Waarom moet ik met een webshop of website voldoen aan de AVG?
Ik hoor je denken, die cookiewetgeving wordt ook niet gehandhaafd, dus waarom zou ik nu ineens moeite gaan steken in de AVG?
Je bent verplicht om aan de wet te voldoen! Dat is in principe reden genoeg, maar daarnaast zijn er een aantal andere redenen waarom het goed is om de AVG niet links te laten liggen.
Wat als ik niet voldoe aan de AVG?
Om maar direct met de deur in huis te vallen, als je niet voldoet aan de AVG wetgeving dan kun je tegen hoge boetes aanlopen. Daarnaast zijn er diverse redenen om te voldoen aan de AVG, hieronder een opsomming van ‘redenen’ waarom het goed is om aan de AVG wetgeving te voldoen:
- Fundamentele verplichtingen: Op overtredingen van de fundamentele verplichtingen kunnen boetes worden gegeven tot max. 20.000.000 of 4% van de omzet.
- Administratieve verplichtingen: Op overtredingen van administratieve aard kunnen boetes worden gegeven tot max. 10.000.000 of 2% van de omzet.
- Dwangsom: De Autoriteit Persoonsgegevens mag een ‘last onder dwangsom’ opleggen. Wat inhoudt als je je niet houdt aan een opgelegde bindende instructie van de AP, dan kan dit resulteren in een boete.
- Aansprakelijkheid: Als verwerkingsverantwoordelijke kun je persoonlijk aansprakelijk worden gesteld voor geleden schade van de betrokkene.
- Negatieve ‘reclame’: Als je niet netjes omspringt met de privacy van je klanten of bezoekers, kan dit zorgen voor negatieve aandacht. Hier kan nog veel grotere bedrijfsschade uit ontstaan dan alle bovengenoemde punten.
Zie de AVG niet als bedreiging, maar als een kans
Zo, genoeg bangmakerij. De AVG zorgt zeker voor wat werk in organisaties, maar daar ontkom je niet aan. Zie daarom de AVG niet als bedreiging, maar als kans voor je online onderneming. Zie het als een inbreuk op persoonsgegevens. Volgens de wet mag dit niet, maar onder de AVG, mits er voldoende belang is, mag dit nu dus wel. Daarnaast heeft het positieve gevolgen als jij laat zien aan je website of webshop bezoekers en klanten dat je netjes omgaat met hun persoonlijke gegevens, dit zorgt voor vertrouwen.
Hoe voldoe ik als webshop/website eigenaar aan de AVG?
Dit verschilt per organisatie en hangt af van welke gegevens je verwerkt. Hieronder een beknopte opsomming van de handvesten waaraan je moet voldoen. Verderop in dit blog gaan we overal dieper op in.
- Transparantie: Laat je klanten/bezoekers weten waarom je bepaalde infomatie verwerkt en wat ermee gaat gebeuren.
- Duidelijke taal: Zorg dat, o.b.v. je doelgroep, je op een duidelijke en eenvoudige manier communiceert.
- Schriftelijk informeren: Zorg dat een Privacyverklaring beschikbaar is. Dit mag ook in andere vorm, zolang het maar voldoet aan de AVG.
- Beveiliging: Zorg dat de gegevens veilig worden opgeslagen.
- Verwerkersovereenkomsten: Je bent verplicht om met alle partijen die bij de persoonsgegevens kunnen een verwerkersovereenkomst te sluiten.
- Niet overvragen: Vraag geen informatie op die niet per se nodig is voor het doel.
- Dataopslag en beveiliging: Sla de gegevens niet langer op dan noodzakelijk is en zorg dat dit veilig gebeurt.
- Afmelden: Personen moeten zich makkelijk af kunnen melden.
- Cookie wetgeving: Deze wetgeving wordt ook aangepast. Dit heeft voornamelijk effect op marketing activiteiten.
Geldt dit ook voor mijn webshop of website?
Indien je persoonsgegevens verwerkt, dan is deze wetgeving van toepassing voor jou. In principe geldt dit voor vrijwel voor alle ondernemers, want wie vraagt er nu niet om een e-mailadres of maakt gebruik van Google Analytics? De gemiddelde online ondernemer zal dus aan de slag moeten.
Om welke informatie gaat het precies?
