AVG Wet in een notendop (GDPR stappenplan)

De nieuwe AVG Wet (Algemene Verordening Gegevensbescherming) zit eraan te komen. En het vult onze hoofden met vraagtekens.

• “Wat betekent dit nu voor mijn website?”
• “En voor e-mailnieuwsbrieven naar klanten?”
• “Is een dubbele opt-in nu verplicht?”
• “Kan ik Google Analytics nog ongestraft gebruiken?”

Op deze vragen en meer krijg je antwoord in deze blog. We hebben de belangrijkste informatie voor je in een notendop verzameld en geven een uitgebreid AVG stappenplan. Daarnaast hebben we nog 2 andere handige AVG handleidingen voor je:

1. Handleiding Opt-in wetgeving (AVG) >>>
2. Handleiding Google Analytics anonimiseren >>>

Waarom de AVG?

Er wordt wel gezegd dat data meer waard is dan olie. Kostbaarder dan goud. E-mailadressen, telefoonnummers, IP-adressen, socialmedia-profielen, kledingmaten… je kunt het zo gek niet bedenken of het wordt verzameld en opgeslagen.

De persoonsgegevens die je bewust of onbewust achterlaat, geven bedrijven inzicht in het gedrag en de behoeften van hun (potentiële) klanten. De digitale voetafdrukken die je achterlaat zijn goud waard. En dus gevoelig voor diefstal en fraude.

Steeds meer consumenten vinden hun stem en eisen inzicht in wat er nu precies met hun gegevens gebeurt. De huidige wet die het verzamelen, opslaan en gebruiken van persoonlijke data reguleert, stamt echter uit 1980. Hallo!

In 1980 zagen telefoons er zó uit

en internet zó!

In 1995 is die wet eens geüpdatet, maar destijds stond internet nog in de kinderschoenen en had nog niemand van social media gehoord. Hoog tijd dus om de regels aan te scherpen!

Op 25 mei 2018 treedt de nieuwe privacywetgeving in werking: de Algemene Verordening Gegevensbescherming (AVG), internationaal bekend als de GDPR (General Data Protection Regulation). 

Dit is een nieuwe wet ter bescherming van persoonsgegevens van iedereen binnen de Europese Unie. De AVG gaat over het verwerken, verzamelen, opslaan en gebruiken van persoonsgegevens: data die is terug te leiden naar individuen.

AVG Wet individuen

Deze wet zorgt voor meer transparantie, geeft je meer controle over je gegevens en meer rechten.

Simpel gezegd: jij blijft de baas over je eigen persoonsgegevens.

Ik stip de belangrijkste punten even voor je aan:

• Je krijgt het recht om alle data in te zien die een bedrijf over jou heeft verzameld.
• Je krijgt het recht om ‘vergeten te worden’. Dus om je gegevens te laten wissen.
• Je krijg het recht om je data eenvoudig mee te nemen. Bijvoorbeeld je muziekvoorkeuren uit Spotify.
• Alleen met jouw expliciete toestemming mag je nog worden benaderd voor bijvoorbeeld nieuwsbrieven.
• Alleen met jouw expliciete toestemming mag jouw data nog met een derde partij worden gedeeld.

AVG voor internetondernemers

Laten we eerlijk zijn. Deze wet maakt je marketing en sales niet eenvoudiger.

Je zult transparanter en zorgvuldiger met persoonlijke gegevens moeten omspringen.

Samenvattend in vier sleutelwoorden:

• Toestemming
• Transparantie
• Focus
• Beveiliging

Expliciete toestemming vragen

Automatisch aangevinkte vakjes zijn definitief verleden tijd. Je klant moet expliciet (‘hard opt-in’) toestemming geven voor bijvoorbeeld het ontvangen van een nieuwsbrief. Maar ook voor het delen van persoonlijke gegevens met derde partijen zoals Google.

Dit is dus foute boel

Transparantie

Je gebruikers mogen precies weten welke gegevens je over hen verzamelt. Op elk gewenst moment mogen ze deze data inzien of laten verwijderen. Uitschrijflinks bij voorkeur niet in het Hongaars.

