Is Mijn Website AVG Proof? Dit Moet Je Weten

 

De AVG – binnenkort is de nieuwe wet een feit. Je hebt vast al het een en ander gehoord over de strenge regels en torenhoge boetes waarmee wordt gedreigd als je straks niet AVG Proof bent. Maar wat betekent de AVG nou echt voor jouw website? Lees verder voor de belangrijkste regels in de AVG en een aantal praktische stappen die je kunt nemen om jouw website AVG Proof te maken.

Wat is de AVG?

De Algemene Verordening Gegevensbescherming (AVG) is een nieuwe wet die per 25 mei 2018 van toepassing is. Deze wet geldt in de gehele Europese Unie en vervangt de Wet bescherming persoonsgegevens (Wbp). In het Engels wordt de AVG ‘General Data Protection Regulation’ (GDPR) genoemd.

Met de komst van de AVG worden privacyrechten versterkt en uitgebreid. Voor organisaties betekent dit dat ze meer verantwoordelijkheden krijgen op het gebied van privacybescherming. Het is belangrijk om als organisatie goed op de hoogte te zijn van deze nieuwe verantwoordelijkheden. Boetes kunnen namelijk oplopen tot 20 miljoen euro.

Een van de belangrijkste zaken waarop je moet letten als organisatie is je website. Grote kans dat daar persoonsgegevens op een of andere manier worden verzameld. Contactformulier? Nieuwsbrief? Facebook Pixel? De AVG heeft hier wat over te zeggen!

 

 

Verzamelen van persoonsgegevens

Zomaar persoonsgegevens verzamelen en verwerken mag dus niet meer. Je mag persoonsgegevens alleen verwerken als je daarvoor een goede reden hebt. In de AVG staan 6 grondslagen waarop je dit kunt baseren.

  1. Toestemming van de gebruiker
  2. Vitale belangen
  3. Wettelijke verplichting
  4. Uitvoering overeenkomst
  5. Algemeen belang
  6. Gerechtvaardigd belang

Nummer 1 en 4 zijn hoogstwaarschijnlijk het meest toepasbaar op je website. Daar zoomen we hier op in.

Toestemming van de gebruiker

De AVG dicteert niet hoe organisaties precies om toestemming moeten vragen, maar er worden wel enkele eisen gesteld.

  • Toestemming moet vrijelijk worden gegeven, een persoon mag dus niet onder druk worden gezet om persoonsgegevens op te geven. Denk bijvoorbeeld aan machtsverhoudingen tussen een werkgever en werknemer.
  • Je mag mensen niet misleiden om aan persoonsgegevens te komen. Het vooraf aangevinkte vakje met minuscule tekst waarmee je toestemming geeft, mag onder de AVG niet. Het moet voor bezoekers van je website duidelijk zijn dat ze toestemming geven. Die keuze moeten ze bewust maken.
  • Je informeert mensen over het gebruik van de persoonsgegevens die je van ze vraagt. Hieronder valt de identiteit van je organisatie, het doel waarmee je persoonsgegevens verzamelt, welke persoonsgegevens worden verzameld en gebruikt, en hoe mensen hun toestemming kunnen intrekken.

Wat betekent dat voor je website? Zorg dat er altijd expliciet toestemming wordt gegeven voordat gegevens kunnen worden verzonden. Het is belangrijk dat mensen precies weten waar ze toestemming voor geven. De toestemming die wordt gegeven, geldt alleen voor een specifiek doel. Dit doel mag later niet veranderen.

Uitvoering overeenkomst

Deze grondslag geldt wanneer je een overeenkomst hebt met iemand waarvoor het verwerken van diens persoonsgegevens noodzakelijk is.

Wanneer je iets verkoopt in een webshop, mag je de adresgegevens van de koper gebruiken om het product te laten bezorgen. De verkoop is de overeenkomst. Dezelfde adresgegevens gebruiken voor andere doeleinden? Dat mag alleen als je daar expliciet toestemming voor krijgt. Het doel van de persoonsgegevens mag niet veranderen nadat toestemming is gegeven.