Het betreft alleen persoonsgegevens. Dit zijn gegevens die direct of indirect naar een persoon zijn te herleiden. Bedrijfsgegevens vallen hier bijvoorbeeld niet onder. Het gaat om gegevens zoals, naam, adres, e-mail, maar ook locatiegegevens, IP-adressen of bankgegevens.
Let op met bijzondere persoonsgegevens.
Voor het gebruik van bijzondere persoonsgegevens gelden strakkere regels. Het verwerken van deze gegevens is verboden, tenzij er een wettelijke uitzondering is. Een uitzondering kan zijn dat er uitdrukkelijke toestemming is gegeven door de persoon waarvan de gegevens zijn.
Het gaat hierbij om de volgende gegevens:
- Etnische achtergrond of ras
- Religieuze of levensbeschouwelijke overtuigingen
- Seksuele leven
- Strafrechtelijke verleden
- Politieke voorkeuren
- Vakbondslidmaatschap
- Gezondheid
- Genetische en biometrische gegevens
- Burgerservicenummer
Je mag hier alleen gebruik van maken als je hier toestemming voor hebt gekregen. Een bevestiging is hierbij niet voldoende. Men moet echt akkoord gaan. (Ja, ik ga akkoord!)
Wanneer mag ik persoonsgegevens verzamelen en verwerken?
Het verzamelen van persoonsgegevens mag op basis van verschillende belangen. De autoriteit persoonsgegevens heeft dit in een aantal grondslagen gezet. Hieronder staat beknopt hoe je dit moet zien.
- Vitaal belang: Acute levensbedreigende situaties. Indien het nodig is om iemand de juiste hulp te bieden.
- Wettelijk verplicht: Persoonsgegevens die nodig zijn om aan wettelijke verplichtingen te voldoen.
- Overeenkomst: Bij de koop van en product of dienst. (NAW gegevens, E-mail)
- Algemeen belang: Als de persoonsgegevens nodig zijn voor het uitvoeren van een publieke taak of in het algemeen belang.
- Gerechtvaardigd belang: De gegevens zijn nodig voor het gerechtvaardigd belang van de organisatie.
- Toestemming: Hierbij heb je toestemming gekregen van de persoon in kwestie voor een specifiek doeleind.
Zoals je gezien zult hebben zijn sommige grondslagen vrijwel nooit van toepassing. Bijv. Vitaal belang, zal voor jouw webshop of website niet van belang zijn. Gebruik verkregen gegevens alleen voor datgene waarvoor je ze nodig hebt en vraag niet meer dan nodig. Doe je dit namelijk wel, dan zul je hier in veel gevallen apart toestemming voor moeten vragen. Zorg ervoor dat je in je Privacystatement duidelijk kiest voor een bepaalde grondslag. Laat je Privacystatement ook altijd controleren door een jurist!
Welke rechten hebben mijn website/webshop gebruikers?
Je bezoekers en klanten, in AVG terminologie ‘de betrokkene’, van je webshop of website hebben allemaal dezelfde rechten. Het betreft de volgende rechten:
Recht op:
- Dataportabiliteit
- Vergetelheid
- Inzage
- Rectificatie en aanvulling
- Beperking van de verwerking
- Menselijke blik bij besluiten
- Bezwaar
Hieronder vind je verdere uitleg over de desbetreffende rechten.
Dataportabiliteit
Dit recht is nauw verbonden met het al bestaande inzagerecht en is een nieuw recht. Het recht van dataportabiliteit geeft organisaties de verplichting perssonsgegevens te verwerken volgens de AVG en moet deze ook kunnen verstrekken aan de desbetreffende persoon.
Het gaat hierbij alleen om digitale gegevens. Papieren gegevens vallen hier dus niet onder. Tevens gaat het alleen om persoonsgegevens, waarover de persoon toestemming heeft gegeven. Of waarbij een overeenkomst van kracht is.
Houdt er rekening mee dat het niet alleen gaat om gegevens die via de persoon zelf zijn verkregen, bijv. naam, e-mail en telefoonnummer. Maar ook gegevens die zijn verkregen wanneer men gebruik maakt van een product of dienst. Dit kan bijv. de zoekgeschiedenis zijn, maar ook locatiegegevens vallen hieronder.
