AVG Wet in een notendop (GDPR stappenplan)
14 maart 2018 
34 min. leestijd

AVG Wet in een notendop (GDPR stappenplan)

De nieuwe AVG Wet (Algemene Verordening Gegevensbescherming) zit eraan te komen. En het vult onze hoofden met vraagtekens.

  • “Wat betekent dit nu voor mijn website?”
  • “En voor e-mailnieuwsbrieven naar klanten?”
  • “Is een dubbele opt-in nu verplicht?”
  • “Kan ik Google Analytics nog ongestraft gebruiken?”

Op deze vragen en meer krijg je antwoord in deze blog. We hebben de belangrijkste informatie voor je in een notendop verzameld en geven een uitgebreid AVG stappenplan. Daarnaast hebben we nog 2 andere handige AVG handleidingen voor je:

  1. Handleiding Opt-in wetgeving (AVG) >>>
  2. Handleiding Google Analytics anonimiseren >>>

Er wordt wel gezegd dat data meer waard is dan olie. Kostbaarder dan goud. E-mailadressen, telefoonnummers, IP-adressen, socialmedia-profielen, kledingmaten… je kunt het zo gek niet bedenken of het wordt verzameld en opgeslagen.

De persoonsgegevens die je bewust of onbewust achterlaat, geven bedrijven inzicht in het gedrag en de behoeften van hun (potentiële) klanten. De digitale voetafdrukken die je achterlaat zijn goud waard. En dus gevoelig voor diefstal en fraude.

Steeds meer consumenten vinden hun stem en eisen inzicht in wat er nu precies met hun gegevens gebeurt. De huidige wet die het verzamelen, opslaan en gebruiken van persoonlijke data reguleert, stamt echter uit 1980. Hallo!

In 1980 zagen telefoons er zó uit

oude-telefoon

en internet zó!

oude-computer

In 1995 is die wet eens geüpdatet, maar destijds stond internet nog in de kinderschoenen en had nog niemand van social media gehoord. Hoog tijd dus om de regels aan te scherpen!

Op 25 mei 2018 treedt de nieuwe privacywetgeving in werking: de Algemene Verordening Gegevensbescherming (AVG), internationaal bekend als de GDPR (General Data Protection Regulation). 

Dit is een nieuwe wet ter bescherming van persoonsgegevens van iedereen binnen de Europese Unie. De AVG gaat over het verwerken, verzamelen, opslaan en gebruiken van persoonsgegevens: data die is terug te leiden naar individuen.

Deze wet zorgt voor meer transparantie, geeft je meer controle over je gegevens en meer rechten.

Simpel gezegd: jij blijft de baas over je eigen persoonsgegevens.

baas-over-je-gegevens

Ik stip de belangrijkste punten even voor je aan:

  • Je krijgt het recht om alle data in te zien die een bedrijf over jou heeft verzameld.
  • Je krijgt het recht om ‘vergeten te worden’. Dus om je gegevens te laten wissen.
  • Je krijg het recht om je data eenvoudig mee te nemen. Bijvoorbeeld je muziekvoorkeuren uit Spotify.
  • Alleen met jouw expliciete toestemming mag je nog worden benaderd voor bijvoorbeeld nieuwsbrieven.
  • Alleen met jouw expliciete toestemming mag jouw data nog met een derde partij worden gedeeld.

Laten we eerlijk zijn. Deze wet maakt je marketing en sales niet eenvoudiger.

Je zult transparanter en zorgvuldiger met persoonlijke gegevens moeten omspringen.

Samenvattend in vier sleutelwoorden:

  • Toestemming
  • Transparantie
  • Focus
  • Beveiliging

Automatisch aangevinkte vakjes zijn definitief verleden tijd. Je klant moet expliciet (‘hard opt-in’) toestemming geven voor bijvoorbeeld het ontvangen van een nieuwsbrief. Maar ook voor het delen van persoonlijke gegevens met derde partijen zoals Google.

toestemming-avg-ns

Dit is dus foute boel

Je gebruikers mogen precies weten welke gegevens je over hen verzamelt. Op elk gewenst moment mogen ze deze data inzien of laten verwijderen. Uitschrijflinks bij voorkeur niet in het Hongaars.

tweet-uitschrijven

Verzamel alleen gegevens die echt relevant zijn voor jouw business. Die je écht nodig hebt. Maakt het echt uit of iemand een man of een vrouw is? Wat hun locatie is? Hun schoenmaat? Waarom heb je hun geboortedatum nodig?

focus-avg-signup

Houd alle verzamelde gegevens ook niet langer in huis dan nodig is voor het beoogde gebruik.

Je dient de data die je in huis hebt te beveiligen met geschikte beveiligingsmethoden (denk aan SSL). Dat geldt ook voor je toeleveranciers! Wanneer er toch een datalek optreedt, moet je dit zo snel mogelijk melden.

beveiliging-avg-https

Toestemming, transparantie, focus, beveiliging. Dat is de GDPR in vogelvlucht. Wie zich er niet aan houdt, kan bij (herhaaldelijke) overtredingen boetes ontvangen tot wel 4 procent van de jaaromzet of 20 miljoen euro (afhankelijk van wat hoger is).

Veel werk aan de winkel dus. Maar de AVG is niet alleen een lastenverzwaring voor online ondernemers. Het biedt ook een mooie kans om kaf van het koren te scheiden:

  • Zorg ervoor dat klanten je hun persoonlijke data écht gunnen, en je hebt een concurrentievoordeel.
  • Kortere aanmeldformulieren zorgen voor hogere conversies.
  • Daag jezelf uit om op inventieve manier toestemming te vragen. Bijvoorbeeld met een chatbot die om je schoenmaat vraagt voor gericht advies.

