming. En als we dan toch bezig zijn: de AVG wordt ook wel de GDPR genoemd. Dat staat voor General Data Protection Regulation. Deze wet vervangt de huidige Wet Bescherming Persoonsgegevens (Wpb). De AVG wordt op 25 mei 2018 ingevoerd in de hele Europese Unie. Er komt dus één privacywet voor de hele EU. Naleving van de AVG wordt in Nederland gemonitord door de Autoriteit Persoonsgegevens (AP). De AVG is overigens níet de nieuwe Telecommunicatiewet. Dat wordt de E-privacy verordening. De verwachting is dat deze binnen één tot twee jaar actief wordt.

Zo, geheugen opgefrist. Dat gezegd hebbende, komen hier de tips en tools:

#1: Stel een verwerkingsregister op

De AVG stelt eisen aan de manier waarop je gegevens verwerkt. Verwerken is een breed begrip. Daaronder vallen alle handelingen die je met persoonsgegevens kunt uitvoeren, van verzamelen tot en met vernietigen. Bijvoorbeeld: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, met elkaar in verband brengen en het vernietigen van persoonsgegevens. Voor bedrijven met meer dan 250 medewerkers gelden strengere regels ten aanzien van het verwerkingsregister dan voor kleinere bedrijven. Hoe dan ook: aan kunnen tonen wat je doet, hoe je dat doet en waarom, moet je sowieso.

#2. Maak een Privacyverklaring (in Jip en Janneke-taal)

Vanaf 25 mei ben je verplicht om een Privacyverklaring te hebben. Daarin kan iedereen lezen hoe jij je gegevens verwerkt. De beste tip: schrijf hem in Jip en Janneke-taal. Ofwel: wees duidelijk. De AVG verplicht je niet om wettelijke termen te gebruiken. De wet verplicht je wél om duidelijk en transparant te zijn. In een Privacyverklaring vermeld je in ieder geval:

1) Wie je bent (bedrijfsnaam)
2) Welke gegevens je verzamelt (naam, adres, telefoonnummer, etc)
3) Op welke rechtsgrond je verzamelt (bijvoorbeeld uitvoering van een overeenkomst, toestemming of wettelijke verplichting)
4) Doel van de verwerking (bijvoorbeeld uitvoering overeenkomst, verzenden van een nieuwsbrief, etc.)
5) Hoe lang je de gegevens bewaart (dat moet een realistische termijn zijn)
6) Recht op inzage en verwijdering (iedereen moet op kunnen vragen welke gegevens jij van hem/haar hebt én mag een verzoek indienen op rectificatie of wissen. Vermeld hier ook hoe iemand dat verzoek in kan dienen)
7) Dat iemand het recht heeft om een klacht in te dienen bij de AP (Autoriteit Persoonsgegevens)

In je Privacyverklaring kun je ook opnemen welke cookies je verzamelt op je website. Maar dat kun je ook doen in een cookie statement.

#3: Maak gebruik van een Cookie plug-in

Cookies zijn er in verschillende soorten en maten. Functionele cookies zijn nodig om je website goed te laten functioneren. Hiervoor heb je geen toestemming nodig van de gebruiker. Analytische cookies helpen je om het gebruik van je website inzichtelijk te maken. Een voorbeeld hiervan is Google Analytics. Voor deze cookies heb je geen toestemming nodig – mits je gebruik maakt van de juiste instellingen (lees hier welke dat zijn) – maar je moet je gebruiker er wel over informeren in je cookiebeleid en/of privacyverklaring. Dan hebben we nog trackingcookies, ook wel marketingcookies genoemd. Met behulp hiervan kun je remarketing toepassen. Bijvoorbeeld via Google AdWords of Facebook. Voor deze cookies heb je toestemming nodig. Zorg voor een heldere cookie-melding op je website. Leg duidelijk uit wat je doet, waarom je doet wat je doet en welke gevolgen dat heeft. Én vraag toestemming voor het plaatsen van trackingcookies. Onder toestemming wordt een actieve handeling verstaan. Dus alleen informeren en/of uitleggen hoe cookies uitgezet kunnen worden, is niet voldoende (lees dit artikel even, als je jezelf wat verder wilt verdiepen in deze materie). Ik geef je in ieder geval twee Cookie plug-ins die AVG-proof zijn:

#4: Check of je verwerkersovereenkomsten nodig hebt en maak deze

Verwerk je persoonsgegevens via derden, dat kunnen mensen of middelen zijn, dan moet je met die partij(en) een verwerkersovereenkomst aangaan. Bij mensen kun je denken aan een externe die je inhuurt om jouw nieuwsbrieven te schrijven én te verzenden. Deze persoon heeft dan toegang tot mailadressen die aan jou zijn versterkt. Bij middelen kun je denken aan een programma als MailChimp. Je uploadt in een dergelijk programma namelijk persoonsgegevens. Minimaal mailadressen, maar vaak ook naam en soms ook adressen. Maar ook als je Google Analytics gebruikt heb je een verwerkersovereenkomst nodig.

#5: Datalekken melden

‘We hebben een datalek!’. Dat klinkt als iets heel groots. Maar wist je dat een zoekgeraakte USB-stick die persoonsgegevens bevat al een datalek is? En een inschrijf- of aanmeldformulier dat in een papierbak ligt, ook? Kortom: het is niet de vraag óf een organisatie met een datalek te maken krijgt, maar wanneer. Maak iedereen in de organisatie daar bewust van. Stel een protocol op. En zorg dat je een datalek altijd bij de AP meldt, binnen 72 uur. De meldplicht datalekken is overigens niet nieuw. Die bestaat al sinds 1 januari 2016.

Datalek melden

#6: Social media: foto’s zijn óók persoonsgegevens

Ja, je leest het goed: foto’s zijn persoonsgegevens. En dus heb je als organisatie toestemming nodig om die te plaatsen. Ondubbelzinnige toestemming zelfs. Met andere woorden: er moet expliciet, schriftelijk toestemming gegeven zijn én die toestemming mag ook weer ingetrokken worden. Dit heeft best wel wat gevolgen voor een gemiddelde organisatie. Iets om goed over na te denken én het één en ander voor op papier te zetten dus!

#7: Bij twijfel niet inhalen

Heb je vragen over bepaalde keuzes die je maakt met betrekking tot je gegevens verwerking? Schakel altijd een juridisch expert in. Er zijn online veel artikelen te vinden. Lees je in en zet alles voor jezelf op een rijtje. Realiseer je daarbij dat vrijwel geen enkel artikel volledig is. Net als in deze blog*, wordt in de meeste artikelen een aantal zaken uitgelicht. Twijfel je ergens over? Lijken zaken elkaar tegen te spreken? Of is het je niet helemaal duidelijk wat er precies wordt bedoeld met bepaalde termen of omschrijvingen? Roep dan de hulp van een (juridisch) expert in.

Tot slot: vind je het allemaal wat overtrokken? En zie je op tegen de enorme berg werk die de AVG met zich meebrengt. Dat snap ik. Toch denk ik dat het goed is dat er strenge regels gelden rondom privacy. Twijfel je nog? Check deze filmpjes dan eens:

Dave de waarzegger: onschuldige voorbijgangers worden door Dave ‘gelezen’. Wat hij van hen weet, is bizar…

Sanne verloor haar portemonnee. Meestal is dat vooral balen. In het geval van Sanne, ging dat balen een stuk verder: ze werd slachtoffer van identiteitsfraude:

Succes met alle werkzaamheden en ontwikkelingen die deze weg AVG met zich meebrengt! En: op naar de E-privacy verordening. Die de gemiddelde ondernemer en marketeer ongetwijfeld weer nieuwe uitdagingen gaat bezorgen 😉.

*Wat je leest in deze blog, is een verzameling van tips en tools. Het is géén juridisch advies. Ga je aan de slag met je AVG-compliance en wil je zéker weten dat je niets over het hoofd ziet? Schakel dan een jurist in. Een goede tip voor juridisch correcte informatie over de AVG, is Charlotte’s Law. Zij blogt op een hele heldere manier over de gevolgen van de AVG voor ondernemers. En ze is ook in te schakelen voor persoonlijk advies.