Spring naar content

In 3 stappen AVG-proof voor 25 mei 2018

De tijd begint te tikken en voor je het weet is het alweer 25 mei. Vanaf die dag gaat de Algemene Verordening Gegevensverwerking (AVG = GDPR) in en kan de Autoriteit Persoonsgegevens flinke boetes uitdelen wanneer je onzorgvuldig omgaat met persoonsgegevens. Wanneer je Googelt op wat je allemaal voor elkaar moet hebben dan snappen wij dat je daar zenuwachtig van wordt. Daarom hebben wij geprobeerd zo simpel mogelijk én in maar 3 stappen uit te leggen hoe je jouw bedrijf AVG-proof maakt. Dan valt het ineens erg mee!

First things first: Wat is de AVG?

Vanaf 25 mei 2018 treedt de AVG dus in werking. Vanaf deze dag geldt voor heel de Europese Unie dezelfde regelgeving omtrent de omgang en het verwerken van persoonsgegevens. Voor we beginnen met uit te leggen aan welke 3 dingen je moet voldoen wil je boetes voorkomen leggen we eerst wat begrippen uit die je vaak tegenkomt.

  • Betrokkene: een natuurlijk persoon (=mens) die persoonlijke- en bijzondere gegevens ter beschikking stelt.

We zeggen expres ‘Natuurlijk persoon’ omdat voor veel B2B bedrijven de AVG geen impact heeft. Zakelijke contacten vallen namelijk niet onder AVG. TO BE FOUND die een naam + telefoonnummer van bedrijf X heeft valt dus niet onder de AVG!

  • Verwerkingsverantwoordelijke: het bedrijf dat de persoonsgegevens van een natuurlijk persoon krijgt.

Bijvoorbeeld webshop Y die naam, adres, woonplaats etc. ontvangt bij een bestelling van Consument Z.

  • Verwerker: De partij die voor de webshop werkzaamheden uitvoert zoals het opzetten van e-mailmarketing campagnes.

Dit kan TO BE FOUND dus zijn die een e-mailmarketingcampagne uitvoert voor webshop Y.

Hoe krijg je jouw bedrijf AVG-proof?

De Autoriteit Persoonsgegevens communiceert 10 stappen waarmee je jouw bedrijf AVG proof maakt. Deze stappen hebben impact op zowel de organisatorische- als de technische kant van jouw bedrijf. Van deze 10 stappen hebben wij 3 stappen weten te maken waarvan wij geloven dat als jij die op orde hebt dat je heel goed op weg bent. Laten we dus snel beginnen!

1. Informatieplicht > Schrijf een privacy statement

Vanaf 25 mei 2018 hebben bedrijven een informatie plicht. Feitelijk betekent dit dat bedrijven moeten bijhouden van wie ze gegevens hebben, waar de gegevens voor worden gebruikt, of er datalekken zijn geweest en of de Betrokkene (= natuurlijk persoon) toestemming heeft gegeven voor de gegevensverwerking.

Om toestemming te krijgen voor het verwerken van persoonsgegevens heb je een cookiemelding nodig op je website. Deze kan je door een gespecialiseerde webbouwer in je website laten bouwen. Wat regels met betrekking tot de cookiemelding:

  • Vrijelijk gegeven: Je mag websitebezoekers niet benadelen wanneer ze geen toestemming geven
  • Ondubbelzinnigheid: Duidelijke actieve handeling (websitebezoekers plaatst vinkjes)
  • Informeren: Doel van de gegevensverwerking (link naar privacy statement)
  • Specifiek: Meerdere doelen bij gegevensverwerking? Meerdere keren toestemming vragen
AVG cookievermelding Frankwatching

Voorbeeld van een uitgebreide cookiemelding

De informatieplicht die je vanaf 25 mei 2018 hebt kan je uiten middels een privacyverklaring. Deze privacyverklaring moet zichtbaar zijn op het eerste moment dat een Betrokkene persoonlijk gegevens gaat verschaffen, zoals bij een contactformulier. Veel bedrijven plaatsen een link naar de privacyverklaring in de footer of bij de algemene voorwaarden in het afrekenscherm (wanneer het een webshop betreft).

De volgende punten moeten in de privacy statement worden opgenomen:

  • Identiteit + contactgegevens verwerkingsverantwoordelijke

In ons geval is dat dus TO BE FOUND, Vriesestraat 119, info@tobefound.nl etc.