Goed. Dat klinkt allemaal heel mooi. Maar… hoe dan?

Doorloop deze stappen om je business klaar te maken voor de AVG.

Nu je aan de slag gaat, is het handig om te weten wat de wetgever precies bedoelt met die ‘persoonsgegevens’ waar je zorgvuldig mee om moet gaan, en wat daar juist niet onder valt.

persoonsgegevens

Wat zijn ‘persoonsgegevens’?

Informatie die iets zegt over een natuurlijk persoon.

Denk dus aan:

  • Naam
  • Adres
  • Telefoonnummer
  • E-mailadres
  • IP-adres
  • Geboortedatum
  • Geslacht
  • Schoenmaat

Of, als je echt creepy bent, deze lijst met 98 kenmerken.

Maar ook gegevens waarmee je een profiel kunt opbouwen, zoals:

  • KlantID
  • OrderID
  • GebruikersID
  • Versleuteld e-mailadres
  • Gepersonaliseerde data uit tracking scripts (bijv. Google Analytics of Hotjar, waarover later meer!)

Tot slot heb je volledig anonieme gegevens die niet te herleiden zijn tot een natuurlijk persoon. Deze vallen buiten de scope van de AVG.

Welke persoonsgegevens verwerk je?

Tijd om duidelijk in kaart te brengen:

  • Welke persoonsgegevens je verzamelt.
  • Hoe je ze verzamelt.
  • Waarom je de gegevens verzamelt.
  • Tot wanneer je de gegevens bewaart en waarom.
  • Met wie je de gegevens deelt.

lijst-avg

Dit geldt ook voor persoonsgegevens van je personeel, maar in dit artikel beperk ik me even tot de relatie bedrijf – klant/bezoeker.

Een voorbeeld:
Op de webshop roderozenbezorgen.nl vraag ik:

  • tijdens de aankoop als veld in een online formulier (hoe);
  • om NAW-gegevens van de klant (welke);
  • ten behoeve van de bezorging, facturering en garantie (waarom);
  • deze deel ik met onlineboekhoudenbv (met wie);
  • en bewaar ik 7 jaar vanwege de fiscale bewaarplicht (tot wanneer).

rode-rozen-avg

Tip: Doe deze inventarisatie zeker niet in je eentje. Meer mensen zullen meer verwerkingsmomenten kunnen inventariseren. Bijkomend voordeel is dat je collega’s alvast bewust maakt van de AVG.

Je weet nu welke persoonlijke data je verzamelt en waarom je deze verzamelt. Het ‘waarom’ moet je toetsen aan ‘privacy by default’. Waarom zou je het geslacht of de geboortedatum van iemand moeten weten om rode rozen te bezorgen (om het eerdere voorbeeld aan te houden)?

aleid-wolfsen-avg

Aleid Wolfsen, man, 58, voorzitter Autoriteit Persoonsgegevens

Volgens Aleid Wolfsen vragen bedrijven nog veel te vaak om dit soort ‘onnodige gegevens’.

De AVG gaat daarom ook uit van ‘privacy by default’:
Standaardinstellingen moeten de grootst mogelijke privacy garanderen.

In de praktijk betekent het dat je alleen het invullen van gegevens mag verplichten die noodzakelijk zijn voor de dienst die je aanbiedt.

Dus wel:

  • NAW-gegevens ten behoeve van bezorging rode rozen.

Maar niet:

  • Telefoonnummer ten behoeve van inschrijving nieuwsbrief.
  • Functie ten behoeve van downloaden whitepaper.

Natuurlijk zijn er genoeg redenen te bedenken waarom je toch graag iemands geslacht, geboortedatum, locatie, schoenmaat enz. wilt weten. Je mag hier dan ook op vrijwillige basis naar vragen. Geef duidelijk aan waarvoor je deze gegevens wilt gebruiken.

Bijvoorbeeld:

  • Vul je schoenmaat in om persoonlijke aanbiedingen te krijgen.
  • Met je locatie kunnen we je winkels in de buurt laten zien.

“Verstrek ons allerlei gegevens (waarmee we mogen doen wat we willen) want alleen zo krijg je deze gratis content” is geen geldige reden meer.

Wanneer je eenmaal toestemming hebt voor het gebruiken van persoonlijke gegevens, betekent dit nog niet dat je deze eindeloos mag bewaren. Al is het maar omdat je gevoelige gegevens daarmee onnodig blootstelt aan een verhoogd risico op diefstal of fraude.

oude-persoonsgegevens-avg

In principe mag je persoonsgegevens niet langer bewaren dan noodzakelijk voor het doel waarvoor ze zijn verzameld.

Mmm… Hoe zit dat dan bijvoorbeeld met klantgegevens in je webshop? Datamarketingtool Abacus berekende op basis van 500 miljoen transacties de gemiddelde periode waarin 90% van de klanten een eventuele vervolgbestelling doen per sector:

Zo lijkt het voor een online kledingwinkel logisch om NAW-gegevens vier jaar na de laatste aankoop te bewaren. Over de precieze termijn zijn nog geen harde richtlijnen. Je hebt hier dus wat vrijheid in. Soms is het ook logisch om gegevens veel sneller te verwijderen:

Je verrast je vriendin met rozen op Valentijnsdag:

  • Je bestelt ze via roderozenbezorgen.nl.
  • NAW-gegevens zijn nodig voor correcte bezorging.
  • Na afleveren zijn deze niet meer relevant. Verwijderen dus.

verrassing

Wat in ieder geval belangrijk is om vast te leggen:

  • Hoe lang je persoonsgegevens bewaart en waarom.
  • Hoe je deze gegevens automatisch gaat verwijderen.
  • Hoe eventuele derde partijen deze gegevens ook verwijderen.
  • Hoe deze gegevens ook uit backups worden verwijderd.