Een belangrijk punt van dit recht waarbij je rekening zult moeten houden binnen je bedrijfsproces is het verzoek tot verstrekking van de gegevens dat je kunt krijgen van een persoon. Dit verzoek moet binnen 1 maand kosteloos uitgevoerd worden. Indien dit om een bepaalde reden niet haalbaar is, zul je dit binnen 1 maand aan de desbetreffende persoon kenbaar moeten maken.
Vergetelheid
Kort gezegd is dit het recht om vergeten te worden. Het houdt in dat als een persoon erom vraagt je zijn persoonsgegevens moet verwijderen. Onderstaand een aatal redenen waarom een verzoek tot het wissen van de gegevens kan worden ingediend:
- De persoonsgegevens zijn niet meer nodig voor de doelen waarvoor ze zijn opgevraagd.
- De gegevens zijn onrechtmatig verwerkt/verkregen.
- Indien gegevens gebruikt zijn voor het leveren van diensten aan kinderen die jonger zijn dan 16 jaar.
- De gegevens moeten worden gewist o.b.v. een regel uit unierecht of het nationale recht.
- De persoon trekt zijn toestemming in voor verdere verwerking.
- Op basis van de wettelijke bewaartijd ben je als organisatie verplicht de gegevens te wissen na een bepaalde tijd. Hoe lang deze bewaartermijn is bepaalt de organisatie zelf, maar dit moet wel vastgelegd zijn!
Recht op inzage
Uw klanten of bezoekers hebben het recht op inzage van de gegevens die je van ze hebt. Een persoon kan dus een verzoek indienen tot inzage tot deze gegevens. Indien je zo’n verzoek ontvangt moet je o.a. deze gegevens verschaffen.
- Met welke doel je de gegevens verwerkt.
- Welke soorten persoonsgegevens u verzamelt.
- Met welke derde partijen de gegevens worden gedeeld.
- Bewaartermijn van de gegevens.
- Welke rechten van toepassing zijn voor de persoon. Wijzigen, aanvullen, wissen of rectificatie. Vragen om het verwerken van minder gegevens of bezwaar maken.
- Het recht tot het indienen van een klacht bij de Autoriteit Persoonsgegevens.
- Van welke organisatie de persoonsgegevens zijn ontvangen. Indien van toepassing.
- Hoe geautomatiseerde besluitvorming tot stand is gekomen.
Je mag inzage weigeren, dit zou bijv. kunnen zijn als u geen persoonsgegevens verwerkt. Wij raden aan, indien het uw bedrijfsbelangen niet schaadt, altijd inzage te geven indien je hiervoor een verzoek ontvangt. Ben je niet zeker wat je moet doen? Neem dan contact op met een jurist.
Rectificatie & Aanvulling
Het recht op rectificatie en aanvulling zegt het al een beetje, het geeft mensen het recht om persoonsgegevens die bijvoorbeeld onvolledig of onjuist zijn te laten rectificeren of aan te passen. Belangrijk punt hierbij is dat je, indien van toepassing, dit ook moet verzorgen bij de derde partijen waaraan je de gegevens hebt verschaft. (Zie ook. Verwerkersovereenkomst)
Beperking van de verwerking
Aan de hand van een aantal criteria is het mogelijk dat je een deel of alle gegevens van een persoon niet meer mag gebruiken, maar ze nog wel moet bewaren.
- Indien de gegevens onjuist zijn. Heeft een persoon kenbaar gemaakt dat de persoonsgegevens niet goed zijn, dan mag je ze niet gebruiken totdat ze gecontroleerd zijn.
- Je mag bepaalde gegevens niet verwerken, omdat deze onrechtmatig zijn. Maar de persoon wil niet dat je de gegevens wist.
- De gegevens zijn niet meer nodig, maar de persoon heeft de gegevens nog wel nodig voor bijv. een juridische procedure.
- Er is bezwaar gemaakt door de persoon. Je mag de gegevens niet meer verwerken, tenzij er bepaalde gronden zijn die dit teniet doen.
Ook hierbij geldt dat indien je de gegevens hebt gedeeld met derde partijen, dat je verantwoordelijk bent voor het stopzetten van de verwerking van de desbetreffende persoonsgegevens bij deze derde partijen.