Focus

Verzamel alleen gegevens die echt relevant zijn voor jouw business. Die je écht nodig hebt. Maakt het echt uit of iemand een man of een vrouw is? Wat hun locatie is? Hun schoenmaat? Waarom heb je hun geboortedatum nodig?

Houd alle verzamelde gegevens ook niet langer in huis dan nodig is voor het beoogde gebruik.

Beveiliging

Je dient de data die je in huis hebt te beveiligen met geschikte beveiligingsmethoden (denk aan SSL). Dat geldt ook voor je toeleveranciers! Wanneer er toch een datalek optreedt, moet je dit zo snel mogelijk melden.

Toestemming, transparantie, focus, beveiliging. Dat is de GDPR in vogelvlucht. Wie zich er niet aan houdt, kan bij (herhaaldelijke) overtredingen boetes ontvangen tot wel 4 procent van de jaaromzet of 20 miljoen euro (afhankelijk van wat hoger is).

AVG biedt ook kansen!

Veel werk aan de winkel dus. Maar de AVG is niet alleen een lastenverzwaring voor online ondernemers. Het biedt ook een mooie kans om kaf van het koren te scheiden:

• Zorg ervoor dat klanten je hun persoonlijke data écht gunnen, en je hebt een concurrentievoordeel.
• Kortere aanmeldformulieren zorgen voor hogere conversies.
• Daag jezelf uit om op inventieve manier toestemming te vragen. Bijvoorbeeld met een chatbot die om je schoenmaat vraagt voor gericht advies.

Goed. Dat klinkt allemaal heel mooi. Maar… hoe dan?

AVG-checklist voor internetondernemers

Doorloop deze stappen om je business klaar te maken voor de AVG.

1. De nulmeting. Welke persoonsgegevens verwerk je?

Nu je aan de slag gaat, is het handig om te weten wat de wetgever precies bedoelt met die ‘persoonsgegevens’ waar je zorgvuldig mee om moet gaan, en wat daar juist niet onder valt.

Wat zijn ‘persoonsgegevens’?

Informatie die iets zegt over een natuurlijk persoon.

Denk dus aan:

• Naam
• Adres
• Telefoonnummer
• E-mailadres
• IP-adres
• Geboortedatum
• Geslacht
• Schoenmaat

Of, als je echt creepy bent, deze lijst met 98 kenmerken.

Maar ook gegevens waarmee je een profiel kunt opbouwen, zoals:

• KlantID
• OrderID
• GebruikersID
• Versleuteld e-mailadres
• Gepersonaliseerde data uit tracking scripts (bijv. Google Analytics of Hotjar, waarover later meer!)

Tot slot heb je volledig anonieme gegevens die niet te herleiden zijn tot een natuurlijk persoon. Deze vallen buiten de scope van de AVG.

Welke persoonsgegevens verwerk je?

Tijd om duidelijk in kaart te brengen:

• Welke persoonsgegevens je verzamelt.
• Hoe je ze verzamelt.
• Waarom je de gegevens verzamelt.
• Tot wanneer je de gegevens bewaart en waarom.
• Met wie je de gegevens deelt.

Dit geldt ook voor persoonsgegevens van je personeel, maar in dit artikel beperk ik me even tot de relatie bedrijf – klant/bezoeker.

Een voorbeeld:
Op de webshop roderozenbezorgen.nl vraag ik:

• tijdens de aankoop als veld in een online formulier (hoe);
• om NAW-gegevens van de klant (welke);
• ten behoeve van de bezorging, facturering en garantie (waarom);
• deze deel ik met onlineboekhoudenbv (met wie);
• en bewaar ik 7 jaar vanwege de fiscale bewaarplicht (tot wanneer).

Tip: Doe deze inventarisatie zeker niet in je eentje. Meer mensen zullen meer verwerkingsmomenten kunnen inventariseren. Bijkomend voordeel is dat je collega’s alvast bewust maakt van de AVG.