Wil je persoonsgegevens van iemand verwerken? Dan moet je expliciet om toestemming vragen. Dit geldt natuurlijk ook voor veel cookies.

toestemming-puppy-ogen-gdpr

Pleeeeeeease?!

AVG en functionele cookies

Voor sommige cookies hoef je geen toestemming te vragen. Deze zijn nodig om essentiële onderdelen van je site te laten functioneren. Ze onthouden bijvoorbeeld wat er in een winkelwagentje zit of wanneer je bent ingelogd. Ook cookies die anonieme gebruiksstatistieken meten mag je zonder expliciete toestemming gebruiken.

cookies-gdpr

Google Analytics toch gebruiken met een soft opt-in? Het is mogelijk. Onderaan dit hoofdstuk leg ik uit hoe.

AVG en overige cookies

Voor andere cookies moet je wel expliciet toestemming vragen. Deze verwerken persoonlijke of individuele gegevens.

Denk aan:

  • Cookies waarmee je individueel klikgedrag meet (o.a. HotJar).
  • Cookies waarmee je meet hoe lang iemand op een pagina is (om daarna bijvoorbeeld een livechat te kunnen openen).
  • Cookies waarmee je bezoekers laat reageren via social media.
  • Cookies om te meten of iemand een advertentie heeft gezien.

Deze toestemming is 12 maanden geldig (of tot de gebruiker deze intrekt). Daarna moet je weer opnieuw om toestemming vragen. Tot nu toe gooien veel sites alle cookies op een hoop:

cookies-krant

Deze ‘cookie wall’ mag vanaf 25 mei 2018 niet meer. Je moet ook toegang tot je website bieden voor wie geen targeting cookies wil. Ook een ‘standaardinstelling’ met alle cookies aangevinkt (zoals in het plaatje hieronder bij Nu.nl) is niet meer toegestaan.

cookiemelding-nu

Het volgende plaatje ziet er al beter uit. De gebruiker geeft zelf aan welke cookies hij of zij wil toestaan. Alleen de ‘functioneel’ en ‘statistieken’ cookies staan standaard aangevinkt en kunnen niet worden uitgeschakeld.

cookie-nu

Alles-of-niets of per categorie?

Een belangrijke afweging is hoe je je bezoeker over cookies laat beslissen. Met een keuze per categorie geef je de meeste vrijheid. De vraag is alleen of bezoekers hier rustig de tijd voor zullen nemen. Misschien klikken ze de melding gewoon weg en dan mag je alleen functionele cookies plaatsen.

Een alternatief is om bezoekers een simpeler keuze te bieden tussen functionele en alle cookies. In alle gevallen moet je de bezoeker duidelijk informeren over wat de cookies precies doen (waarover meer bij punt 9).

Google Analytics toch gebruiken? Zo doe je dat.

google-analytics

Met Google Analytics kun je veel te weten komen over het surfgedrag en de kenmerken van je bezoekers. Met de standaardinstellingen moet je echter wel om expliciete toestemming van je bezoekers vragen. De tool meet immers persoonsgegevens zoals IP-adressen.

Ben je bang dat je die toestemming niet krijgt? Dan kun je Google Analytics toch zo instellen dat je belangrijke functionaliteiten nog steeds zonder expliciete toestemming kunt gebruiken. Lees hier hoe je dat doet >>>

*Nadeel van deze methode is wel dat locatiedata in Google Analytics een stuk minder nauwkeurig wordt. Ook heb je natuurlijk geen opties meer om bezoekers persoonlijk te profileren/(re)targeten met advertenties.

Tip: En zo kun je ook anonimiseren in Hotjar! Kijk hier maar eens.

Toestemming is toch wel het toverwoord van deze nieuwe privacywet. Het digitale equivalent van puppy-ogen komt je als marketeer daarom prima van pas. Al het gaat uiteindelijk vooral om relevantie.

Ondubbelzinnige toestemming voor specifieke mailinglijst

Onder de AVG moet een ontvanger expliciet toestemming geven voor het krijgen van nieuwsbrieven of andere commerciële mailings.

Dus niet:

  • Automatisch aangevinkt als keuze.
  • Door het accepteren van algemene voorwaarden.
  • Vanwege het bezoeken van een evenement.
  • Om ‘te controleren of de adresgegevens nog kloppen’.

flybe-mail-boete

Vliegmaatschappij FlyBe kreeg maar liefst £ 70.000 boete voor deze ongevraagde heractivatiemailing

Maar wel:

  • Geïnformeerd over het onderwerp van de mailings.
  • Geïnformeerd over de frequentie van de mailings.
  • Geïnformeerd over de verstrekking van data aan derden.
  • De toestemming en verstrekte informatie fatsoenlijk vastgelegd (bijvoorbeeld via een provider zoals MailChimp).

Is een dubbele opt-in verplicht?

Om maar gelijk een bekend misverstand uit de weg te ruimen: nee, een dubbele opt-in (bevestiging mailadres na aanmelding via bijvoorbeeld de website) is niet verplicht onder de AVG.

optinoroptout

Toestemming voor monitoring openen/clicks/gedrag

Monitor je het individuele klikgedrag van mailontvangers? Dan moeten ze hier expliciet toestemming voor geven. Een goed argument is dat je op basis van deze informatie relevantere mailings kunt sturen.

Vraag eventueel opnieuw om toestemming

De voorwaarden van de nieuwe privacywetgeving gelden ook voor de mailadressen die je al in je bestand hebt!

Twijfel je of deze op AVG-waardige wijze zijn verkregen? Dan kun je voor de nieuwe wet ingaat een heractivatiemailing sturen. Vraag of de ontvanger mailing X met frequentie Y en het delen van data met Z wil blijven ontvangen. De mail moet een even prominente ‘Ja’ als ‘Nee’ knop bevatten. Geen reactie voor 25 mei geldt ook als een ‘Nee’.

Veel informatie hè? Mocht je dat nog niet gedaan hebben, dan is dit moment om even een bak koffie te pakken. Dan gaan we daarna verder met deel 2 van deze AVG-checklist voor internetondernemers.

need-coffee

Tot nu toe is het vooral over toestemming en focus gegaan, maar transparantie is ook een belangrijk onderdeel van de nieuwe wetgeving. Je privacy- en cookiestatement op je website zijn een prima manier om transparant te communiceren hoe je met persoonsgegevens omgaat.

Vermijd dus:

  • ellenlange zinnen;
  • dubbele ontkenningen;
  • juridische termen (of leg ze uit).

gemiddeld-leesniveau-nl

Uit onderzoek van Accessibility blijkt dat veel communicatie niet effectief is omdat de teksten te moeilijk geschreven zijn. Het gemiddelde leesniveau in Nederland ligt op taalniveau B1, terwijl 75% van de tekst wordt geschreven op taalniveau C1. Een eerste belangrijke voorwaarde voor je privacy- en cookie statement is dat ze in begrijpelijk Nederlands zijn geschreven.

Wat moet er in de privacyverklaring staan?

De Autoriteit Persoonsgegevens (AP) heeft een aantal specifieke eisen gesteld aan wat er in ieder geval in een privacyverklaring moet staan. Als het goed is heb je veel van deze informatie bij stap 1 al verzameld:

  • Welke persoonsgegevens je verwerkt.
  • Met welke doelen je deze gegevens verwerkt.
  • Of hier een wettelijke basis voor is (bijvoorbeeld bewaarplicht).
  • De bewaartermijn voor elk soort persoonsgegeven.
  • Met welke derde partijen je persoonsgegevens deelt.
  • Hoe de betrokkene een klacht kan indienen bij het AP.
  • Hoe je toestemming vraagt voor het krijgen van persoonsgegevens.
  • Dat betrokkenen hun toestemming altijd mogen intrekken.
  • Hoe betrokkenen hun persoonsgegevens altijd mogen inzien.
  • Hoe betrokkenen hun persoonsgegevens altijd mogen wijzigen.
  • Hoe betrokkenen hun persoonsgegevens altijd mogen verwijderen.
  • Hoe betrokkenen hun persoonsgegevens altijd mogen meenemen.
  • Naam en contactgegevens van de verantwoordelijke persoon bij je organisatie voor privacy- en gegevensbescherming.

De volledige lijst vind je hier

Heb je een voorbeeld van een AVG-compliant privacyverklaring?

Ja! De Consumentenbond heeft haar privacyverklaring bijvoorbeeld net gewijzigd (19/02/18) en deze lijkt te voldoen aan de voorwaarden in de nieuwe wetgeving. Ook het cookiebeleid ziet er aardig solide uit.

consumentenbond

Wil je een voorbeeld van leuke en begrijpelijke teksten over het waarom van persoonsgegevens verzamelen? Kijk dan eens bij CoolBlue.

“Telefoonnummer:  we nemen graag snel contact met je op over je bestelling. We bellen nog even als er iets onduidelijk is, en we sturen één sms over de bezorgstatus. Soms bellen we na afloop om te vragen of alles goed is gegaan. Dat scheelt ons een slapeloze nacht.”

Heb ik een Functionaris Gegevensbescherming (FG) nodig?

In de privacyvoorwaarden moet je – indien aanwezig – ook de contactgegevens van de Functionaris Gegevensbescherming vermelden. In het Engels ook wel Data Protection Officer genoemd.

sheriff

Die moet er ongeveer zo uitzien

Voor de meeste internetondernemers is het aanstellen van een FG niet verplicht. Dit is alleen noodzakelijke wanneer je:

  • Op grote schaal ‘bijzondere’ persoonsgegevens verwerkt zoals politieke voorkeur, ras, godsdienst of gezondheid.
  • Op grote schaal persoonsgegevens gebruikt ten behoeve van profiling. Bijvoorbeeld om kredietverzoeken te beoordelen.
  • Dit een kernactiviteit is van je organisatie.

Hier lees je meer over de Functionaris voor de Gegevensbescherming.

Moet ik een Data Protection Impact Assessment (DPIA) maken?

In dezelfde categorie valt de Data Protection Impact Assessment (DPIA) waarmee je vooraf meet wat de privacyrisico’s van een gegevensverwerking zijn. De meeste internetondernemers hoeven op dit moment nog geen DPIA te houden. Het is immers alleen verplicht bij grootschalige verwerkingen van (bijzondere) gegevens. In de toekomst komt de Autoriteit Persoonsgegevens met een uitgebreidere beschrijving van wanneer een Data Protection Impact Assessment verplicht is.

Grote kans dat je voor het opslaan of verwerken van persoonlijke gegevens gebruikmaakt van andere partijen. In de AVG noem je dit verwerkers (of processors in het Engels). Een betrokkene (data subject) moet altijd toestemming geven voor het gebruik van persoonsgegevens door deze verwerkers.

Verwerkersovereenkomsten/Data processing agreements

Met elke partij die namens jou persoonsgegevens verwerkt, moet je een verwerkersovereenkomst afsluiten (in de WBP heette dit een ‘bewerkers’ overeenkomst en in het Engels zeg je ‘data processing agreement’).

overeenkomst

Moet dat echt met elke cloudleverancier? vraagt een internetondernemer zich vertwijfeld af.
Ja, in principe wel (zegt de ICT-jurist).