Meer weten over alle grondslagen? Hier kun je er alles over lezen.

Verschillende soorten persoonsgegevens

De zes grondslagen gelden alleen bij het verwerken van gewone persoonsgegevens. Onder de AVG worden nog twee andere typen persoonsgegevens onderscheiden:

Bijzondere en strafrechtelijke gegevens.

Het verwerken van deze persoonsgegevens is verboden, tenzij beroep wordt gedaan op een specifieke wettelijke uitzondering.

Bijzondere gegevens

De AVG ziet bepaalde persoonsgegevens als ‘bijzonder gevoelig’. De volgende gegevens krijgen extra bescherming:

  • Persoonsgegevens waaruit ras of etnische afkomst blijkt
  • Persoonsgegevens waaruit politieke opvattingen blijken
  • Persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken
  • Persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt
  • Gegevens over gezondheid
  • Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid
  • Genetische gegevens
  • Biometrische gegevens met het oog op de unieke identificatie van een persoon.

Voor het verwerken van deze gegevens gelden speciale regels.

Strafrechtelijke gegevens

Strafrechtelijke persoonsgegevens hebben te maken met strafrechtelijke veroordelingen en strafbare feiten. Dit zijn gegevens waaruit blijkt dat een persoon een strafbaar feit heeft gepleegd.

Deze gegevens mogen niet worden verwerkt tenzij sprake is van een wettelijke uitzondering én de situatie valt onder een van de zes grondslagen voor normale persoonsgegevens.

 

 

 Gegevens van kinderen

Onder de AVG mogen de gegevens van kinderen nog steeds verwerkt worden. Personen onder de 16 jaar krijgen wel extra bescherming van de AVG.

Verwerken van persoonsgegevens van kinderen onder de 16 jaar mag alleen als ouders daar toestemming voor geven. Dit geldt bijvoorbeeld wanneer de gegevens worden gebruikt voor marketingdoeleinden of voor het maken van gebruikersprofielen.

Je bent als organisatie verplicht om een redelijke hoeveelheid moeite te doen om te checken dat de toestemming is gegeven door een bevoegde persoon. Het kan voorkomen dat de Autoriteit Persoonsgegevens je vraagt om aan te tonen dat je de moeite hebt gedaan.

Gegevens kinderen privacy online

Verantwoordingsplicht

De AVG legt een grote verantwoordelijkheid bij organisaties. Het is aan de organisatie om aan te kunnen tonen dat ze aan de privacyregels voldoen. De Autoriteit Persoonsgegevens kan je vragen om te bewijzen dat je aan de regels voldoet.

De AVG noemt een paar concrete maatregelen. Als organisatie ben je verplicht je hier aan te houden.

  • Je moet een register van verwerkingsactiviteiten bijhouden.
  • Verzamel je gegevens met een hoog privacyrisico? Je moet een Data Protection Impact Assessment  (DPIA) uitvoeren. Hierover straks meer.
  • Houd een register bij van datalekken die zijn voorgekomen.
  • Je kunt aantonen dat betrokkenen toestemming hebben gegeven voor de verwerking van hun persoonsgegevens.
  • Stelt je organisatie geen Functionaris voor gegevensbescherming aan? Je moet kunnen onderbouwen waarom deze keuze is gemaakt.

Verder geeft de Autoriteit Persoonsgegevens enkele vrijwillige maatregelen. Deze helpen je om aan de toezichthouder te laten zien dat je aan de eisen van de AVG voldoet.

  • Maak / hanteer een gedragscode binnen een branche of sector. Deze kun je goed laten keuren door de Autoriteit Persoonsgegevens.
  • Behaal relevante certificaten.
  • Maak / hanteer een specifiek ICT-beveiligingsbeleid.
  • Leg verantwoording af over de verwerking van persoonsgegevens in het jaarverslag.

Functionaris Gegevensbescherming

Data Protection Impact Assessment

Wanneer het verwerken van gegevens een hoog pricacyrisico veroorzaakt, moeten organisaties onder de AVG een Data Protection Impact Assessment (DPIA) uitvoeren. In de Nederlandse vertaling van de AVG wordt de term ‘gegevensbeschermingseffectbeoordeling’ hiervoor gebruikt.

Er is sowieso sprake van een hoog privacyrisico in de volgende gevallen:

  • Je organisatie evalueert persoonlijke informatie systematisch en uitvoerig
  • Je organisatie verwerkt bijzondere persoonsgegevens op grote schaal
  • Je organisatie volgt mensen op grote schaal in een publiek toegankelijk gebied. Bijvoorbeeld met cameratoezicht.

Organisaties moeten zelf bepalen of ze een DPIA dienen uit te voeren.

Wat moet er precies in? De beroepsorganisatie van IT-auditors heeft een uitvoerig document opgesteld met richtlijnen voor een DPIA. In dit document staat onder andere een lange vragenlijst

Zo word je AVG Proof: praktische aandachtspunten voor je website

Toestemming

Gegevens verzamelen? Zorg dat mensen eerst toestemming moeten geven. Bijvoorbeeld door een vakje aan te kruisen waarmee ze expliciet toestemming geven voor het verwerken van de persoonsgegevens voor bepaalde doelen. Je moet kunnen aantonen dat deze toestemming is gegeven.

Privacyverklaring

Zorg dat een heldere privacyverklaring op je website staat. Deze moet makkelijk te vinden zijn voor je bezoekers.

In de verklaring moet een aantal elementen naar voren komen:

  • De identiteit van je bedrijf
  • Doeleinden en rechtsgronden voor de verwerking
  • Als verwerken van persoonsgegevens wettelijk of contractueel noodzakelijk is: de gevolgen van het niet verstrekken van persoonsgegevens
  • Duur van de opslag: hoe lang worden gegevens bewaard?
  • Recht op inzage, rectificatie of wissen van de persoonsgegevens
  • Het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens

Lees hier meer over het opstellen van een privacyverklaring.

Cookiebanner

Gebruik je tracking-cookies om informatie over je bezoekers te verzamelen? Dan is een cookiebanner verplicht. Zorg dat gegevens van bezoekers alleen worden verzameld nadat ze hier expliciet toestemming voor geven.

Cookiebanner-voorbeeld

 

SSL

Https is al een tijd de standaard. Websites met https hebben een SSL-certificaat en bezoekers zijn er zeker van dat de verbinding is beveiligd. Onder de AVG is het verplicht om een beveiligde verbinding te gebruiken bij het verzamelen van persoonsgegevens. Ben je nog niet over? Doe het dan snel.

Google Analytics

Gebruik je Google analytics om statistieken van je website te verzamelen? Je moet dan een paar stappen nemen om aan de AVG te voldoen. Je moet ten eerste de geüpdatete voorwaarden voor gegevensbewerking accepteren. Ook moet je zorgen dat je de data niet deelt. Ten slotte raden we aan om IP-adressen te anonimiseren. Deze instellingen kunnen alleen door een beheerder worden gewijzigd.

Gebruik je andere plugins op je website waarmee gegevens worden verstuurd naar derde partijen? Zorg dat deze partijen zich ook aan de regels van de AVG houden. Jij bent verantwoordelijk voor de data die worden verstuurd.

Check je website met de AVG-Website Check

Met de AVG Website Check van PONCK kun je eenvoudig een check uitvoeren op je website. Deze tool scant je website op zoek naar overtredingen. Er wordt bijvoorbeeld gekeken naar alle formulieren op de website, zit er een checkbox bij waarmee mensen toestemming geven voor de verwerking van gegevens? Worden er trackingscripts van derde partijen gebruikt voordat daar toestemming toe is gegeven? Staat er een privacybeleid op de website? Check je website direct door op de button hieronder te klikken of ga direct naar AVG Support. 

 

 

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.