Recht op menselijke blik bij besluiten
Er wordt tegenwoordig gebruikt gemaakt van geautomatiseerde besluiten, ookwel geautomatiseerde profilering. Dit houdt in dat er op basis van automatisch verwerkte gegevens een beoordeling wordt genomen zonder tussenkomst van een Mens. Dit komt o.a. voor in de recruitement wereld, waar op basis van bepaalde gegevens al een ‘sortering’ wordt gemaakt door het systeem. Een persoon kan zich op dit artikel beroepen. Dat houdt in dat het besluit opnieuw moet worden genomen waarbij een mens de beoordeling doet.
Recht van bezwaar
Een persoon heeft het recht om bezwaar te maken tegen het gebruik van persoonsgegevens. Dit geldt voor persoonsgegevens die zijn verkregen op grond van algemeen belang of gerechtvaardigd belang. Indien iemand bezwaar maakt moet je stoppen met het verwerken van deze gegevens.
Privacy by design and by default
Bij het ontwikkelen van producten of diensten moet de privacy van de gebruiker voorop staan. Dit houdt in dat je alleen noodzakelijke persoonsgegevens opvraagt. Tevens moet je ervoor zorgen dat dit zo gebruiksvriendelijk mogelijk gebeurt.
Je mag bijv. invulvakjes niet vooraf invullen voor het aanmelden van een nieuwsbrief. Ook mag je niet om een telefoonnummer vragen als het om een nieuwsbrief gaat, aangezien hiervoor alleen een e-mailadres voor nodig is.
Daarnaast is het voor een app niet altijd nodig om persoonsgegevens te ontvangen om te functioneren. Ook in deze situatie mag je dus niet om deze gegevens vragen. Maar heb je een app die gemaakt is om op locatiebasis bepaalde informatie te geven, dan mag je indien hier toestemming voor is gegeven de locatie van de gebruiker registreren.
Verkoop je bijv. fysieke producten welke op de een of andere manier connectie maken met het internet, dan moet je zorgen dat de afnemer duidelijk kan zien waar ze de privacystatement kunnen vinden. Dit kun je doen door de url van je privacystatement met een sticker op het product te tonen.
De verwerkersovereenkomst
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is een contract waarin 2 partijen met elkaar afspreken hoe de verwerker met persoonsgegevens omgaat. Huh? Een verwerker? Om het allemaal wat duidelijker te maken hieronder een voorbeeld:
En webshop eigenaar (de verantwoordelijke) maakt gebruik van Google Analytics (de verwerker). Google verwerkt in opdracht van de verantwoordelijke persoonsgegevens. Hierdoor moet de verantwoordelijke verzorgen dat de verwerker dit netjes en volgens de richtlijnen doet.
Heb ik een verwerkersovereenkomst nodig?
Ja, er is namelijk altijd wel een partij waarmee je persoonsgegevens deelt, je boekhouder is er één van.
Dit betekent ook dat je met alle derde partijen waarmee je persoonsgegevens deelt een verwerkersovereenkomst aangaat. Voor webshop & website ondernemers kunnen dit o.a. de onderstaande partijen zijn.
- Google
- Payment Providers, zoals ‘Mollie’
- Hosting Providers
- E-mail marketing providers, zoals ‘Mailchimp’, ‘Campaignmonitor’ etc
- Marketingtools, zoals ‘Hootsuite’, ‘Hotjar’ etc.
*Let op! Dit betreft een beknopte lijst. Het gaat niet alleen om systemen die direct gekoppeld zijn aan je website, maar ook CRM systemen, direct mailing providers, salarisadministratie kantoren etc.
Je zult voor jezelf dus goed moeten nagaan aan wie jij persoonsgegevens verstrekt. Jij bent namelijk de verantwoordelijke. Als jouw klant bij jou aanklopt om uit het ‘register’ verwijderd te worden zul jij dit met al deze partijen moeten regelen.
Een kanttekening hierbij is dat je dit soms deels of geheel kan weigeren omdat het bijv. volgens de wetgeving nodig is om gegevens voor een bepaalde tijd te bewaren. Maar je mag deze gegevens dan niet meer verwerken (verder gebruiken). Ga voordat je ingaat op een verzoek altijd even na of het wel echt moet en of je wellicht geen andere wettelijke verplichtingen hebt waaraan je moet voldoen, alvorens de gegevens te verwijderen.
Is een verwerkersovereenkomst verplicht?
Ja, het is volgens de wet verplicht om deze overeenkomsten aan te gaan. Doe je dit niet dan loop je de kans om een boete te krijgen. En deze zijn, zoals eerder beschreven niet mals!
Jij bent aansprakelijk door de verantwoordingsplicht!
De verantwoordingsplicht moet ervoor zorgen dat je goed nadenkt bij de persoonsgegevens die je verwerkt. Heb je ze rechtmatig verkregen? Communiceer je transparent over de privacy? Met welk doel verwerk je persoonsgegevens?
Onder de verantwoordingsplicht vallen een aantal verplichtingen waaraan je als ondernemer moet voldoen. In sommige gevallen geldt dit alleen in bepaalde situaties.
- Register van verwerkingsactiviteiten
- Verkregen toestemming aan kunnen tonen
- Data Protection Impact Assesment (DPIA) (Indien nodig)
- Functionaris voor Gegevensbescherming (Indien nodig)
De DPIA is van toepassing indien er, waarschijnlijk, een hoge risico voor de privacy aan vast hangt. De DPIA dient ervoor om de privacyrisico’s in kaart te brengen.
Een Functionaris van Gegevensbescherming is van toepassing bij, overheden, publieke organisaties, organisaties die op grote schaal observatie uitvoeren of als er op grote schaal bijzondere gegevens worden verwerkt.
We gaan hieronder verder in op het Register van verwerkingsactiviteiten en verkregen toestemming aan kunnen tonen. Deze zijn voor het overgrote deel van de organisaties van toepassing.
Het verwerkingsregister. Documenteer wat je doet met persoonsgegevens.
De naam zegt het al een beetje, maar het verwerkingsregister is een plek waar je bijhoudt welke persoonsgegevens je verwerkt, wat je hiermee doet en waarom. Dit kan in en document of een speciaal programma.
Moet ik voor mijn webshop/website een verwerkingsregister bijhouden?
Er zijn een paar regels o.b.v. waarvan jij kunt beoordelen of je een verwerkingsregister nodig hebt. Maar over het algemeen gezien kun je ervanuit gaan dat je dit moet bijhouden.
- Voor organisaties met meer dan 250 medewerkers.
- Indien je minder dan 250 medewerkers hebt:
- Indien de verwerkingen niet incidenteel zijn, dus structureel. Dit is vrijwel altijd het geval, waardoor het vrijwel altijd nodig is om een register bij te houden. Een webshop houdt bijv. adresgegevens en de naam bij van klanten.
- In het geval van risicovolle verwerkingen. (bijv. als je grote hoeveelheden gegevens verwerkt.)
- Bij het verwerken van bijzondere gegevens.
Wat moet ik in het verwerkingsregister bijhouden?
Zowel de verantwoordelijke als de verwerker moeten een register bijhouden.
De verantwoordelijke:
- Naam en contactgegevens: Van de verantwoordelijke of indien je organisatie buiten de EU is gevestigd een verantwoordelijke. Daarnaast ook de functionaris voor gegevensbescherming (FG) indien van toepassing;
- Het doel: waarom de gegevens worden verwerkt. Bijvoorbeeld e-mailmarketing of het leveren van bestelde producten.
- Categorie van personen: Een beschrijving van de groep personen waarvan je gegevens verwerkt. Bijv. Klanten.
- Categorie van de persoonsgegevens: Een beschrijving van de gegevens waar het om gaat. Dit kunnen o.a. IP-adressen, naam, telefoonnummers of adresgegevens zijn.
- Bewaartermijn: Hoe lang je de gegevens gaat bewaren en dus ook wanneer ze gewist moeten worden. Hoe lang je gegevens bij mag houden mag je zelf bepalen. Maar in ieder geval niet langer dan nodig.
- Beveiliging: Hoe je ervoor hebt gezorgd dat de gegevens zijn beveiligd. Bijv. pseudonimisering of encryptie.
- Delen van gegevens: Deel jij gegevens met een land of organisatie buiten de EU? Dan moet je ook dit verwerken in je register.
De verwerker:
- Naam en contactgegevens: Van de verantwoordelijke of indien je organisatie buiten de EU is gevestigd een verantwoordelijke. Daarnaast ook de functionaris voor gegevensbescherming (FG) indien van toepassing;
- Categorie van verwerkingen: Beschrijving van de categorie van verwerkingen die wordt uitgevoerd in opdracht van de verantwoordelijke.
- Delen van gegevens: Geef aan welke persoonsgegevens worden gedeeld met organisaties buiten de EU.
- Beveiliging: Hoe je ervoor hebt gezorgd dat de gegevens zijn beveiligd.
Hoe maak ik een verwerkingsregister?
Een verwerkingsregister kun je gewoon in Excel maken, dus denk hier vooral niet te moeilijk over. Mocht het zo zijn dat je organisatie groot is of veel data verwerkt, dan kun je ervoor kiezen om hiervoor een slimme data privacy tool aan te schaffen. Veel van deze tools ondersteunen ook het borgen van ISO-27001 maatregelen.
Om je op weg te helpen hebben wij alvast een template verwerkingsregister in Excel voor je gemaakt. Deze vind je onderaan dit blog terug.
Toestemming vragen, wanneer en hoe?
Vraag jezelf in ieder geval eerst af of het wel nodig is om toestemming te vragen. Het is namelijk in veel gevallen niet nodig om toestemming te vragen, omdat je je kunt beroepen op 1 van de andere grondslagen. Om je hier een beeld bij te geven staan hier een aantal voorbeelden:
Situatie 1:
Je klant koopt een product in je webshop. Om het product toe te kunnen sturen heb je hiervoor NAW-gegevens nodig, daarnaast een e-mailadres voor het sturen van orderbevestiging, factuur etc. Hiervoor hoeft geen toestemming gevraagd te worden, omdat dit onderdeel is van de de grondslag overeenkomst.
Situatie 2:
Voor het bezoeken van jouw website/pagina is het nodig om de leeftijd van de bezoeker te controleren omdat dit wettelijk verplicht is. Hiervoor is geen aparte toestemming nodig.
In het geval dat je toch toestemming moet vragen, dan moet dit:
- Uit vrije wil:
- Je mag iemand niet dwingen om toestemming te geven. Weigert iemand de toestemming voor het gebruik van zijn persoonsgegeven, dan mag het niet zo zijn dat je deze persoons je diensten/producten weigert.
- Vanuit een actieve handeling:
- Iemand moet echt een handeling doen voordat je diegene toestemming verleent. Een vooraf ingevulde checkbox mag dus niet! Alleen vermelden in je privacy statement is ook niet voldoende, de gebruiker moet ondubbelzinnig toestemming geven.
- Geïnformeerd:
- Informeer duidelijk en transparant waarom je toestemming vraagt. Vermeld bijv. Wat het doel is en op welke frequentie je de gegevens gebruikt.
- Specifiek:
- Het moet duidelijk en begrijpelijk zijn wat er met de gegevens gebeurt. Wie verwerkt ze? Welke gegevens worden er verwerkt? Met welk doel? En aan wie verstrek je de gegevens nog meer?
De AVG heeft hier de volgende definitie voor opgesteld:
Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een duidelijke actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt” – artikel 4 lid 11 AVG.
Verkregen toestemming aantonen. Eenvoudig, maar duidelijk!
Je moet aan kunnen tonen dat jij toestemming hebt gehad van de persoon waarvan je persoonsgegevens verwerkt. Alleen laten zien dat je toestemming hebt gehad is daarbij niet voldoende. Je moet ook aan kunnen tonen dat je de toestemming op een correcte manier hebt verkregen. Zorg in ieder geval dat je op een eenvoudige en duidelijke manier communiceert met de doelgroep waar je persoonsgegevens van vraagt.
De volgende gegevens moet je in ieder geval aan kunnen tonen als bewijs voor toestemming:
- Wanneer de toestemming is gegeven
- Aan wie de toestemming is gegeven.
- Waarvoor er toestemming is gegeven
- Hoe er toestemming is gegeven. (middels mondeling akkoord, checkbox, tekst)
- En wanneer er toestemming is gegeven
Datalek, wat nu?