Concentreer je echter eerst op de grote en belangrijkste partijen waar je data aan verstrekt. Denk bijvoorbeeld aan Google Analytics, Shopify, Mailchimp, Livechat, Salesforce, Hootsuite, Zendesk, Hotjar of Hubspot. Zij zijn in de regel al druk bezig met het implementeren van de AVG en hebben nu (of binnenkort) verwerkersovereenkomsten klaarstaan.

Overleg daarnaast ook met je belangrijkste Nederlandse datapartners. Denk bijvoorbeeld aan een marketingbureau of externe klantenservice.

Wat moet er in een verwerkersovereenkomst staan?

Kortweg: hoe de verwerker de persoonsgegevens verwerkt en beveiligt. Om te beginnen is het belangrijk dat het soort verwerking, het doel en de duur van de verwerking duidelijk beschreven staan.

  • Ook het soort persoonsgegevens zet je in de overeenkomst.
  • Verwerking vindt plaats op basis van jouw schriftelijke instructies.
  • Uitbesteding aan subverwerkers mag alleen na jouw toestemming.
  • De verwerker gebruikt de persoonsgegevens niet voor eigen doeleinden.
  • Mensen werkzaam bij/voor de verwerker hebben een geheimhoudingsplicht.
  • Welke passende beveiligingsmaatregelen de verwerker neemt.
  • Hoe de verwerker betrokkenen helpt met hun privacyrechten.
  • Na de werkzaamheden worden persoonsgegevens weer verwijderd.
  • Dat de verwerker desgevraagd meewerkt aan audits.

Heb je een voorbeeld van een verwerkersovereenkomst?

Dit is een eenvoudig voorbeeld, opgesteld door Privacy Company.

We zijn nog steeds bij het hoofdstukje transparantie. Wanneer de Autoriteit Persoonsgegevens daarom vraagt, moet je kunnen laten zien hoe je verantwoord omspringt met persoonlijke gegevens. Een belangrijk onderdeel daarin is een register met al je verwerkingsactiviteiten.

Wat moet er in een register verwerkingsactiviteiten staan?

Net als bij de privacyverklaring en nulmeting komt het ook hier weer vooral neer op wat, hoe, waarom, wanneer en wie:

  • Naam en contactgegevens van je organisatie/vertegenwoordiger.
  • Eventuele andere organisaties waar je persoonsgegevens mee deelt.
  • De doelen waarvoor je persoonsgegevens verwerkt.
  • Een beschrijving van de categorieën van persoonsgegevens.
  • Datum waarop je de gegevens moet wissen (als dat bekend is).
  • De categorieën van ontvangers aan wie je persoonsgegevens verstrekt.
  • Of je gegevens met een land/organisatie buiten de EU deelt.
  • Een beschrijving van de technische en organisatorische maatregelen die je hebt genomen om persoonsgegevens die je verwerkt te beveiligen.

Heb je een voorbeeld van zo’n register verwerkingsactiviteiten?

Ja! De Belgische Autoriteit Persoonsgegevens heeft een handig modelregister op haar website staan. ‘Franstalige benaming’ en ‘KBO-nummer’ zijn niet helemaal van toepassing, de rest wel.

Minstens net zo belangrijk is dat je kunt verantwoorden hoe en wanneer je toestemming hebt gekregen van een betrokkene om zijn of haar specifieke persoonsgegevens te gebruiken.

Een manier om dit vast te leggen is in een CRM-systeem. Daarin staat dan met een timestamp aangegeven wanneer iemand toestemming gaf. Ook de manier van toestemming geven moet worden worden vermeld.

Erg belangrijk: Je moet ook kunnen aantonen welke informatie de betrokkene tot zijn beschikking had toen hij de beslissing maakte.

Denk aan een afbeelding van hoe het formulier/chatgesprek/contactmoment er op dat moment uitzag. Maak bijvoorbeeld een screenshot zoals hieronder van het aanmeldformulier KLM Flying Blue (februari 2018)

klm-flyblue-avg

Een link naar een website is onvoldoende, de informatie kan namelijk elk moment weer veranderen!

Volgens de AVG heeft een betrokkene te allen tijde recht om zijn of haar eigen persoonsgegevens bij een organisatie op te vragen en geheel kosteloos binnen maximaal dertig dagen te ontvangen.

bkr

Betalen om je eigen gegevens in te zien (zoals nu nog bij onder andere het Bureau Krediet Registratie in Tiel) is vanaf 25 mei 2018 verleden tijd. Nu heb je volgens de huidige wetgeving ook al recht op inzage, maar organisaties kunnen je nog wel verplichten om op locatie langs te komen voor inzage. Leuk, als je bijvoorbeeld nog nooit in Tiel bent geweest.

Met het recht op portabiliteit komt daar verandering in. Je moet een betrokkene niet alleen inzicht geven in zijn of haar persoonsgegevens, je moet deze ook in een gangbaar ‘machineleesbaar’ formaat aanbieden. In de richtlijnen van de Autoriteit Persoonsgegevens worden onder andere bestandsformaten XML, JSON en CSV als voorbeeld genoemd.

Over welke persoonsgegevens moet je inzage verstrekken?

