Algemene Verordening Gegevensbescherming

Algemene Verordening Gegevensbescherming (AVG)

Iedere organisatie moet op 25 mei 2018 voldoen aan de nieuwe Europese privacy wetgeving, de Algemene Verordening Gegevensbescherming (AVG). Dit houdt in dat u de privacy (veiligheid) van persoonsgegevens binnen uw organisatie pro-actief moet waarborgen. U zult achteraf ook moeten kunnen aantonen dat u er alles aan gedaan heeft om datalekken van persoonsgegevens te voorkomen. Hoge boetes, forse claims van betrokkenen en reputatie- en bedrijfsschade; zijn o.a. de gevolgen indien u niet aan de privacy wetgeving voldoet en/of er een datalek plaats vindt.
Kijk hier voor een complete oplossing, wij verzorgen het voor u!

 

Wat is het doel van AVG?
Doel van de Algemene Verordening Gegevensbescherming is het versterken en uitbreiden van privacy-rechten, het scheppen van meer verantwoordelijkheden voor organisaties en het creëren van dezelfde (stevige) bevoegdheden voor alle Europese privacy-toezichthouders (zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen).

Wat betekent dit voor je website?
De Algemene Verordening Gegevensbescherming heeft betrekking op de gegevensverwerking binnen je gehele bedrijf. Lees hier meer over op de website van Autoriteit Persoonsgegevens. In dit artikel willen we je informeren over een aantal maatregelen met betrekking tot je website:

 

Privacyverklaring
Zet een heldere en goed vindbare privacyverklaring op je website. Een linkje in de footer van je website is in dit geval een prima plek. Zorg er dan wel voor dat je voorafgaand aan het (laten) opstellen van je privacyverklaring inzichtelijk hebt welke gegevens via de website worden opgeslagen en / of verwerkt. Dit kun je zelf doen of door ons laten verzorgen.

 

Google Analytics
Gebruik je Google Analytics, dan ben je verplicht om een overeenkomst te sluiten met Google. Google is namelijk een dataverwerker die je toestemming geeft om de persoonsgegevens van jouw bedrijf te verwerken. Dat is gelukkig een eenvoudige handeling. Als je bent ingelogd via Google Analytics ga je naar instellingen (tandwiel) > Accountinstellingen > Aanpassing van de gegevensverwerking (laatste optie). Een ander aandachtspunt is het IP-adres, omdat dit een persoonsgegeven is. Vraag je je bezoekers niet vooraf om hun akkoord, dan moet je het IP-adres laten anonimiseren. Dit laatste kunnen wij voor je uitvoeren door het script aan te passen.

 

SSL Certificaat
Onder de AVG / GDPR ben je verplicht om te zorgen voor een optimale beveiliging van persoonsgegevens. Sla je formulieren of (nieuwsbrief-) aanmeldingen op via je site? Dan is een SSL certificaat (HTTPS) verplicht. Uiteraard geldt dit ook voor alle webshops. Lees in dit artikel meer over het gebruik van een SSL certificaat en de voordelen hiervan.

 

Chrome, website zonder HTTPS onveilig

Chrome, de webbrowser van Google, gaat websites zonder veilige HTTPS-verbinding vanaf juli actief markeren als onveilig. Dat maakt het techbedrijf donderdag bekend op zijn blog. Websites die wel een veilige HTTPS-verbinding hebben, worden in de adresbalk van Chrome al gemarkeerd met een groen slotje en het woord 'Veilig'.
Kijk hier voor een complete oplossing, wij verzorgen het voor u!

 

HTTP naar HTTPS.
Bij websites die gebruik maken van HTTP in plaats van HTTPS ontbreekt dit slotje. In plaats daarvan geeft Chrome een waarschuwingsicoon weer. Pas wanneer gebruikers op dit icoon klikken, vertelt de webbrowser dat de website niet veilig is.
Vanaf juli gaat Chrome zijn gebruikers actiever waarschuwen. Naast het waarschuwingsicoon voegt Google in de adresbalk de woorden 'Niet veilig' of het woord 'Onveilig' toe.
Met de expliciete waarschuwing wil Google zijn gebruikers beter informeren over onveilige websites. Ook hoopt het bedrijf dat websitebeheerders hierdoor sneller overstappen van HTTP naar HTTPS.

