GDPR/AVG wetgeving en de invloed op MKB websites

Wat betekend de GDPR / AVG voor websites? Op 25 mei 2018 gaat de nieuwe wetgeving omtrent persoonsgegevens in. In Nederland kenden we de Wet Bescherming Persoonsgegevens (Wbp) al, waar de omgang met persoonsgegevens in vastgesteld is. Een wetgeving voor de gehele Europese Unie bestond echter nog niet. Met de AVG (Algemene Verordening Gegevensbescherming), ofwel General Data Protection Regulation (GDPR) wordt de wetgeving in alle landen binnen de EU gelijkgetrokken.

De AVG / GDPR is een wet die impact heeft op de omgang met alle informatie omtrent een persoon. De wetgeving is al in mei 2016 in werking getreden maar wordt vanaf mei 2018 ook daadwerkelijk gehandhaafd. Boetes bij overtreding kunnen enorm hoog oplopen. De maximale boete voor het negeren van de regels bedraagt € 20 miljoen of 4% van de wereldwijde omzet. Genoeg om veel bedrijven te kunnen sluiten na overtreding. Om deze situatie te voorkomen is een goede voorbereiding noodzakelijk!

Versterkte toestemmingsvereisten, transparantie en beperking (dataminimalisatie) vormen de kern van de nieuwe wetgeving. Als je gegevens van een betrokkene verwerkt, moet je binnen de nieuwe wetgeving:

  • Uitdrukkelijke toestemming van elke gebruiker vragen voordat er gegevens worden verzameld. Verzoeken moeten in een gemakkelijk te begrijpen taal gepresenteerd worden en duidelijk zichtbaar zijn. Van alle gegevens moet je duidelijk omschrijven waarom je ze verzamelt
  • Zorgen voor een duidelijk en toegankelijk privacybeleid dat gebruikers informeert hoe verzamelde gegevens worden opgeslagen, gebruikt en hoe lang ze bewaard blijven
  • Zorgen voor de mogelijkheid om (persoons)gegevens op te kunnen vragen die je over de betrokkene hebt verzameld. Geef gebruikers een manier om toestemming in te trekken en persoonlijke gegevens die over hen zijn verzameld aan te passen en te verwijderen.

1. Verwerking van persoonsgegevens

De AVG / GDPR heeft betrekking op het verwerken van persoonsgegevens. Dit verwijst eenvoudigweg naar elke bewerking die wordt uitgevoerd op persoonlijke gegevens zoals verzameling, opslag, wijziging en verwijdering. Hierover later meer. Laten we eerst eens kijken wat persoonsgegevens dan eigenlijk zijn.

Wat zijn persoonsgegevens?

Alle gegevens die kunnen worden gebruikt om een ​​levende persoon direct of indirect te identificeren, worden beschouwd als persoonlijke gegevens. Artikel 1 in de Wet Bescherming Persoonsgegevens beschrijft het als volgt: 'Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon'. Hierbij kan je denken aan:

  • Naam
  • Adres al dan niet met een huisnummer
  • Telefoonnumer
  • E-mailadres
  • Burgerservicenummer
  • Locatie gegevens
  • IP adres

Gevoelige persoonsgegevens behoren tot een speciale categorie die nog zorgvuldiger behandeld moeten worden. Het omvat gegevens zoals:

  • Ras
  • Gezondheidsstatus
  • Seksuele oriëntatie
  • Religieuze overtuigingen
  • Politieke overtuigingen
  • Strafrechtelijk verleden

De wet is van toepassing op bedrijven of organisaties in de Europese Unie. Degenen die buiten de EU goederen en diensten aanbieden (al dan niet betaald) aan mensen die in de EU wonen, of hun gedrag monitoren, moeten zich hieraan houden.

Verwerken van persoonsgegevens

Nu we weten wat er met persoonsgegevens wordt bedoeld gaan we inzoomen op gegevensverwerking. Onder verwerken van persoonsgegevens wordt elke handeling met betrekking tot persoonsgegevens bedoeld. In de wet staan voorbeelden van verwerking:

  • Verzamelen
  • Vastleggen
  • Ordenen
  • Bewaren
  • Bijwerken
  • Wijzigen
  • Opvragen
  • Raadplegen
  • Gebruiken
  • Verstrekking door middel van doorzending
  • Verspreiding of enige andere vorm van terbeschikkingstelling
  • Samenbrengen
  • Met elkaar in verband brengen
  • Afschermen
  • Uitwissen
  • Vernietigen van gegevens.