Alle gegevens die betrokkenen zelf aan je hebben verstrekt. Dus denk aan persoonsgegevens die ze in een formulier hebben ingevuld (naam, adres, geboortedatum), maar ook bijvoorbeeld de zoekgeschiedenis of locatiegegevens die ze met je hebben gedeeld. Vervolgens hebben betrokkenen ook het recht op wijzigen en het recht op een menselijke blik.

vergrootglas

Wijzigen omdat gegevens bijvoorbeeld onjuist zijn. Je moet desgewenst ook aan kunnen geven met wie je deze onjuiste gegevens in het verleden hebt gedeeld. Het recht op een menselijke blik is vooral van belang wanneer er op basis van persoonsgegevens automatisch een beslissing is genomen. Bijvoorbeeld inzake betalen op krediet. De betrokkene heeft het recht om te weten op basis van welke logica en gegevens de beslissing is genomen en de beslissing opnieuw te laten nemen maar nu met tussenkomst van een menselijke blik.

Tot slot zijn er het recht om vergeten te worden en het recht op beperking van de verwerking.

Het recht op vergetelheid is het duidelijkst. Een betrokkene kan je vragen al zijn of haar persoonsgegevens te verwijderen. Hier lees je wat de precieze voorwaarden daarvoor zijn. Bij het recht op beperking van de verwerking, mag je gegevens niet meer gebruiken, maar ook niet wissen. Bijvoorbeeld omdat een betrokkene ze later nog wil opvragen.

Hoe kan ik al deze rechten garanderen?

Sommige rechten onder de AVG zijn behoorlijk specifiek en niet voor elke internetondernemer even relevant.

Het recht op beperking van de verwerking voor je bubbelbadwebshop? Verwacht niet dat het eind mei ineens storm gaat lopen.

De praktijk moet dus ook deels gaan uitwijzen hoeveel consumenten van deze nieuwe privacyrechten gebruik gaan maken.

Kleine versus grotere ondernemers

Kleinere ondernemers kunnen erin volstaan om de rechten te noemen in hun privacyverklaring en consumenten de mogelijkheid te geven met specifieke verzoeken te mailen. Grotere partijen zullen het lastig gaan krijgen om alle verzoeken handmatig te beantwoorden. Voor hen zijn er datamanagement-oplossingen waarin je persoonsgegevens gecentraliseerd, herleidbaar, aanpasbaar en verwijderbaar opslaat.

Datalekken door slechte beveiliging komen helaas nog erg vaak voor, terwijl er met de invoering van de meldplicht datalekken in 2016 toch wel de nodige aandacht voor is geweest. Ook in de AVG is specifiek aandacht voor het beveiligen van persoonlijke gegevens.

Inhoudelijk verandert de meldplicht datalekken niet zozeer. Datalekken moet je nog steeds binnen 72 uur melden.

data-lek

De registratievereisten worden iets strenger en bij het niet naleven van de regels kunnen er hogere boetes worden opgelegd. De precieze richtlijnen liggen volgens de Autoriteit Persoonsgegevens echter nog niet vast. Wel is er al een conceptdocument beschikbaar.

Zo! In dit artikel las je een uitgebreide checklist over hoe je je als internetondernemer kunt voorbereiden op de AVG:

  1. Doe een nulmeting. Welke gegevens verwerk je nu al?
  2. Verwerk alleen noodzakelijk gegevens. Privacy by design.
  3. Bewaar persoonlijke gegevens niet te lang.
  4. Cookies? Vraag eerst netjes om toestemming.
  5. E-mails? Vraag weer netjes om toestemming.
  6. Pas je privacyverklaring en cookie statement aan.
  7. Sluit verwerkersovereenkomsten af.
  8. Stel een register verwerkingsactiviteiten op.
  9. Toon aan dat je toestemming hebt van de betrokkene.
  10. Zorg voor recht op inzage, wijzigen, portabiliteit en vergeten.
  11. Maak een databeveiligingsbeleid/scherp het aan.

Is het een beetje begrijpelijk allemaal? Of begint het je te duizelen?

Geen zorgen!

De soep wordt niet zo heet gegeten als-ie wordt opgediend.

hete-soep

Mkb’ers die ter goeder trouw aan de slag gaan met de AVG zullen niet gelijk met megaboetes van de Autoriteit Persoonsgegevens worden geconfronteerd. In de regel krijg je eerst waarschuwingen. Er worden alleen boetes uitgedeeld als er kwade wil in het spel is.

Bovendien, als je deze checklist helemaal hebt doorlopen, ben je stiekem best wel goed voorbereid. Misschien nog wel beter dan sommige grote organisaties.

Natuurlijk kan het altijd uitgebreider. Voor wie zin heeft: hier de volledige 99 pagina’s privacywetgeving.

Gery Stevens
Door

Gery Stevens

op 14 Mar 2018

Superstrak artikel! :) Dank je wel.

Martijn van Tongeren
Door

Martijn van Tongeren

op 15 Mar 2018

You're welcome!

Jenny
Door

Jenny

op 15 Mar 2018

Dit is zeer welkom. Fijn dat julie straks voor de Phoenixgebruikers ook al h.e.e.a. klaar hebben staan. THX

Martijn van Tongeren
Door

Martijn van Tongeren

op 22 Mar 2018

No worries! :-) Wij de techniek, zodat jij jouw business kan doen!

Baukje
Door

Baukje

op 15 Mar 2018

Ha Martijn, ik ben coach en laat prospects van te voren een vragenlijst invullen om helderheid te krijgen over de coachvraag. Kan dit na 25-5 nog wel?

Baukje
Door

Baukje

op 15 Mar 2018

PS. ze krijgen per mail een doc toe gestuurd en dat mailen ze dan weer terug

Bram
Door

Bram

op 20 Mar 2018

Hoi Baukje, in principe wel, zolang je maar duidelijk aangeeft waar je de informate voor gaat gebruiken en het ook alleen zo gebruikt.

Hores
Door

Hores

op 29 Apr 2018

Hoe zit het met de data security als je de klant persoonlijke informatie via het onveilige web laat terugsturen via de email? Email kan onderschept worden.