  • Doeleinden en rechtsgrond van de verwerking
  • De ontvangers van de persoonsgegevens
  • Of je van plan bent om de persoonsgegevens door te geven aan organisaties buiten de EU of een internationale organisatie (CampaignMonitor, MoneyBird etc.)
  • Bewaartermijn van gegevens
  • Rechten van de betrokkene:
    • Recht op inzage
    • Recht op rectificatie
    • Recht op beperking van de verwerking
    • Recht van bezwaar
    • Recht op menselijke blik bij besluit
    • Recht op gegevensoverdracht
    • Recht op intrekken van toestemming voor verwerking persoonsgegevens
  • Contactgegevens waar een betrokkene een klacht kan indienen
  • Waarom de betrokkene verplicht is persoonsgegevens te verstrekken en wat de gevolgen zijn als de persoonsgegevens niet worden verstrekt
  • Bron waar de persoonsgegevens vandaan komen (indien data van een andere organisatie is verkregen)

Zorg ervoor dat de online privacyverklaring op de website staat en vervolgens kan je in de cookiemelding verwijzen naar de statement. Daarnaast schrijf je de statement in duidelijke taal die voor iedereen te begrijpen valt (dus ook voor kinderen als dat je doelgroep is!). Bekijk de TO BE FOUND privacy statement »

2. Verwerkingsovereenkomsten maken met verwerkers

Voor al onze klanten is TO BE FOUND de Verwerker. Wij voeren immers werkzaamheden uit voor de Verwerkingsverantwoordelijke. Zodra onze klanten persoonsgegevens (bijvoorbeeld voor een e-mailcampagne) naar ons doorspelen omdat wij daar mee moeten werken dan zijn wij samen verantwoordelijk voor een goede beveiliging van die gegevens. Daarom zijn de Verwerkingsverantwoordelijke en Verwerker samen verplicht om een verwerkingsovereenkomst op te stellen.

Wat jij als bedrijf moet doen is nagaan of je persoonlijke gegevens van je natuurlijke klanten doorspeelt naar Verwerkers zoals TO BE FOUND. Dit geldt dus niet wanneer je zakelijke contactpersonen doorspeelt!

Wanneer dit het geval is moet het volgende in een verwerkersovereenkomst komen:

  • Registratie van de werkzaamheden van de Verwerker
  • Gezamenlijk overleggen hoe de gegevens beschermd moeten worden
  • Wie er verantwoordelijk is voor datalekken
  • Hoe gestolen data wordt teruggehaald
  • De Verwerker dient tevens sub verwerkers kenbaar te maken

Maar denk ook aan dingen als:

  • Geheimhoudingsplicht
  • Instructies verwerking
  • Privacy rechten
  • Gegevens verwijderen bij stoppen samenwerkingsverband
  • Audits vanuit Verwerkingsverantwoordelijke

Op zoek naar model voor een verwerkersovereenkomst? Bekijk dan het model verwerkersovereenkomst van de Rijksoverheid >>

3. Tref organisatorische- en beveiligingsmaatregelen binnen jouw bedrijf

Het is makkelijk om alles op papier te zetten maar het is nog belangrijker om je aan alle maatregelen te houden. Daarom moet je binnen het bedrijf de nodige maatregelen treffen:

  • Wie is de verantwoordelijke voor alle verzoeken, klachten van de Betrokkene? Wie handelt deze verzoeken af?
  • Hoe zorgen we ervoor dat we alle persoonsgegevens structureel verwerken?
  • Hoe gaan we om met datalekken? Hoe documenteren we datalekken?
  • Etc.

Tot slot, een storm in een glas water?

De AVG is niet de eerste grote wetswijziging van de afgelopen jaren. In het verleden zijn er al vaker hypes geweest waardoor allerlei bedrijven in rep en roer waren omdat ze in één keer zoveel aan moesten passen. Wij verwachten dat het AP niet op 26 mei voor de deur staat om boetes uit te delen maar daar gaat het ook niet om. Als we de privacygevoelige gegevens van consumenten kunnen gebruiken dan moeten we daar netjes mee omgaan. Zorg er dus voor dat jouw bedrijf data goed beveiligd heeft, dat je inzicht hebt in wat voor data je binnenkrijgt en dat je de rechten van consumenten respecteert!

Heb je na het lezen van dit artikel nog vragen over de AVG of ben je benieuwd geworden of de privacyverklaring van jouw bedrijf goed is opgesteld? Neem dan contact met ons op zodat we samen wat tijd in kunnen boeken om jou van advies te voorzien. Volg ons ook op LinkedIn, Facebook, Twitter en Instagram voor de laatste online marketingontwikkelingen!