2. Vraag alleen naar noodzakelijke gegevens

Je weet nu welke persoonlijke data je verzamelt en waarom je deze verzamelt. Het ‘waarom’ moet je toetsen aan ‘privacy by default’. Waarom zou je het geslacht of de geboortedatum van iemand moeten weten om rode rozen te bezorgen (om het eerdere voorbeeld aan te houden)?

Aleid Wolfsen, man, 58, voorzitter Autoriteit Persoonsgegevens

Volgens Aleid Wolfsen vragen bedrijven nog veel te vaak om dit soort ‘onnodige gegevens’.

De AVG gaat daarom ook uit van ‘privacy by default’:
Standaardinstellingen moeten de grootst mogelijke privacy garanderen.

In de praktijk betekent het dat je alleen het invullen van gegevens mag verplichten die noodzakelijk zijn voor de dienst die je aanbiedt.

Dus wel:

• NAW-gegevens ten behoeve van bezorging rode rozen.

Maar niet:

• Telefoonnummer ten behoeve van inschrijving nieuwsbrief.
• Functie ten behoeve van downloaden whitepaper.

Natuurlijk zijn er genoeg redenen te bedenken waarom je toch graag iemands geslacht, geboortedatum, locatie, schoenmaat enz. wilt weten. Je mag hier dan ook op vrijwillige basis naar vragen. Geef duidelijk aan waarvoor je deze gegevens wilt gebruiken.

Bijvoorbeeld:

• Vul je schoenmaat in om persoonlijke aanbiedingen te krijgen.
• Met je locatie kunnen we je winkels in de buurt laten zien.

“Verstrek ons allerlei gegevens (waarmee we mogen doen wat we willen) want alleen zo krijg je deze gratis content” is geen geldige reden meer.

3. Bewaar persoonlijke gegevens niet te lang

Wanneer je eenmaal toestemming hebt voor het gebruiken van persoonlijke gegevens, betekent dit nog niet dat je deze eindeloos mag bewaren. Al is het maar omdat je gevoelige gegevens daarmee onnodig blootstelt aan een verhoogd risico op diefstal of fraude.

In principe mag je persoonsgegevens niet langer bewaren dan noodzakelijk voor het doel waarvoor ze zijn verzameld.

Mmm… Hoe zit dat dan bijvoorbeeld met klantgegevens in je webshop? Datamarketingtool Abacus berekende op basis van 500 miljoen transacties de gemiddelde periode waarin 90% van de klanten een eventuele vervolgbestelling doen per sector:

Zo lijkt het voor een online kledingwinkel logisch om NAW-gegevens vier jaar na de laatste aankoop te bewaren. Over de precieze termijn zijn nog geen harde richtlijnen. Je hebt hier dus wat vrijheid in. Soms is het ook logisch om gegevens veel sneller te verwijderen:

Je verrast je vriendin met rozen op Valentijnsdag:

• Je bestelt ze via roderozenbezorgen.nl.
• NAW-gegevens zijn nodig voor correcte bezorging.
• Na afleveren zijn deze niet meer relevant. Verwijderen dus.

Wat in ieder geval belangrijk is om vast te leggen:

• Hoe lang je persoonsgegevens bewaart en waarom.
• Hoe je deze gegevens automatisch gaat verwijderen.
• Hoe eventuele derde partijen deze gegevens ook verwijderen.
• Hoe deze gegevens ook uit backups worden verwijderd.

4. Cookies? Vraag eerst netjes om toestemming

Wil je persoonsgegevens van iemand verwerken? Dan moet je expliciet om toestemming vragen. Dit geldt natuurlijk ook voor veel cookies.

Pleeeeeeease?!

AVG en functionele cookies

Voor sommige cookies hoef je geen toestemming te vragen. Deze zijn nodig om essentiële onderdelen van je site te laten functioneren. Ze onthouden bijvoorbeeld wat er in een winkelwagentje zit of wanneer je bent ingelogd. Ook cookies die anonieme gebruiksstatistieken meten mag je zonder expliciete toestemming gebruiken.

Google Analytics toch gebruiken met een soft opt-in? Het is mogelijk. Onderaan dit hoofdstuk leg ik uit hoe.

AVG en overige cookies

Voor andere cookies moet je wel expliciet toestemming vragen. Deze verwerken persoonlijke of individuele gegevens.