Je hebt er alles aan gedaan om te voldoen aan de AVG-wetgeving en hebt ervoor gezorgd dat de data die je hebt zo veilig mogelijk wordt bewaard. Maar toch is er een datalek ontstaan. Wat moet ik nu doen? Geen paniek! Er zijn een aantal zaken waar je rekening mee moet houden:
Wat is een datalek?
Een datalek is een situatie waarbij er persoonsgegevens per ongeluk of doelbewust zijn:
- Vernietigd
- Verloren
- Onrechtmatig zijn gewijzigd
- Onrechtmatig zijn geplubliceerd
- Waarvan de toegang onrechtmatig is doorgegeven
Dit kan bijvoorbeeld komen, doordat je bent gehackt, je laptop is gestolen of in het geval dat je persoonsgegevens per ongeluk verstuurd naar de verkeerde persoon. Bijv. Een verkeerd verstuurde E-mail.
Melden van een datalek
Het is niet in alle gevallen nodig om een datalek te melden bij de Autoriteit Persoonsgegevens.
Je hoeft alleen een datalek te melden als er mogelijk kans is op ernstige nadelige gevolgen van de bescherming van persoonsgegevens. Indien het waarschijnlijk is dat het ook ongunstige gevolgen heeft voor de betrokkene, dan moet de persoon in kwestie ook op de hoogte worden gesteld.
Je zou ook kunnen zeggen dat indien het geen gevolgen heeft zoals identiteitsfraude of reputatieschade, dan hoeft het niet gemeld te worden.
De meldplicht bestond al volgens de Wet Bescherming Persoonsgegevens. Voor het bepalen of iets een datalek is of niet zijn er richtlijnen opgesteld, deze zijn opgenomen binnen de AVG. Je kunt de volledige richtlijnen hier lezen.
Nu is dit nogal een grijs gebied, neem daarom in het geval van een datalek, altijd contact op met een jurist. Tevens kun je ook informatie inwinnen bij de Autoriteit Persoonsgegevens.
Registreer alle datalekken
De AVG vereist dat datalekken worden geregistreerd. Het kan zijn dat je geen melding hebt hoeven maken, maar dit wil niet zeggen dat je het lek niet hoeft te registreren.
Bij het registeren van datalekken moeten de volgende gegevens worden bijgehouden:
- Omschrijving van het lek
- Wanneer het lek heeft plaatsgevonden
- Wat er is gebeurd met de gegevens. Zijn ze onrechtmatig ingezien, gekopieerd, gestolen etc.?)
- Van welke groep personen er gegevens gelekt zijn.
- Om wat voor soort gegevens gaat het?
AVG – Stappenplan voor websites en webshops
Nu je een redelijk beeld hebt van de AVG-wetgeving is het tijd om er ook daadwerkelijk mee aan de slag te gaan. Hieronder hebben we een stappenplan gemaakt, hiermee kun jij zorgen dat je voldoet aan de AVG wetgeving.
Stap 1: Bewustwording & inventarisatie van verwerkingen
Zorg dat iedereen binnen je organisatie zich bewust wordt van de aanstaande AVG wetgeving en welke gevolgen dit heeft voor de organisatie. Van e-commerce manager tot aan de financiële afdeling, de AVG heeft vrijwel op alle afdelingen invloed.
Stap 2: Inventarisatie t.b.v. verwerkingsregister
Inventariseer welke persoonsgegevens er allemaal worden verwerkt. Waar komen de gegevens vandaan en met welke derde partijen deel je deze persoonsgegevens. Ga ook direct na of het nodig is om een verwerkerovereenkomst af te sluiten met partijen die persoonsgegevens voor jouw organisatie verwerken.
Maak je gebruik van E-mail marketing? Vraag je gegevens op voor het versturen van producten? Personaliseer je je website of webshop o.b.v. persoonsgegevens (Profiling)? Allemaal situaties die in kaart moeten worden gebracht en moeten worden geregistreerd.
Stap 3: Verwerkingsregister opstellen
Stel op basis van de inventarisatie een verwerkingsregister op. Hiervoor kun je het eerder benoemde verwerkingregister gebruiken of zelf een verwerkingregister opstellen.
