AVG-proof

Wat is de AVG?

Hoewel sommigen van ons bekend zijn met het antivirusprogramma AVG, is deze AVG toch net wat anders. De Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywet die op 25 mei 2018 de huidige Wet Bescherming Persoonsgegevens (WBP) gaat vervangen. De AVG is een stuk strenger voor organisaties en vergt diverse nieuwe aanpassingen voor het beschermen van persoonsgegevens. Onder persoonsgegevens vallen alle gegevens die een persoon zouden kunnen identificeren, denk bijvoorbeeld aan e-mailadressen, IP-adressen, MAC-adressen, tracking cookies, etc.

Waarom AVG?

De WBP stamt uit 1995, inmiddels is de technologie flink veranderd en heeft bijna iedereen een smartphone. Dataverzamelaars hebben via bepaalde apps toegang tot “bijna” al je gegevens op je smartphone. Social media platformen weten daarnaast ook alles van je en gebruiken jouw gegevens voor meerdere doeleinden. Zo deelt WhatsApp sinds 2016 alle gegevens over zijn gebruikers met Facebook. Dataverzamelaars hebben op dit moment te veel macht.

Om hier iets aan te doen heeft de Europese unie besloten om zijn inwoners beter te gaan beschermen tegen de dataverzamelaars. Zo gaat de nieuwe wet, ook wel GPDR genoemd, gelden voor de gehele Europese Unie. Een voordeel wat hieruit voortvloeit is dat het betere kansen biedt voor de cross border met het buitenland.

Leuk feitje: WhatsApp is inmiddels gestopt met het delen van de gegevens met moederbedrijf Facebook totdat ze voldoen aan de nieuwe AVG wetgeving.

Wat moet er gebeuren om AVG-proof te worden?

Tja, best veel. Door de strengere wetgeving zijn er veel regels aangepast en toegevoegd om de consument te beschermen. Hieronder leggen we uit wat er voor webshops gaat veranderen volgens de nieuwe wetgeving.

  • Sluit een Verwerkersovereenkomst

Als er met data wordt gewerkt is er altijd een verwerkingsverantwoordelijke in beeld. Dit is namelijk de eigenaar van de gegevens. Wanneer data door een webshopbouwer wordt verwerkt is er ook een verwerker aanwezig. De verwerkingsverantwoordelijke en de verwerker zorgen er in dit geval voor dat er een verwerkersovereenkomst wordt gesloten. Hierin staat bijvoorbeeld welke gegevens er worden verwerkt, met welk doel, hoe de beveiliging is geregeld, etc. Mocht de verwerker de data delen met andere een subverwerkers, dan worden deze subverwerkers toevoegd aan de overeenkomst. De verwerkersovereenkomst sluit je met iedereen die jouw data verwerkt of opslaat. Zo hebben Google en Mailchimp de overeenkomsten al klaar staan, ze moeten alleen nog geaccepteerd worden.

  • Maak een verwerkingsregister

Een verwerkingsregister heeft als doel om inzichtelijk te maken wat je als organisatie met persoonsgegevens doet en wat het doel daarvan is. In het register, die je bijvoorbeeld op papier of in Excel mag maken, houd je bij met wie je data deelt, wie er bij kan, wat het doel is, welke beveiligingsmaatregelen gelden en wat het risico voor betrokkenen is.

  • Privacy by default & Privacy by design toepassen

Twee nieuwe termen die hun intrede doen. Privacy bij default houdt in dat je instellingen en functies standaard op de meest privacyvriendelijke stand te zet. Bij Privacy by design houd je rekening met de privacy bij het ontwerpen van producten of diensten.

  • Cookie melding en register updaten

De cookie melding, wie kent het niet. Mocht je de melding nog niet gebruiken, dan wordt het tijd om het in te gaan voeren. Het moet voor de bezoeker duidelijk zijn welke cookies er worden gebruikt bij het accepteren van de cookies, zoals de functionele cookies en tracking cookies. Volgens de wet moet een gebruiker eerst toestemming geven voordat tracking cookies mogen worden geplaatst. Een leuke bijkomstigheid is dat de vervelende cookiewalls niet meer toegestaan zijn. De wet stelt namelijk dat de site bereikbaar moet zijn met of zonder cookies. In het cookie register worden de opt-in en opt-out bij cookies bijgehouden. Er moet namelijk bewijs zijn van het accepteren van de cookies. De opt-out moet net zo makkelijk als de opt-in aan te passen zijn op een makkelijk vindbare plek.

  • Cookie verklaring herschrijven

Om dan maar even in cookie termen te blijven. De cookie verklaring moet herschreven worden in een duidelijke ondubbelzinnige taal. Je geeft hierin aan welke cookies je gebruikt, de functionele cookies en de tracking cookies. Daarbij geef je aan waarvoor je de cookies gebruikt en met wie ze gedeeld worden. De cookie verklaring moet daarnaast op een logische en vindbare plek geplaats worden, zoals in de footer.

  • Privacy policy herschrijven

In de privacy policy informeer je de klant over het gebruik en de verwerking van zijn persoonsgegevens. Op basis hiervan kan de klant beslissen om de overeenkomst met de webshop aan te gaan. Verder verwerk je het recht op inzage en het recht om vergeten te worden in de privacy policy. De wet gaat er vanuit dat het in een begrijpelijke en ondubbelzinnige taal wordt geschreven en het net als de cookie verklaring op een logische en vindbare plek te vinden is.

  • Recht op inzage, wijziging en verwijdering van gegevens

Zoals in de privacy policy al is aangegeven, heeft de klant recht op inzage van zijn gegevens en het wijzigen van zijn gegevens. Daarnaast heeft de klant het recht om vergeten te worden. Hierbij zal alle data van de klant verwijderd moeten worden. Wel moet er rekening worden gehouden met gegevens die voor de belastingdienst wettelijk verplicht zijn om te bewaren, zoals factuurgegevens.

  • Dataportabiliteit mogelijk maken

Hierbij zorg je ervoor dat klanten hun gegevens, zoals hun naw gegevens en order historie kunnen verkrijgen op een veilige manier en in een gangbaar herbruikbaar data formaat zonder extra kosten. Dit hoort binnen een redelijk termijn van een maand te zijn aangeleverd.

  • Bewaartermijn gegevens aangeven

In de AVG staat dat gegevens niet langer mogen bewaard dan strikt noodzakelijk. Dit is natuurlijk een breed begrip, maar de bewaartermijn moet wel bij alle gegevens worden aangegeven. Als een klant een account heeft, dan moeten de gegevens worden bewaard. Verwijderd de klant een account, dan moeten de gegevens binnen een redelijk termijn worden verwijderd. Wanneer je bepaalde data van de klant wilt bewaren dan moet je de gegevens anonimiseren.

  • Data moet te herleiden zijn

Stel je hebt een lijst met alle nieuwsbrief abonnees. Dan moet er bewijs zijn van een opt-in op de nieuwsbrief. Heb je dit niet? Dan mag je deze lijst niet meer mailen voor nieuwsbrieven. Wel kun je de abonnees vragen om zich opnieuw aan te melden. Hou er daarnaast ook rekening mee dat de afzender altijd bekend moet zijn bij klanten. Gebruik dus geen no-reply e-mailadres, dit is niet meer toegestaan.

  • Invulvelden aanpassen

Wanneer er gegevens moeten worden ingevuld, bijvoorbeeld voor een nieuwsbrief of een ander leadformulier, dan mogen alleen de naam en het e-mailadres als verplicht veld worden gevraagd. Daarnaast is het de bedoeling dat je aangeeft of er een actie zit aan het aanmelden en geef je een verwijzing naar de privacy policy. Bij een nieuwsbrief geef je bijvoorbeeld aan: “U ontvangt 1-2 x per maand onze nieuwsbrief. Lees hier onze privacy policy.".

  • Papieren gegevens beveiligen

Ook papieren gegevens moeten worden veilig gesteld. Denk bijvoorbeeld aan het uitprinten van de pakbon voor het verzamelen van de bestelling. Wat gebeurt er nadat je de bestelling verzonden hebt? Volgens de wet hoor je de persoonsgegevens in een shredder te doen met veiligheidsniveau P3 of P4. Werk je met een hoger risico persoonsgegevens zoals creditcard gegevens dan moet het veiligheidsniveau worden verhoogd naar P5 of hoger.

  • Intern beleid opstellen

Er zal een intern beleid moeten worden opgesteld waarbij je duidelijk maakt hoe er binnen de organisatie wordt omgegaan met persoonsgegevens. Hierbij wordt verwacht dat alle medewerkers op de hoogte zijn van dit beleid.

  • Informatiebeveiliging blijft up-to-date

De informatiebeveiliging van de webshop moet up-to-date blijven volgens de laatste normen. Zo heeft de webshop een SSL-certificaat en worden updates regelmatig uitgevoerd. Mocht er een nieuwe security patch uitkomen dan gaat de wet er vanuit dat deze wordt uitgevoerd.

  • Verplicht datalek melden

Komt er in het ergste geval een datalek naar voren, dan moet daar verplicht melding van worden gemaakt binnen 72 uur.

  • Functionaris Gegevensbescherming aanstellen

Voor sommige organisaties is het aantellen van een Functionaris Gegevensbescherming verplicht. Voor veel webshops en websites is het aanstellen van een FG niet nodig. Wel moet je goed kunnen onderbouwen waarom je er niet voor gekozen hebt. Besluit je om geen FG aan te stellen doe dan altijd even research, zodat je op de hoogte bent van de regelgeving.

Wat gebeurt er wanneer je op 25 mei niet AVG-proof bent?

In principe zal er op die dag vrij weinig gebeuren. De wet gaat gelden voor de gehele Europese Unie. Er komt een Europees comité die toezicht gaat houden. Alle binnenkomende klachten worden verplicht nagekeken door het comité. Hoe groot of klein deze ook zullen zijn.

De EU heeft alle organisaties twee jaar de tijd gegeven om te voldoen aan de nieuwe wetgeving. We gaan er vanuit dat het comité eerst alle grote bedrijven langs gaat die werken met risico gevoelige informatie. Denk bijvoorbeeld aan grote overheidsinstanties of de grote dataverzamelaars zoals WhatsApp. De maximale boetes zijn flink verhoogd naar maximaal 20 miljoen euro of 4% van de jaarlijkse wereldwijde jaaromzet.

En nu?

Je kunt aan de slag gaan met bovengenoemde punten. Daarnaast bieden wij een AVG-Proof pakket aan voor onze klanten. Mocht je hierover meer willen weten, dan kun je contact opnemen met je accountmanager.