Update – Paniek om de AVG / GDPR terecht?

Oorspronkelijk bericht 22 februari 2018 – update 22 maart

RTL Nieuws, NOS en andere nieuwszenders hebben afgelopen week de aandacht gegeven aan de AVG / GDPR wetgeving die vanaf 25 mei 2018 in werking treedt. Veel stichtingen en kleine bedrijven raken onderhand in paniek. Simpelweg omdat ze niet weten wat zij ermee moeten doen. Is deze paniek wel terecht? Of kan je als stichting of klein bedrijf eenvoudig aan de regel- en wetgeving voldoen? Dat leg ik je uit in deze blog.

AVG GDPR

Wat is AVG / GDPR?

Afkortingen en wetgeving kan alleen al voor veel verwarring zorgen. AVG / GDPR staat voor Algemene Verordening Gegevensbescherming. GDPR  staat voor General Data Protection Regulation. AVG / GDPR is een Europese privacyverordening die gaat over de bescherming van jouw persoonsgegevens. Deze nieuwe wetgeving vervangt de oude databeschermingsrichtlijn uit 1995! Het werd dus ook zeker tijd om hier een keer naar te kijken.

In de digitale wereld ligt er steeds meer data en steeds meer gegevens bij de bedrijven en stichtingen en jij wilt natuurlijk wel controle houden over je eigen gegevens. Op 25 januari 2012 werd deze wet ingediend door de Europese Commissie en uiteindelijk werd deze wet ondertekend op 27 april 2016! Omdat deze nieuwe wet veel effect had op bedrijven werd 2 jaar als overgangsperiode aangesteld. Bedrijven kregen 2 jaar de tijd om aan deze regelgeving te voldoen.

Toch lijkt het pas begin februari (3 maanden voor de deadline) pas door te dringen tot de bedrijven wat dit voor impact heeft op hun bedrijf.  Het lijkt ineens heel belangrijk te worden en steeds meer bedrijven raken in paniek om de naderende deadline. Hiervoor is geen (directe) reden, maar als je nog geen actie hebt ondernomen is mijn advies om hier nu wel mee bezig te gaan aan de hand van de onderstaande actiepunten:

Actiepunt 1 – Start met documenteren

Ben jij er nog niet mee begonnen? Dan is het nu tijd om te documenteren hoe je aan persoonsgegevens komt, wat je hiermee doet en hoe je dit opslaat. Je bent vanaf 25 mei 2018 namelijk verplicht om dit gedocumenteerd te hebben. In deze documentatie documenteer je welke persoonsgegevens je verwerkt, met welk doel je dit doet, waar de gegevens vandaan komen en met wie je deze gegevens deelt.

Actiepunt 2 – Geef recht op inzage in de documentatie

Jouw klanten / leden krijgen recht op inzage van de gegevens die zijn opgeslagen. Jij als bedrijf moet hen hiervoor in de gelegenheid stellen. Voor al jouw klanten moet je dus een bestand aanleggen met de volgende gegevens:

  1. Doel van de verwerking
  2. Met wie de gegevens gedeeld worden
  3. Hoe de gegevens verkregen zijn

Actiepunt 3 – Geef recht op correctie/verwijdering

Het inzien van gegevens is natuurlijk één ding, maar als je klanten vervolgens een correctie of verwijdering eisen, is het aan jou om dit direct door te voeren.

Actiepunt 4 – Wijzig je algemene voorwaarden

Vergeet niet om je algemene voorwaarden aan te passen met alle informatie die nodig is om aan de AVG / GDPR te voldoen. Je hebt waarschijnlijk al langere tijd je algemene voorwaarden en het is niet iets waar je snel aan denkt, maar zorg dat je in deze voorwaarden de informatie opneemt die jij van je (potentiële) klanten bewaard.

Actiepunt 5 – Zorg dat jouw Google Analytics data Privacy Vriendelijk wordt

Middels Google Analytics verwerkt je door analytische cookies persoonsgegevens van je websitebezoekers. Natuurlijk bekijk je niet de afzondelijke personen met analytische cookies, maar deze gegevens zijn wel beschikbaar. Daarom is het noodzaak om je Google Analytics account in te stellen voor privacy. Hoe je dit doet lees je in een beschrijving van Autoriteit Persoonsgegevens:  Stel Google Analytics Privacyvriendelijk in!

Actiepunt 6 – Check je e-mail marketing

Wanneer je als bedrijf bezig bent met e-mail marketing, dan ga je met persoonsgegevens aan de slag. Een aantal punten waarop je moet letten om aan de AVG / GDPR te voldoen.