Stap 4: Verwerkersovereenkomsten
Inmiddels heb je inzichtelijk welke persoonsgegevens je verwerkt en of je bepaalde gegevens laat verwerken door externe partijen, zoals Google, salarisadministrateur of fulfillment bedrijf. Sluit met al deze partijen een verwerkersovereenkomst af of herzie de al bestaande overeenkomsten.
Stap 5: Privacy content
Ga na of alle content, zoals privacy statement of andere teksten, voldoen aan de AVG. Pas indien nodig deze content aan. Houdt hierbij rekening dat je moet vermelden met welke doeleinden je bepaalde persoonsgegevens opvraagt en op basis van welke grondslag.
Stap 6: Rechten van betrokkene
Zorg ervoor dat jouw klanten en website of webshop bezoekers hun rechten kunnen uitoefenen. Hiervoor kun je procedures opstellen en technische inrichtingen voorzien op je website of webshop. Zorg er dus voor dat mensen ‘vergeten’ kunnen worden, hun data kunnen inzien of kunnen aanpassen.
Stap 7: Toestemming
Indien je gebruik moet maken van de grondslag “Toestemming”, zorg er dan voor dat dit wordt vastgelegd en dat de toestemming ook weer is in te trekken.
Bij kinderen t/m 15 jaar geldt de regel dat je altijd toestemming nodig hebt van 1 van de ouders. Ga na of leeftijdscontrole nodig is en hoe je toestemming kunt verkrijgen van ouders.
Stap 8: Privacy by Design & Privacy by default
Ga bij het ontwikkelen van producten en diensten na hoe u ervoor kunt zorgen dat persoonsgegevens goed beschermd zijn en blijven. Wacht hierbij niet tot het product of de dienst al is ontwikkeld!
Stap 9: Datalekken
Stel procedures op voor het geval een datalek plaats vindt. De opsporing hiervan en het onderzoek naar datalekken. Vergeet hierbij niet rekening te houden met externe verwerkers, zoals je boekhouder, Google, E-mail marketing provider etc.
Zorg er tevens voor dat duidelijk is hoe en wat er gemeld moet worden in het geval van een datalek.
Stap 10: Data protection impact assessment (DPIA)
Het is niet altijd nodig om en DPIA uit te voeren, maar in onderstaande gevallen is het in ieder geval verplicht:
- Als je op grote schaal bijzondere persoonsgegevens verwerkt. (Ras, politieke voorkeur, BSN-nummer, genetische gegevens etc.)
- Als je op grote schaal mensen monitort in openbare publieke ruimtes. (bijv. Cameratoezicht).
- Als je uitvoerig en systematisch persoonlijke aspecten evalueert, zoals bij profiling.
Over het algemeen gezien betreft dit organisaties zoals, ziekenhuizen, vervoersmaatschappijen, banken, zoekmachines die advertenties tonen op internetgedrag. De wat kleinere online ondernemers zullen dit over het algemeen niet hoeven te doen.
Stap 11: Aanstellen Functionaris Gegevensbescherming
Op basis van de AVG kan het zijn dat je verplicht bent om een Functionaris voor de Gegevensbescherming (FO) aan te wijzen. Hieronder een aantal situaties waarbij dit verplicht is
- Overheden en publieke organisaties
- Observerende organisaties (Cameratoezicht, maar ook in het geval van bijv. Wearables)
- Indien een organisatie op grote schaal bijzondere persoonsgegevens verwerkt.
- Andere situaties: EU-Lidstaten mogen zelf bepalen wanneer het nodig is om een FO aan te stellen.
Het is per situatie verschillende, maar voor online ondernemers met een website of webshop zal dit zelden nodig zijn. Je moet in ieder geval goed kunnen onderbouwen waarom je er wel of niet voor hebt gekozen om een FO aan te stellen.
Stap 12: Periodieke controle
Als je volledig voldoet aan de AVG is het natuurlijk zaak om dit goed bij te houden. Stel daarom een planning op voor controle van je AVG beleid. Loop alles stappen nog eens na en bekijk of het nodig is om aanpassingen te doen.
Aan de slag met AVG
Nu is het tijd om aan de slag te gaan. Mocht je vragen of opmerkingen hebben aan de hand van dit artikel, laat het ons dan gerust weten!
Wij hebben dit artikel met de grootst mogelijk zorg samengesteld, maar wij adviseren altijd om een jurist te raadplegen!