 

Contactformulieren
Vraag via de contactformulieren op je website alleen om de informatie die je écht nodig hebt en die betrekking heeft op de specifieke offerte- / contactaanvraag. Vraag je om (bijvoorbeeld) een geboortedatum, dan moet je expliciet vermelden waarvoor je dit nodig hebt. Plaats daarnaast een selectievakje waarin je toestemming vraagt voor het verwerken (en eventueel opslaan) van de ingevulde gegevens.

 

Gebruikers binnen je CMS
Als je iemand toegang geeft tot het CMS (Content Management Systeem) van je site, dan moet die persoon daar een geldige reden voor hebben. Dit moet je specifiek gaan vastleggen, zodat duidelijk is wie waarom toegang heeft tot persoonsgegevens. Onnodige accounts moet je verwijderen.

 

Beheer en beveiliging
Je bent zelf verantwoordelijk voor de veiligheid van je website. Denk hierbij aan het pro-actief beveiligen van je website, het op de juiste manier updaten van thema’s / plugins en het maken van dagelijkse back-ups. Ben je hier niet goed in thuis of ontbreekt het je aan de tijd om dit te doen? Dan kun je deze taken via een jaarlijks onderhoud update/pakket aan ons overdragen.

 

8 korte Q&A inzake de nieuwe privacy wetgeving

Q: De AVG, wat is dat?
A: De Algemene verordening gegevensbescherming (AVG) is de nieuwe Europese privacywetgeving waar elke organisatie die persoonsgegevens verwerkt aan moet voldoen. In het Engels kom je de benaming GDPR tegen.

 

Q: Wanneer is de AVG van toepassing?
A: Per 25 mei 2018 is de AVG van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

 

Q: Wat is het gevolg?
A: Deze nieuwe wet brengt strengere regels rondom de privacy van persoonsgegevens met zich mee. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen en de betrokkene over wie de gegevens gaan krijgen meer rechten.

De nadruk hierbij ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden!

 

Q: Geldt dit ook voor mij?
A: Ja, hoogstwaarschijnlijk wel. Dit omdat het alleen al opslaan van NAW-gegevens van bijvoorbeeld het personeel of het email adres van een klant het verwerken van persoonsgegevens is.
Kijk hier voor een complete oplossing, wij verzorgen het voor u!

 

Q: Moet iedere organisatie aan dezelfde vereisten voldoen?

A: In beginsel wel. Echter zijn sommige verplichtingen alleen van toepassing als je aan de kwalificaties voldoet. Verder moeten de beveiligingsmaatregelen passend zijn en is “passend” niet voor iedere organisatie hetzelfde.

 

Voorbeelden:

• Het verplicht moeten uitvoeren van een Data Protection Impact Assessment (DPIA). Dit ben je echter alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert.

• Je kan verplicht zijn een Functionaris Gegevens bescherming (FG) aan te stellen, maar dit geldt dus ook niet voor iedere organisatie!

 

Q: Wat zijn de sancties en gevolgen van het niet naleven van deze wetgeving?

A: Hoge boetes door de Autoriteit Persoonsgegevens, claims van betrokkenen, persoonlijke aansprakelijkheid als directeur/bestuurder en reputatie- en bedrijfsschade.

 

Q: Heb ik er verder nog belang bij om te voldoen aan deze wetgeving?

A: Privacy proof zijn is tegenwoordig een unique selling point (USP). Als je verzekert dat je privacy proof bent richting klanten en potentiële klanten, is dat een extra reden voor ze om hun diensten/producten bij jou af te nemen. Zie het daarom naast een wettelijke verplichting ook als een commerciële investering om klanten te behouden en aan te trekken.

 

Q: Wat moet ik nu doen ter voorbereiding?

A: De start is een nulmeting! Met een nulmeting wordt er gekeken naar de huidige stand van zaken rondom de privacy van persoonsgegevens en wordt er vastgesteld welke acties genomen moeten worden om 100% privacy AVG proof te zijn. De te nemen acties kunnen dan zelf of indien nodig in samenwerking met een expert worden uitgevoerd.

Wil je meer weten over de te nemen maatregelen m.b.t. je website? Vraag het ons:
Kijk hier voor een complete oplossing, wij verzorgen het voor u!

Zie de PDF: stappenplan AVG en AVG in een notendop (bron https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg )