WAT BETEKENT DE AVG VOOR MIJ?

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Dit is een wet ter bescherming van persoonsgegevens van iedereen binnen de Europese Unie. De AVG gaat over het verwerken, verzamelen, opslaan en gebruiken van persoonsgegevens, oftewel alle data die is terug te leiden naar individuen.

Je hebt er zelf waarschijnlijk ook al het nodige over gelezen. Ik heb dat de afgelopen weken ook gedaan. We krijgen veel vragen van klanten: “Wat betekent AVG voor mijn website?”, “Kan ik nog gewoon e-mailnieuwsbrieven naar klanten versturen?”, “moet ik mijn klanten opnieuw om toestemming vragen voordat ik de volgende e-mailing verstuur?” en “kan ik Google analytics gewoon blijven gebruiken?” In deze blog zet ik de belangrijkste aandachtspunten voor je op een rij.

Toestemming vragen
Automatisch aangevinkte vakjes op je website zijn verleden tijd. Je moet expliciet je klant toestemming vragen voordat je bijvoorbeeld een nieuwsbrief of e-mailing verstuurt. Je klanten moeten precies weten welke gegevens je van hen verzamelt. En je bent verplicht je klanten op elk gewenst moment inzage in die data te geven. Je moet vooraf dus nadenken over welke data je echt nodig hebt, hoelang je wilt bewaren en met welke reden(en) je die gegevens opslaat.

Beveiliging
Als je persoonsgegevens bewaart, ben je verplicht zorgvuldig met die data om te gaan. Je moet de data die je in huis hebt dus goed beveiligen.

Checklist AVG
Op internet zijn diverse checklists te vinden. Ik heb de 10 meest gestelde vragen over de AVG voor je op een rij gezet.

Wat houdt de AVG in grote lijnen in?
De AVG gaat over het verwerken, verzamelen, opslaan en gebruiken van persoonsgegevens, oftewel alle data die is terug te leiden naar individuen. Welke gegevens bewaar je en waarom? Hoe verzamel je die informatie? Hoelang bewaar je de gegevens en welke gegevens deel je met derden? Persoonsgegevens zijn alle data die iets zeggen over een natuurlijk persoon, zoals:

 Naam
 Adres
 Telefoonnummer
 E-mailadres
 IP-adres
 Geboortedatum
 Geslacht
 Leeftijd
 Taal
 Klant ID
 Order ID
 Gebruikers ID
 Functie
 Opleiding
 Inkomen
 Gezinssamenstelling
 Hobby’s
 Geloofsovertuiging
 Politieke voorkeur
 Persoonlijke voorkeuren
 Soort klant (omzet/product)
 Medische gegevens (ziektegeschiedenis)
 Etc.

Een voorbeeld.
Veel van onze klanten hebben een webshop. Welke gegevens leg je vast, met welke reden, hoe sla je data op, en hoelang? En waarom deel je de data eventueel nog met derden?

• WELKE? NAW-gegevens van de klant;
• REDEN? Nodig voor de bezorging, facturering en garantie;
• HOE? Tijdens de online aankoop door het invullen van een veld in een formulier;
• HOELANG? 7 jaar vanwege de fiscale bewaarplicht;
• DELEN? Met de boekhouder via een online boekhoudpakket;

Stap 2. Welke persoonsgegevens mag ik volgens de AVG wel en niet bewaren?
Waarom wil je het geslacht of de geboortedatum van iemand weten? Is het relevante, noodzakelijke informatie? De AVG ‘dwingt’ je om in de praktijk alleen gegevens te verzamelen die noodzakelijk zijn voor de dienst die je aanbiedt. Dus voor je webshop wel de NAW-gegevens ten behoeve van bezorging, maar niet een emailadres ten behoeve van inschrijving voor een nieuwsbrief. Natuurlijk zijn er genoeg redenen te verzinnen waarom je toch graag iemands geslacht, geboortedatum, locatie, enz. wilt weten.
De redenen daarvoor moet je vanaf nu duidelijk omschrijven. Bijvoorbeeld: geef je voorkeur aan en we sturen je alleen relevante aanbiedingen.