Denk aan:

• Cookies waarmee je individueel klikgedrag meet (o.a. HotJar).
• Cookies waarmee je meet hoe lang iemand op een pagina is (om daarna bijvoorbeeld een livechat te kunnen openen).
• Cookies waarmee je bezoekers laat reageren via social media.
• Cookies om te meten of iemand een advertentie heeft gezien.

Deze toestemming is 12 maanden geldig (of tot de gebruiker deze intrekt). Daarna moet je weer opnieuw om toestemming vragen. Tot nu toe gooien veel sites alle cookies op een hoop:

Deze ‘cookie wall’ mag vanaf 25 mei 2018 niet meer. Je moet ook toegang tot je website bieden voor wie geen targeting cookies wil. Ook een ‘standaardinstelling’ met alle cookies aangevinkt (zoals in het plaatje hieronder bij Nu.nl) is niet meer toegestaan.

Het volgende plaatje ziet er al beter uit. De gebruiker geeft zelf aan welke cookies hij of zij wil toestaan. Alleen de ‘functioneel’ en ‘statistieken’ cookies staan standaard aangevinkt en kunnen niet worden uitgeschakeld.

Alles-of-niets of per categorie?

Een belangrijke afweging is hoe je je bezoeker over cookies laat beslissen. Met een keuze per categorie geef je de meeste vrijheid. De vraag is alleen of bezoekers hier rustig de tijd voor zullen nemen. Misschien klikken ze de melding gewoon weg en dan mag je alleen functionele cookies plaatsen.

Een alternatief is om bezoekers een simpeler keuze te bieden tussen functionele en alle cookies. In alle gevallen moet je de bezoeker duidelijk informeren over wat de cookies precies doen (waarover meer bij punt 9).

Google Analytics toch gebruiken? Zo doe je dat.

Met Google Analytics kun je veel te weten komen over het surfgedrag en de kenmerken van je bezoekers. Met de standaardinstellingen moet je echter wel om expliciete toestemming van je bezoekers vragen. De tool meet immers persoonsgegevens zoals IP-adressen.

Ben je bang dat je die toestemming niet krijgt? Dan kun je Google Analytics toch zo instellen dat je belangrijke functionaliteiten nog steeds zonder expliciete toestemming kunt gebruiken. Lees hier hoe je dat doet >>>

*Nadeel van deze methode is wel dat locatiedata in Google Analytics een stuk minder nauwkeurig wordt. Ook heb je natuurlijk geen opties meer om bezoekers persoonlijk te profileren/(re)targeten met advertenties.

Tip: En zo kun je ook anonimiseren in Hotjar! Kijk hier maar eens.

5. Mails sturen? Vraag (weer) netjes om toestemming

Toestemming is toch wel het toverwoord van deze nieuwe privacywet. Het digitale equivalent van puppy-ogen komt je als marketeer daarom prima van pas. Al het gaat uiteindelijk vooral om relevantie.

Ondubbelzinnige toestemming voor specifieke mailinglijst

Onder de AVG moet een ontvanger expliciet toestemming geven voor het krijgen van nieuwsbrieven of andere commerciële mailings.

Dus niet:

• Automatisch aangevinkt als keuze.
• Door het accepteren van algemene voorwaarden.
• Vanwege het bezoeken van een evenement.
• Om ‘te controleren of de adresgegevens nog kloppen’.

Vliegmaatschappij FlyBe kreeg maar liefst £ 70.000 boete voor deze ongevraagde heractivatiemailing

Maar wel:

• Geïnformeerd over het onderwerp van de mailings.
• Geïnformeerd over de frequentie van de mailings.
• Geïnformeerd over de verstrekking van data aan derden.
• De toestemming en verstrekte informatie fatsoenlijk vastgelegd (bijvoorbeeld via een provider zoals MailChimp).

Is een dubbele opt-in verplicht?

Om maar gelijk een bekend misverstand uit de weg te ruimen: nee, een dubbele opt-in (bevestiging mailadres na aanmelding via bijvoorbeeld de website) is niet verplicht onder de AVG.