Menselijke tussenkomst is voor verwerking niet altijd noodzakelijk. Waar het om gaat is dat er enige invloed op de persoonsgegevens kan worden uitgeoefend. Of deze invloed daadwerkelijk wordt uitgeoefend is niet relevant.

De rechten van betrokkenen volgens GDPR?

Betrokkenen hebben een aantal belangrijke rechten binnen de nieuwe regelgeving. De belangrijkste rechten met betrekking tot hun persoonlijke gegevens hebben we hieronder even opgesomd.

  • Recht op inzage
    Iedereen heeft het recht op inzage in zijn of haar gegevens. Zo kan er een verzoek worden gedaan om alle verzamelde gegevens op te sturen. Hier mogen geen kosten voor in rekening worden gebracht.
  • Recht op rectificatie
    Na het recht op inzage bestaat ook het recht om gegevens te rectificeren. Er kan dus een verzoek worden gedaan tot een toevoeging, aanpassing of het verwijderen (recht van vergetelheid) van gegevens.
  • Recht van vergetelheid
    Iedereen heeft het recht om "vergeten’ te worden. Wordt er gevraagd gegevens te verwijderen, dan is enkel een aantekening hiervan niet voldoende. Verwijdering betekend echt het verwijderen van gegevens zodat deze niet meer geraadpleegd kunnen worden. Staan gegevens in meerdere systemen die je gebruikt (ongeacht systemen van derden, saas oplossingen e.d.), dan dienen die ook daar verwijderd te worden! De enige uitzonderingen zijn garantie verlening en de bewaarplicht die de belastingdienst ons oplegt. Bewaar je gegevens van orders in verband met de afhandeling van garantie dan is dat dus toegestaan. Ditzelfde geldt voor facturen. Deze dien je zeven jaar te bewaren voor de Belastingdienst. Daarbij is het wel belangrijk dat deze gegevens uitsluitend worden bewaard met als doel het verstrekken van garantie of het weerleggen van omzet aan de belastingdienst.
    WordPressplugin: Delete Me (gratis)
    Uiteraard kan verwijderen met de hand, maar met deze plugin biedt je je bezoekers de gelegenheid om dit zelf te regelen (tenminste wat betreft je website). Met deze plugin worden van de desbetreffende gebruiker alle geplaatste berichten, links en reacties op artikelen direct verwijderd. Let er wel op als je mogelijk via andere plugins nog persoonsgegevens verwijderd deze niet door deze plugin worden verwijderd. Ga dus goed na waar persoonsgegevens allemaal in worden opgeslagen en zorg dat ze gemakkelijk kunnen worden verwijderd.
  • Recht op dataportabiliteit
    Wanneer je persoonsgegevens verwerkt, mag een persoon deze opvragen zodat ze overgedragen kunnen worden aan andere partijen. Zo moet het bijvoorbeeld gemakkelijker worden om over te stappen naar een andere partij of dienst. Gegevens moeten dan in gestructureerde en technisch leesbare vorm kunnen worden verplaatst, gekopieerd of verstuurd. Dit geldt alleen wanneer gegevens automatisch worden verwerkt op basis van toestemming of een overeenkomst.

GDPR Eisen en uitgangspunten

Welke eisen en uitgangspunten heeft de GDPR / AVG voor websites? De GDPR bestaat uit allerlei nieuwe eisen en uitgangspunten wat het voldoen aan deze nieuwe wetgeving vrij lastig maakt. Dit geldt zeker voor kleine bedrijven omdat het per bedrijf en markt kan verschillen. De volgende uitgangspunten moet moeten in ieder geval door ieder bedrijf worden nageleefd.

Bewustwording

De GDPR vereist dat bedrijven een volledig begrip hebben van alle gegevens die zij verzamelen. Bedrijven moeten naar elk proces kijken en een privacy-impactbeoordeling uitvoeren om te bepalen of er een privacyrisico is voor het individu, ongeacht of het een klant of een medewerker betreft. Vervolgens moet voor ieder gegevenselement bepaald worden of het een wettelijke basis heeft om te mogen verwerken.