Martijn van Tongeren
Door

Martijn van Tongeren

op 22 Mar 2018

Precies wat Bram zegt :-)

Veerle
Door

Veerle

op 19 Mar 2018

Dank je voor het heldere overzicht!

Martijn van Tongeren
Door

Martijn van Tongeren

op 22 Mar 2018

Graag gedaan!

Els
Martijn van Tongeren
Door

Martijn van Tongeren

op 22 Mar 2018

Dank voor de toevoeging Els, mooie!

Flori
Door

Flori

op 22 Mar 2018

Bedankt Martijn om alles uitgezocht te hebben en duidelijk op een rijtje gezet hebt!

Martin Blonk
Door

Martin Blonk

op 22 Mar 2018

Top, Martijn! Dat je dit zo geheel belangeloos deelt! Echt een super actie!

Ruud Smeets
Door

Ruud Smeets

op 22 Mar 2018

Super artikel! Nu weet ik pas echt wat de AVG precies inhoud. Ik ga vast starten met het Analytics!

Martin
Door

Martin

op 22 Mar 2018

Nice! Dit scheelt mij weer een hoop uitzoek en verdiepingswerk. Bedankt.

Patrick
Door

Patrick

op 22 Mar 2018

Deze blog brengt tenminste duidelijk in de materie. Als je doet wat erin staat hoef je geen zorgen meer te maken. TOP artikel van Martijn.

Muriel
Door

Muriel

op 22 Mar 2018

Wat een top artikel! Ik wilde (moest) er van mezelf volgende week mee aan de slag gaan om alles goed in te stellen, maar met dit artikel wordt het een stuk makkelijker om te doen! Bedankt!

Sonia
Door

Sonia

op 22 Mar 2018

Ik heb dit onderwerp al weken op mijn to-do lijst en ik bleef maar kijken en vermijden!! Bedankt, nu kan ik in een keer alles doornemen.

Eric Piëst
Door

Eric Piëst

op 22 Mar 2018

Goed verhaal, Dank Martijn!

Christophe
Door

Christophe

op 22 Mar 2018

Hei noorderburen, mooi gedaan, en ook in België heel bruikbaar :) Wel nog deze vraag: hoe moet je aan de gebruiker laten weten dat je gegevens trackt via Google Analytics. Je tekst zegt 'via de standaardinstellingen', maar wat gebeurt er dan precies en wat kan de gebruiker dan zien en doen?

Chretien van
Door

Chretien van

op 22 Mar 2018

Geweldig structureel en duidelijk!!

Michal
Door

Michal

op 22 Mar 2018

Heel duidelijk en compleet. Lekker leesbaar geschreven. Ps mag dat straks nog? email vragen bij blog comment? 😉

Paul-Jan
Door

Paul-Jan

op 22 Mar 2018

Helder, gestructureerd en to the point wat gedaan moet worden.

Johan de Kreek
Door

Johan de Kreek

op 22 Mar 2018

Goed artikel. Bedankt Martijn.

Martijn Magermans
Door

Martijn Magermans

op 22 Mar 2018

Super Bedankt! Erg waardevol!

Milou
Door

Milou

op 22 Mar 2018

Top artikel, had me er al in verdiept maar deze blog scherpt sommige punten net wat verder aan. Nog wel een vraag. Ik schrijf verhalen voor opdrachtgevers. Die kunnen zij bv op hun website gebruiken. Hierin staan namen, leeftijden en soms ook woonplaats of andere persoonsgegevens. Hoe lang mag ik deze word bestanden bewaren? En hoe lang de gegevens van de geïnterviewde?

Thomas
Door

Thomas

op 22 Mar 2018

Top artikel! Maaruhh.. mag je van AVG nog wel naar mijn naam vragen voor een blog comment? Wordt wel erg saai als zèlfs dát niet meer mag..

Nathalie
Door

Nathalie

op 23 Mar 2018

Hai Martijn, we zijn heel blij dat je een heerlijk overzichtelijk stappenplan hebt gemaakt. We gaan er nu mee aan de slag. Nu, dus... :-) Fijne dag! Nathalie

Jan
Door

Jan

op 23 Mar 2018

Een van de beste artikels die ik over dit onderwerp gelezen heb...

Erwin
Door

Erwin

op 24 Mar 2018

Goed en duidelijk artikel, dankjewel! Alleen ' ten behoeve van' is een totale stijlbreuk met de rest van de tekst. Dat kun je op de meeste plekken gewoon vervangen door 'voor'. :)

Yolanda Stoer
Door

Yolanda Stoer

op 25 Mar 2018

Wat fantastisch en heel erg overzichtelijk! Het was een raadsel voor mij, dat AVG, tot nu toe! Wat ben ik blij met het artikel, dank je wel!

Peter
Door

Peter

op 26 Mar 2018

Zelden zo een uitgebreid overzicht gelezen. Heeft vast veel uitzoekwerk ingezeten!

Lia Moons
Door

Lia Moons

op 27 Mar 2018

Hoi Martijn, super om zo goed geïnformeerd te worden. Bedankt!

Esmée
Door

Esmée

op 27 Mar 2018

Fijn artikel! Ik maak me nu een stuk minder druk om de nieuwe wetgeving.

Gerard Weck
Door

Gerard Weck

op 27 Mar 2018

Heel uitgebreid en toch informatief. Goed geschreven en helder taalgebruik. En even tijd voor een glimlach bij de plaatjes! Ik heb de vrijheid genomen dit artikel te delen op LinkedIn, uiteraard met bronvermelding. In hoeverre gelden de AVG bepalingen voor non profit organisaties zoals sportverenigingen of lokale afdelingen van politieke partijen (bv hun kennisbank)?