Toestemming voor monitoring openen/clicks/gedrag

Monitor je het individuele klikgedrag van mailontvangers? Dan moeten ze hier expliciet toestemming voor geven. Een goed argument is dat je op basis van deze informatie relevantere mailings kunt sturen.

Vraag eventueel opnieuw om toestemming

De voorwaarden van de nieuwe privacywetgeving gelden ook voor de mailadressen die je al in je bestand hebt!

Twijfel je of deze op AVG-waardige wijze zijn verkregen? Dan kun je voor de nieuwe wet ingaat een heractivatiemailing sturen. Vraag of de ontvanger mailing X met frequentie Y en het delen van data met Z wil blijven ontvangen. De mail moet een even prominente ‘Ja’ als ‘Nee’ knop bevatten. Geen reactie voor 25 mei geldt ook als een ‘Nee’.

Veel informatie hè? Mocht je dat nog niet gedaan hebben, dan is dit moment om even een bak koffie te pakken. Dan gaan we daarna verder met deel 2 van deze AVG-checklist voor internetondernemers.

6. Pas je privacyverklaring en cookiestatement aan

Tot nu toe is het vooral over toestemming en focus gegaan, maar transparantie is ook een belangrijk onderdeel van de nieuwe wetgeving. Je privacy- en cookiestatement op je website zijn een prima manier om transparant te communiceren hoe je met persoonsgegevens omgaat.

Vermijd dus:

• ellenlange zinnen;
• dubbele ontkenningen;
• juridische termen (of leg ze uit).

Uit onderzoek van Accessibility blijkt dat veel communicatie niet effectief is omdat de teksten te moeilijk geschreven zijn. Het gemiddelde leesniveau in Nederland ligt op taalniveau B1, terwijl 75% van de tekst wordt geschreven op taalniveau C1. Een eerste belangrijke voorwaarde voor je privacy- en cookie statement is dat ze in begrijpelijk Nederlands zijn geschreven.

Wat moet er in de privacyverklaring staan?

De Autoriteit Persoonsgegevens (AP) heeft een aantal specifieke eisen gesteld aan wat er in ieder geval in een privacyverklaring moet staan. Als het goed is heb je veel van deze informatie bij stap 1 al verzameld:

• Welke persoonsgegevens je verwerkt.
• Met welke doelen je deze gegevens verwerkt.
• Of hier een wettelijke basis voor is (bijvoorbeeld bewaarplicht).
• De bewaartermijn voor elk soort persoonsgegeven.
• Met welke derde partijen je persoonsgegevens deelt.
• Hoe de betrokkene een klacht kan indienen bij het AP.
• Hoe je toestemming vraagt voor het krijgen van persoonsgegevens.
• Dat betrokkenen hun toestemming altijd mogen intrekken.
• Hoe betrokkenen hun persoonsgegevens altijd mogen inzien.
• Hoe betrokkenen hun persoonsgegevens altijd mogen wijzigen.
• Hoe betrokkenen hun persoonsgegevens altijd mogen verwijderen.
• Hoe betrokkenen hun persoonsgegevens altijd mogen meenemen.
• Naam en contactgegevens van de verantwoordelijke persoon bij je organisatie voor privacy- en gegevensbescherming.

De volledige lijst vind je hier

Heb je een voorbeeld van een AVG-compliant privacyverklaring?

Ja! De Consumentenbond heeft haar privacyverklaring bijvoorbeeld net gewijzigd (19/02/18) en deze lijkt te voldoen aan de voorwaarden in de nieuwe wetgeving. Ook het cookiebeleid ziet er aardig solide uit.

Wil je een voorbeeld van leuke en begrijpelijke teksten over het waarom van persoonsgegevens verzamelen? Kijk dan eens bij CoolBlue.

“Telefoonnummer:  we nemen graag snel contact met je op over je bestelling. We bellen nog even als er iets onduidelijk is, en we sturen één sms over de bezorgstatus. Soms bellen we na afloop om te vragen of alles goed is gegaan. Dat scheelt ons een slapeloze nacht.”