Transparantie

Openheid over waarom en de manier waarop persoonsgegevens worden verwerkt is binnen de nieuwe wetgeving een vereiste. Maak of werk daarom je privacyverklaring bij om uit te leggen welke persoonlijke gegevens je verzamelt en waarvoor het wordt gebruikt. Belangrijk daarbij is dat je privacyverklaring in een heldere taal is geschreven. Kort en overzichtelijk. Kopieer en plak je privacyverklaring dus niet! Zorg ervoor dat deze is afgestemd op je bedrijf en de gegevens die je verwerkt. Zorg dat elke medewerker die werkt met persoonsgegevens deze nieuwe privacywetgeving ook begrijpt.

Expliciete toestemming op rechtsgrond

De tijd dat je zomaar persoonsgegevens en e-mailadressen kan verzamelen is voorbij. Je hebt een duidelijk omschreven doel nodig dat vereist is voor de bedrijfsvoering. Wil je een verjaardagskaart sturen? Dan moet je die reden ook vermelden bij het vragen van de geboortedatum, en je mag het geen verplicht veld maken. Bij gegevensverzameling via websites is het van groot belang dat het bedrijf een geldige toestemming krijgt van het individu. Dit houdt in dat de toestemming rechtstreeks is verkregen en dus niet geïmpliceerd of afgeleid is van iemands acties.

Verantwoordelijkheid & Aansprakelijkheid

Onder de GDPR heb je een verantwoordingsplicht, wat inhoudt dat je moet kunnen aantonen dat jouw organisatie in overeenstemming met de wet handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.

Je bent zelf verantwoordelijk voor alle persoonsgegevens binnen jouw bedrijf. Ook als die door externe partijen worden opgeslagen of toegepast. Zoals bijvoorbeeld MailChimp doet: die partij houdt voor jou e-mailgegevens bij en registreert het klikgedrag. Als MKB’er moet jij je dus inlezen hoe die partijen omgaan met de persoonsgegevens van jouw klanten.

Privacy by default & Privacy by design

Maak je organisatie nu al vertrouwd met de verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe je deze privacy verhogende maatregelen binnen je bedrijf kunt invoeren.

Privacy by default houdt in dat je maatregelen moet nemen (zowel technisch en organisatorisch) om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.

Privacy by design houdt in dat er al bij in de ontwerpfase van producten en diensten aandacht worden besteed aan privacyverhogende maatregelen zodat:

  • Persoonsgegevens maximaal worden beschermd
  • Er niet meer gegevens worden verzamelt dan noodzakelijk voor het doel van de verwerking (dataminimalisatie)
  • Gegevens niet langer worden bewaart dan uiterst noodzakelijk.

Functionaris gegevensbescherming

Onder de GDPR kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Wacht niet te lang met het werven van de benodigde functionaris als dit voor jouw bedrijf noodzakelijk is, de kans is groot dat het tijd kost voordat je echt 'compliant' bent. Uiteraard mag je ook vrijwillig een functionaris voor gegevensbescherming aanstellen.

Voor de meeste ondernemers is het aanstellen van een functionaris niet verplicht. Dit is alleen noodzakelijke wanneer je:

  • Op grote schaal ‘bijzondere’ persoonsgegevens verwerkt zoals politieke voorkeur, ras, godsdienst of gezondheid.
  • Op grote schaal persoonsgegevens gebruikt ten behoeve van profiling. Bijvoorbeeld om kredietverzoeken te beoordelen.
  • Dit een kernactiviteit is van je organisatie.

Ben je verplicht een DPIA te maken?

Een DPIA staat voor een Data Protection Impact Assessment (DPIA) waarmee je vooraf in kaart brengt wat de privacyrisico’s van gegevensverwerking zijn. De meeste ondernemers hoeven op dit moment nog geen DPIA te maken. Het is alleen nog verplicht bij grootschalige verwerkingen van (bijzondere) gegevens. In de toekomst komt de Autoriteit Persoonsgegevens met een uitgebreidere beschrijving van wanneer een Data Protection Impact Assessment verplicht is. Meer informatie omtrent een DPIA vindt je op de website van de dpia informatie op website autoriteit persoonsgegevens.

Meldplicht datalekken

De GDPR stelt strengere eisen aan je eigen registratie en logboeken van de datalekken die zich in je organisatie hebben voorgedaan.
Je moet alle datalekken documenteren. Met deze documentatie moet de Autoriteit Persoonsgegevens kunnen controleren of je aan de meldplicht hebt voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wet Bescherming Persoonsgegevens, die alleen betrekking heeft op de gemelde datalekken.

Voor de volledige wetgeving verwijzen we je graag door naar de officiële instanties óf een gespecialiseerd GDPR-specialist of jurist.



Wednesday, March 21, 2018







« Terug