Stap 3. Wat houdt de bewaartermijn in?
Hoelang bewaar je de persoonsgegevens? Ondanks de toestemming voor het gebruiken van persoonlijke gegevens, mag je data niet onbeperkt bewaren. In principe mag je persoonsgegevens niet langer bewaren dan noodzakelijk. Voor de bewaartermijnen zijn (nog) geen harde richtlijnen. Wat je moet vastleggen is:

• Hoe lang je persoonsgegevens bewaart en waarom;
• Hoe je deze gegevens automatisch gaat verwijderen;
• Hoe eventuele derde partijen deze gegevens ook verwijderen;
• Hoe deze gegevens ook uit back-ups worden verwijderd.

Stap 4. Mag ik nog Cookies op mijn website gebruiken? 
Niet voor alle cookies hoef je toestemming te vragen. Ze zijn soms nodig om je site technisch goed te laten functioneren. Het is voor je klanten fijn als de website ‘onthoudt’ wat er in een winkelwagentje zit. Ook cookies die anonieme gebruiksstatistieken meten mag je zonder toestemming gebruiken. Veel van onze klanten gebruiken Google Analytics. Om deze tool te blijven gebruiken, moet je echter wel om expliciete toestemming vragen. Ben je bang dat je die toestemming niet krijgt? Dan kan Localink je Google Analytics toch zo instellen dat je belangrijke functionaliteiten nog steeds zonder expliciete toestemming kunt gebruiken. Daarover moet je dan wel je websitebezoekers Informeren in de privacyverklaring.

Voor andere cookies moet je wel expliciet toestemming vragen. Denk bijvoorbeeld aan:

• Cookies om te meten of iemand je advertentie heeft gezien;
• Cookies waarmee je bezoekers laat reageren via Facebook of andere social media;
• Cookies om te meten hoelang iemand op je website is (voor een live chat functie bijvoorbeeld);
• Cookies waarmee je het individuele gedrag op de website volgt

Je mag niet alle cookies ‘op een hoop gooien’ en een keer toestemming vragen voor alles. De bezoeker moet per cookie kunnen aangeven welke hij/zij wel en welke hij/zij niet accepteert. Toestemming geldt voor een jaar. Daarna moet je opnieuw om toestemming vragen.

Stap 5. Kan ik nog een e-Mailnieuwsbrief versturen?
Onder de AVG moet een ontvanger expliciet toestemming geven voor het krijgen van nieuwsbrieven of andere commerciële mailings. Je mag dus niet (meer) het vakje ‘nieuwsbrief’ automatisch aanvinken. En ook niet opnemen in je algemene voorwaarden zodat iemand die de voorwaarden accepteert ook automatisch ‘ja’ zegt tegen een nieuwsbrief. Een dubbele bevestiging via mailadres na aanmelding via bijvoorbeeld de website is niet verplicht. Ook voor het monitoren van het klikgedrag van e-mailnieuwsbrief ontvangers moet je expliciet toestemming vragen. Alle voorwaarden van de AVG gelden ook voor de mailadressen die je al in je bestand hebt. Het is dus verstandig vóór 25 mei een her-activatiemail naar je klanten te sturen.

Stap 6. Hoe maak ik een Privacyverklaring?
Op je website of webshop moet een privacyverklaring staan. Op de website https://veiliginternetten.nl/privacyverklaring/ vind je een handige privacyverklaring generator. Daarin lees je ook of je verplicht bent een Functionaris Gegevensbescherming aan te stellen of een Data Protection Impact Assessment (DPIA) moet doen. Dit is bijvoorbeeld verplicht als je ‘bijzondere’ persoonsgegevens verwerkt zoals politieke voorkeur, ras, godsdienst of gezondheid.

Stap 7. Wat is een verwerkersovereenkomst(en)?
Werk je voor het opslaan of verwerken van persoonlijke gegevens samen met andere partijen? Dan ben je verplicht een ‘verwerkersovereenkomst’ af te sluiten. Dus bijvoorbeeld Google Analytics, Mailchimp, Livechat om maar enkele voor de hand liggende te nomen. Deze partijen zijn al druk bezig met het implementeren van de AVG en hebben nu (of binnenkort) verwerkersovereenkomsten klaarstaan. Deel je ook persoonsgegevens met Localink, dan zorgen wij dat je een verwerkersovereenkomst van ons krijgt. In de verwerkersovereenkomst staat:

• Het soort persoonsgegevens;
• Een verwijzing naar jouw bedrijf inclusief eventuele schriftelijke instructies;
• Dat Localink de gegevens uitsluitend en alleen met jouw toestemming gebruikt;
• Dat de persoonsgegevens niet door Localink zelf worden gebruikt;
• Dat Localink zich houdt aan de geheimhoudingsplicht;
• Welke passende beveiligingsmaatregelen Localink neemt;
• Wat Localink doet om de privacy te waarborgen;
• Hoe Localink na de werkzaamheden de persoonsgegevens weer verwijderd;
• Dat de Localink desgevraagd meewerkt aan audits.

Wanneer de Autoriteit Persoonsgegevens erom vraagt, moet je kunnen laten zien hoe je verantwoord om gaat met persoonlijke gegevens. Een belangrijk onderdeel daarin is een register met al je verwerkingsactiviteiten. In dit register staan de volgende gegevens:

 Naam en contactgegevens van je organisatie/vertegenwoordiger.
 Eventuele andere organisaties waar je persoonsgegevens mee deelt.
 De doelen waarvoor je persoonsgegevens verwerkt.
 Een beschrijving van de categorieën van persoonsgegevens.
 Datum waarop je de gegevens moet wissen (als dat bekend is).
 De categorieën van ontvangers aan wie je persoonsgegevens verstrekt.
 Of je gegevens met een land/organisatie buiten de EU deelt.
 Een beschrijving van de technische en organisatorische maatregelen die je hebt genomen om persoonsgegevens die je verwerkt te beveiligen.

Stap 8. Hoe moet je toestemming van data gebruik aantonen?
De AVG eist dat je kunt aantonen hoe en wanneer je toestemming hebt gekregen voor het gebruik van specifieke persoonsgegevens. Maak je gebruik van een CRM-systeem? Dan kun je met een timestamp aangegeven wanneer iemand toestemming gaf. Ook de manier waarop je toestemming hebt verkregen, moet je vermelden. Je moet ook aantonen op basis van welke informatie de klant zijn of haar gegevens verstrekte. Je mag een voorbeeld van het formulier of een screenshot toevoegen. Alleen een link naar je website is niet voldoende.

Stap 9. Wat houdt Recht op inzage en wijziging in?
Je bent verplicht je klanten inzage te geven in hun persoonsgegevens. Conform de AVG moet je de data geheel kosteloos en binnen dertig dagen verstrekken. Je moet een betrokkene niet alleen inzicht geven in zijn of haar persoonsgegevens, je moet deze ook in een gangbaar en ‘machine leesbaar’ formaat aanbieden. In de richtlijnen staan de bestandsformaten XML en CSV als voorbeeld genoemd. Dit geldt voor alle gegevens. Dus alles waarvoor je toestemming hebt gevraagd. Daarbij hebben gebruikers het recht om de gegevens te laten verwijderen of te laten wijzigen. Een klant kan je vragen al zijn of haar persoonsgegevens te verwijderen.

Stap 10. Hoe moet ik de data beveiligen?
De AVG verplicht je om persoonsgegevens zorgvuldig te beveiligen. Daarvoor kan Localink je website voorzien van een SSL-certificaat. Alle websites die vanaf 2018 worden ontwikkeld worden standaard voorzien van een SSL-certificaat. Datalekken moet je binnen 72 uur melden.

Meer weten?
We hebben de belangrijkste punten samengevat. Natuurlijk hangt de omvang en impact van de AVG ook samen met de branche waarin je werkzaam bent en de omvang van je bedrijf en vooral de hoeveelheid data die je beheert. We helpen je graag bij de specifieke vragen die te maken hebben met je online marketing. Wil je echt alles weten, dan verwijs ik je naar de bijna 100 pagina’s privacywetgeving

http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/uri=CELEX:32016R0679&rid=1