Heb ik een Functionaris Gegevensbescherming (FG) nodig?

In de privacyvoorwaarden moet je – indien aanwezig – ook de contactgegevens van de Functionaris Gegevensbescherming vermelden. In het Engels ook wel Data Protection Officer genoemd.

Die moet er ongeveer zo uitzien

Voor de meeste internetondernemers is het aanstellen van een FG niet verplicht. Dit is alleen noodzakelijke wanneer je:

• Op grote schaal ‘bijzondere’ persoonsgegevens verwerkt zoals politieke voorkeur, ras, godsdienst of gezondheid.
• Op grote schaal persoonsgegevens gebruikt ten behoeve van profiling. Bijvoorbeeld om kredietverzoeken te beoordelen.
• Dit een kernactiviteit is van je organisatie.

Hier lees je meer over de Functionaris voor de Gegevensbescherming.

Moet ik een Data Protection Impact Assessment (DPIA) maken?

In dezelfde categorie valt de Data Protection Impact Assessment (DPIA) waarmee je vooraf meet wat de privacyrisico’s van een gegevensverwerking zijn. De meeste internetondernemers hoeven op dit moment nog geen DPIA te houden. Het is immers alleen verplicht bij grootschalige verwerkingen van (bijzondere) gegevens. In de toekomst komt de Autoriteit Persoonsgegevens met een uitgebreidere beschrijving van wanneer een Data Protection Impact Assessment verplicht is.

7. Sluit verwerkersovereenkomsten af

Grote kans dat je voor het opslaan of verwerken van persoonlijke gegevens gebruikmaakt van andere partijen. In de AVG noem je dit verwerkers (of processors in het Engels). Een betrokkene (data subject) moet altijd toestemming geven voor het gebruik van persoonsgegevens door deze verwerkers.

Verwerkersovereenkomsten/Data processing agreements

Met elke partij die namens jou persoonsgegevens verwerkt, moet je een verwerkersovereenkomst afsluiten (in de WBP heette dit een ‘bewerkers’ overeenkomst en in het Engels zeg je ‘data processing agreement’).

Moet dat echt met elke cloudleverancier? vraagt een internetondernemer zich vertwijfeld af.
Ja, in principe wel (zegt de ICT-jurist).

Concentreer je echter eerst op de grote en belangrijkste partijen waar je data aan verstrekt. Denk bijvoorbeeld aan Google Analytics, Shopify, Mailchimp, Livechat, Salesforce, Hootsuite, Zendesk, Hotjar of Hubspot. Zij zijn in de regel al druk bezig met het implementeren van de AVG en hebben nu (of binnenkort) verwerkersovereenkomsten klaarstaan.

Overleg daarnaast ook met je belangrijkste Nederlandse datapartners. Denk bijvoorbeeld aan een marketingbureau of externe klantenservice.

Wat moet er in een verwerkersovereenkomst staan?

Kortweg: hoe de verwerker de persoonsgegevens verwerkt en beveiligt. Om te beginnen is het belangrijk dat het soort verwerking, het doel en de duur van de verwerking duidelijk beschreven staan.

• Ook het soort persoonsgegevens zet je in de overeenkomst.
• Verwerking vindt plaats op basis van jouw schriftelijke instructies.
• Uitbesteding aan subverwerkers mag alleen na jouw toestemming.
• De verwerker gebruikt de persoonsgegevens niet voor eigen doeleinden.
• Mensen werkzaam bij/voor de verwerker hebben een geheimhoudingsplicht.
• Welke passende beveiligingsmaatregelen de verwerker neemt.
• Hoe de verwerker betrokkenen helpt met hun privacyrechten.
• Na de werkzaamheden worden persoonsgegevens weer verwijderd.
• Dat de verwerker desgevraagd meewerkt aan audits.

Heb je een voorbeeld van een verwerkersovereenkomst?

Dit is een eenvoudig voorbeeld, opgesteld door Privacy Company.

8. Stel een Register Verwerkingsactiviteiten op

We zijn nog steeds bij het hoofdstukje transparantie. Wanneer de Autoriteit Persoonsgegevens daarom vraagt, moet je kunnen laten zien hoe je verantwoord omspringt met persoonlijke gegevens. Een belangrijk onderdeel daarin is een register met al je verwerkingsactiviteiten.