Marijke
Door

Marijke

op 27 Mar 2018

Hoe zit het met het ipadres dat acher de schermen te zien is als ik deze reactie achterlaat? Ik kan dan wel mijn naam en andere gegevens niet invullen, maar het ipadres is nog steeds te zien toch?

Joan
Door

Joan

op 27 Mar 2018

Ik had al veel doorgenomen (of dat getracht te doen) en gelukkig ontving ik je mailtje met link. Dit is heel prettig leesbaar en ik voel me nu meer in staat om de boel te gaan implementeren. Dank, Martijn.

Kerstin
Door

Kerstin

op 30 Mar 2018

Duidelijk artikel. Daar heb ik wat aan! thnx voor het uitzoeken :)

Joja Nuninga
Door

Joja Nuninga

op 03 Apr 2018

Hartelijk dank voor dit duidelijk geschreven artikel!

Marcel Borst
Door

Marcel Borst

op 04 Apr 2018

Ik heb een hele training gedaan (betaald) voor de AVG, maar dit gaat veel verder en is veel duidelijker. Dus een goede toevoeging. Dank hiervoor. Het staat op mijn actielijst.

Linda van Reijn
Door

Linda van Reijn

op 04 Apr 2018

Dankjewel Martijn! Hier word ik erg blij van.

Jonathan
Door

Jonathan

op 06 Apr 2018

Bedankt voor de uitgebreide checklist! En de volledige privacywetgeving bevat 88 pagina's ;)

OZ
Door

OZ

op 08 Apr 2018

Erg fijn om zo uitgebreid de toepassing van GDRP te lezen. Bedankt weer!

Jan-Willem
Door

Jan-Willem

op 09 Apr 2018

Thanks!! Je zou er een eBook van moeten maken, dan kan ik hem iets makkelijker afdrukken en stap voor stap volgen :)

Karel
Door

Karel

op 16 Apr 2018

Helder. Tekst en ondersteunende plaatjes. Wat ik zelf elders heb gelezen dat elk land ook nog specifieke eisen kan stellen. Duitsland heeft dat al met de Functionaris door het stellen van een eis mbt organisatiegrootte. Deze is kleiner dan de Europese regelgeving.

Kees
Door

Kees

op 24 Apr 2018

Hoi Martijn, Top artikel. Alleen waar is jullie cookiemelding dan? :)

Martijn van Tongeren
Door

Martijn van Tongeren

op 26 Apr 2018

Het is nog geen 25 mei Kees, haha ;-)

Van der meer
Door

Van der meer

op 01 May 2018

Hoe zit het met papieren boekhouding die ik naar mijn boekhouder breng? Moet ik daar iets mee?

Pieter Pieters
Door

Pieter Pieters

op 01 May 2018

Vandaag de laatste acties afgerond m.b.t. de AVG Dankjewel Martijn voor dit overzichtelijke stappenplan.

Julia Gerlach
Door

Julia Gerlach

op 02 May 2018

Goed artikel. helder en duidelijk. Dank van deze ondersteuning.

Hilly Goedhart
Door

Hilly Goedhart

op 04 May 2018

Al veel gelezen over de AVG, maar dit artikel heeft precies de juiste mix van informatie en luchtigheid. Bedankt! We gaan onze klanten ernaar verwijzen.

Rebekka Deforce
Door

Rebekka Deforce

op 08 May 2018

Bedankt, heel overzichtelijk zo! De 99 pagina's PDF werkt niet.

Henriette
Door

Henriette

op 11 May 2018

Kei bedankt! Fijn dat je deze informatie zo begrijpelijk, leuk, pakkend en duidelijk hebt gedeeld!

j.van.nispen5@kpmplanet.nl
Door

j.van.nispen5@kpmplanet.nl

op 12 May 2018

Als ik toestemming van mijn relatie om zijn gegevens in mijn boekhouding te bewaren, moet ik dan ook toestemming vragen om mijn boehouding met zijn gegevens bij mijn accountant achter te laten? Als ik aan alles heb voldaan, waar bewaar ik dan al deze gegevens en moeten die door een jurist of advocaat worden ondertekent. Ik heb nl te horen gekregen dat je hier een dergelijk persoon voor in de arm moet nemen en dat die minstens 1500,-- euro excl. btw kosten. Das rechtsbijstand vraagt zelfs 59,-- euro per maand.

Fulco Wolf
Door

Fulco Wolf

op 16 May 2018

Een compleet pareltje aan informatie, hart.dank Martijn. Vr.Gr.Fulco

Rolf
Indra Moonen
Door

Indra Moonen

op 22 May 2018

Superfijn artikel, merci voor het delen!

Yvonne
Door

Yvonne

op 24 May 2018

Bedankt! Erg duidelijk en erg nuttig!

Claire
Door

Claire

op 06 Jun 2018

Hi Martijn,Zoals jullie de opt-in doen bij de download van het ''Winnen in Google'' boek, is toch niet toegestaan met oog op de AVG? Jullie zeggen hier ''Meld je aan op onze nieuwsbrief en ontvang Winnen in Google als welkomstgeschenk!'' Terwijl men hier alleen het ebook wil en expliciet toestemming moet geven voor de nieuwsbrief.Hoor graag hoe jullie hierin staan :)Gr, Claire

Mark
Door

Mark

op 17 Jul 2018

Hi Martijn, Dat je klanten moet berichten snap ik volledig. Moet je ook al je leveranciers met wie je contact hebt berichten? Geen CRM pakket dus enkel email archief. Hoor graag.Groet,Mark

Voorbeeldcontract
Door

Voorbeeldcontract

op 13 Aug 2018

Dank voor het artikel!

Jeffrey
MatthewCor
Reactie plaatsen