  • Om zeker te zijn dat je legitieme gegevens opslaat voor je e-mail marketing, raad ik je aan de double opt-in voor je e-mail marketing aan te zetten. Hierdoor geeft de ontvanger nadrukkelijk toestemming voor het ontvangen van de e-mails die jij gaat versturen. Wees duidelijk in je double opt-in wat men van jou kan verwachten.
    • Daarbij moet de opt-in vrijwillig gegeven worden (met actieve handeling)
    • De opt-in mag geen onderdeel zijn van algemene voorwaarden
    • Tijdens het verzamelen van de data moet duidelijk zijn waarvoor de gegevens gebruikt gaan worden.
    • Wanneer iemand nog geen 16 is, moet iemand met ouderlijk gezag (mede) toestemming geven.
    • Opt-ins moeten geregistreerd worden.
  • Wanneer iemand zich uitschrijft mag je niet meer e-mailen, dit lijkt mij niet meer dan logisch, maar toch goed om even te melden.
  • Na de invoering van de AVG is het niet meer mogelijk om te mailen met een noreply@e-mail.nl. De mensen moeten kunnen antwoorden op de door jou gestuurde e-mail.
  • Je mag alleen vragen om een e-mail adres en naam van de personen. Wanneer je meer gegevens wilt hebben, moet je van te voren aangeven waarom je deze gegevens nodig hebt.
  • Bij een inschrijfformulier altijd verwijzen naar je privacy statement van je website en e-mail marketing.
  • Je moet je mail voorzien van een uitschrijflink.

Maak jij gebruik van Mailchimp als e-mail provider? Dan is heb je ook nog eens te maken met het feit dat je data buiten Europa opslaat. In dit geval is het extreem belangrijk dat je de AVG / GDPR Statement van Mailchimp goed doorleest. Jij als bedrijf blijft zelf verantwoordelijk voor het gebruik van systemen voor e-mail marketing en jouw keuzes hierin. Een vereiste wanneer je met Mailchimp werkt is dat je een Data Processing Addendum tekent. Dat kan je hier doen

Actiepunt 7 – Privacy verklaring / cookies website

Ik heb al eerder een blog over geschreven over privacy statement. Toch zijn er veel websites die nog niet een privacy verklaring op hun website hebben staan. Heb jij dit nog niet? Dan is dit zeker van belang om op korte termijn door te voeren. Wanneer je bijvoorbeeld Cookies plaatst, gebruik maakt van Google Analytics, Remarketing e.d., dan moet je de website bezoekers hiervan op de hoogte brengen. Wees duidelijk wat je met de gegevens doet. Nieuwsgierig naar wat ik met jouw gegevens doe? Bekijk mijn Privacy Statement.

Actiepunt 8 – Functionaris Gegevensbescherming aanstellen (indien nodig)

Overheidsinstanties en publieke organisaties zijn verplicht om een Funcionaris Gegevensbescherming aan te stellen. Maar ook wanneer jij met jouw bedrijf of organisatie vanuit je core business op grote schaal persoonsgegevens verwerkt is dit verplicht. Denk hierbij aan bijv. grote webshops of scholen. Nieuwsgierig wat je als Functionaris Gegevensbescherming allemaal moet doen? Ontdek het op de website van Autoriteit Persoonsgegevens.

Actiepunt 9 – Privacy by Design & Privacy by Default

Als bedrijf moet je rekening houden met Privacy by Design en Privacy by Default. Je kent het misschien wel, maar bij een aantal website stond het vinkje bij het vakje “Ja ik wil de nieuwsbrief ontvangen”, standaard aan. Mijn advies is om deze vanaf nu uit te zetten. Hiermee verwerk je alleen de persoonsgegevens die de klant expliciet toestemt. Wil hij/zij de nieuwsbrief ontvangen? Dan moet deze persoon zelf de actie ondernemen om het vinkje aan te zetten.  Daarnaast moet je er als bedrijf ook bij het ontwerpen van jouw producten en diensten rekening mee houden dat de persoonsgegevens goed beschermd worden.

Actiepunt 10 – HTTPS op je site

Heb jij een website of webshop zonder HTTPS? Dan is het noodzakelijk om dit nu te activeren. Is het niet voor de AVG / GDPR? Dan is het wel omdat je anders een lagere score krijgt binnen Google.  Hierover heeft Leroy de Bruijn een blog geschreven op Emerce. Opvallend en zorgwekkend is dat 80% van de bedrijfswebsites die persoonsgegevens van bezoekers verwerken die doen op onveilige wijze (aldus onderzoek van AIDN en MKB servicedesk) Is jouw website al veilig?

Actiepunt 11 – Documentatie en meldplicht datalekken

Mocht er onverhoopt toch een datalek ontstaan? Dan moet je dit verplicht melden en documenteren. Dit is / moet inzichtelijk zijn voor de gebruikers van jouw diensten, zodat ze weten hoe er met hun gegevens wordt omgegaan en ook hoe een datalek wordt opgelost. Wanneer je echt met een hoog privacyrisico data verwerkt is het aanmaken van een PIA (persoonlijk impact analyse) noodzakelijk. Wat PIA is en hoe je deze kunt opstellen legt Autoriteit Persoonsgegevens je uit.

Blijf logisch nadenken voor de AVG / GDPR

Het belangrijkste advies dat ik je kan meegeven is blijf logisch nadenken. Hoe wil jij dat er met jouw gegevens omgegaan wordt? Bekijk vervolgens hoe jij met de gegevens van jouw klanten omgaan. Is alles terug te vinden? Ik hoop dat ik je met de bovenstaande 10 actiepunten een goede aanzet heb gegeven voor het voldoen aan de AVG / GDPR. Heb je nog wel vragen? Dan mag je altijd contact met mij opnemen. Zelf ben ik geen GDPR specialist, maar denk graag met je mee in de mogelijkheden en weet waar je rekening mee moet houden