Wat moet er in een register verwerkingsactiviteiten staan?

Net als bij de privacyverklaring en nulmeting komt het ook hier weer vooral neer op wat, hoe, waarom, wanneer en wie:

• Naam en contactgegevens van je organisatie/vertegenwoordiger.
• Eventuele andere organisaties waar je persoonsgegevens mee deelt.
• De doelen waarvoor je persoonsgegevens verwerkt.
• Een beschrijving van de categorieën van persoonsgegevens.
• Datum waarop je de gegevens moet wissen (als dat bekend is).
• De categorieën van ontvangers aan wie je persoonsgegevens verstrekt.
• Of je gegevens met een land/organisatie buiten de EU deelt.
• Een beschrijving van de technische en organisatorische maatregelen die je hebt genomen om persoonsgegevens die je verwerkt te beveiligen.

Heb je een voorbeeld van zo’n register verwerkingsactiviteiten?

Ja! De Belgische Autoriteit Persoonsgegevens heeft een handig modelregister op haar website staan. ‘Franstalige benaming’ en ‘KBO-nummer’ zijn niet helemaal van toepassing, de rest wel.

9. Toon aan dat je toestemming hebt van de betrokkene

Minstens net zo belangrijk is dat je kunt verantwoorden hoe en wanneer je toestemming hebt gekregen van een betrokkene om zijn of haar specifieke persoonsgegevens te gebruiken.

Een manier om dit vast te leggen is in een CRM-systeem. Daarin staat dan met een timestamp aangegeven wanneer iemand toestemming gaf. Ook de manier van toestemming geven moet worden worden vermeld.

Erg belangrijk: Je moet ook kunnen aantonen welke informatie de betrokkene tot zijn beschikking had toen hij de beslissing maakte.

Denk aan een afbeelding van hoe het formulier/chatgesprek/contactmoment er op dat moment uitzag. Maak bijvoorbeeld een screenshot zoals hieronder van het aanmeldformulier KLM Flying Blue (februari 2018)

Een link naar een website is onvoldoende, de informatie kan namelijk elk moment weer veranderen!

10. Zorg voor recht op inzage, wijzigen, portabiliteit en vergeten

Volgens de AVG heeft een betrokkene te allen tijde recht om zijn of haar eigen persoonsgegevens bij een organisatie op te vragen en geheel kosteloos binnen maximaal dertig dagen te ontvangen.

Betalen om je eigen gegevens in te zien (zoals nu nog bij onder andere het Bureau Krediet Registratie in Tiel) is vanaf 25 mei 2018 verleden tijd. Nu heb je volgens de huidige wetgeving ook al recht op inzage, maar organisaties kunnen je nog wel verplichten om op locatie langs te komen voor inzage. Leuk, als je bijvoorbeeld nog nooit in Tiel bent geweest.

Met het recht op portabiliteit komt daar verandering in. Je moet een betrokkene niet alleen inzicht geven in zijn of haar persoonsgegevens, je moet deze ook in een gangbaar ‘machineleesbaar’ formaat aanbieden. In de richtlijnen van de Autoriteit Persoonsgegevens worden onder andere bestandsformaten XML, JSON en CSV als voorbeeld genoemd.

Over welke persoonsgegevens moet je inzage verstrekken?

Alle gegevens die betrokkenen zelf aan je hebben verstrekt. Dus denk aan persoonsgegevens die ze in een formulier hebben ingevuld (naam, adres, geboortedatum), maar ook bijvoorbeeld de zoekgeschiedenis of locatiegegevens die ze met je hebben gedeeld. Vervolgens hebben betrokkenen ook het recht op wijzigen en het recht op een menselijke blik.

Wijzigen omdat gegevens bijvoorbeeld onjuist zijn. Je moet desgewenst ook aan kunnen geven met wie je deze onjuiste gegevens in het verleden hebt gedeeld. Het recht op een menselijke blik is vooral van belang wanneer er op basis van persoonsgegevens automatisch een beslissing is genomen. Bijvoorbeeld inzake betalen op krediet. De betrokkene heeft het recht om te weten op basis van welke logica en gegevens de beslissing is genomen en de beslissing opnieuw te laten nemen maar nu met tussenkomst van een menselijke blik.

Tot slot zijn er het recht om vergeten te worden en het recht op beperking van de verwerking.

Het recht op vergetelheid is het duidelijkst. Een betrokkene kan je vragen al zijn of haar persoonsgegevens te verwijderen. Hier lees je wat de precieze voorwaarden daarvoor zijn. Bij het recht op beperking van de verwerking, mag je gegevens niet meer gebruiken, maar ook niet wissen. Bijvoorbeeld omdat een betrokkene ze later nog wil opvragen.

Hoe kan ik al deze rechten garanderen?

Sommige rechten onder de AVG zijn behoorlijk specifiek en niet voor elke internetondernemer even relevant.

Het recht op beperking van de verwerking voor je bubbelbadwebshop? Verwacht niet dat het eind mei ineens storm gaat lopen.

De praktijk moet dus ook deels gaan uitwijzen hoeveel consumenten van deze nieuwe privacyrechten gebruik gaan maken.

Kleine versus grotere ondernemers

Kleinere ondernemers kunnen erin volstaan om de rechten te noemen in hun privacyverklaring en consumenten de mogelijkheid te geven met specifieke verzoeken te mailen. Grotere partijen zullen het lastig gaan krijgen om alle verzoeken handmatig te beantwoorden. Voor hen zijn er datamanagement-oplossingen waarin je persoonsgegevens gecentraliseerd, herleidbaar, aanpasbaar en verwijderbaar opslaat.

11. Maak een databeveiligingsbeleid/scherp het aan

Datalekken door slechte beveiliging komen helaas nog erg vaak voor, terwijl er met de invoering van de meldplicht datalekken in 2016 toch wel de nodige aandacht voor is geweest. Ook in de AVG is specifiek aandacht voor het beveiligen van persoonlijke gegevens.

Inhoudelijk verandert de meldplicht datalekken niet zozeer. Datalekken moet je nog steeds binnen 72 uur melden.

De registratievereisten worden iets strenger en bij het niet naleven van de regels kunnen er hogere boetes worden opgelegd. De precieze richtlijnen liggen volgens de Autoriteit Persoonsgegevens echter nog niet vast. Wel is er al een conceptdocument beschikbaar.

Samenvattend

Zo! In dit artikel las je een uitgebreide checklist over hoe je je als internetondernemer kunt voorbereiden op de AVG:

1. Doe een nulmeting. Welke gegevens verwerk je nu al?
2. Verwerk alleen noodzakelijk gegevens. Privacy by design.
3. Bewaar persoonlijke gegevens niet te lang.
4. Cookies? Vraag eerst netjes om toestemming.
5. E-mails? Vraag weer netjes om toestemming.
6. Pas je privacyverklaring en cookie statement aan.
7. Sluit verwerkersovereenkomsten af.
8. Stel een register verwerkingsactiviteiten op.
9. Toon aan dat je toestemming hebt van de betrokkene.
10. Zorg voor recht op inzage, wijzigen, portabiliteit en vergeten.
11. Maak een databeveiligingsbeleid/scherp het aan.

Is het een beetje begrijpelijk allemaal? Of begint het je te duizelen?

Geen zorgen!

De soep wordt niet zo heet gegeten als-ie wordt opgediend.

Mkb’ers die ter goeder trouw aan de slag gaan met de AVG zullen niet gelijk met megaboetes van de Autoriteit Persoonsgegevens worden geconfronteerd. In de regel krijg je eerst waarschuwingen. Er worden alleen boetes uitgedeeld als er kwade wil in het spel is.

Bovendien, als je deze checklist helemaal hebt doorlopen, ben je stiekem best wel goed voorbereid. Misschien nog wel beter dan sommige grote organisaties.

Natuurlijk kan het altijd uitgebreider. Voor wie zin heeft: hier de volledige 99 pagina’s privacywetgeving.