Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG / GDPR) van toepassing. Deze Europese privacy-verordening regelt de legitieme en zorgvuldige omgang van (persoons)gegevens.
In deze blogpost behandelen we enkele onderwerpen voor website eigenaren waar je met name wijzigingen kunt verwachten.
In het kort
Voor alle lidstaten in de EU gelden vanaf 25 mei dezelfde regels op het gebied van privacy. Voor veel websites heeft deze nieuwe regelgeving grote gevolgen, bijvoorbeeld op het gebied van cookies, nieuwsbrieven en opslaan van gegevens van gebruikers.
Door de algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Voor bedrijven geldt dat er veel meer nadruk gelegd wordt op verantwoordingsplicht. Je moet kunnen aantonen als bedrijf dat je voldoet aan de wet. Het melden van overtredingen wordt eenvoudig, en opvolging daarvan zal (moet) ook gebeuren. Boetes kunnen enorm hoog oplopen (tot 20 miljoen euro).
De wet geldt ook voor kleine mkb’ers en zzp’ers die gegevens verwerken. Zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie.
Verwerking persoonsgegevens
Je mag persoonsgegevens alleen verzamelen als je er ook een uitdrukkelijk omschreven doel voor hebt en deze gegevens moeten zijn beveiligd tegen diefstal en verlies. Je moet voldoen aan minimaal 1 vanonderstaande voorwaarden voordat je informatie vastlegt:
-
Toestemming van degene wiens gegevens worden verwerkt heeft hiervoor toestemming gegeven
-
de gegevensverwerking is noodzakelijk voor de uitvoering van een wettelijke verplichting (bijvoorbeeld de gegevens die de belastingdienst registreert voor de belastingheffing)
-
de verwerking is noodzakelijk voor een goede vervulling van een publiekrechtelijke taak (bijvoorbeeld voor gemeenten)
-
de gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang (bijvoorbeeld als het voor een goede bedrijfsvoering noodzakelijk is), tenzij het belang van de betrokkene zwaarder weegt. Onder deze bepaling valt bijvoorbeeld het uitvoeren van een direct mail actie.
Let op dat je ook een goede privacyverklaring hebt, die onder andere in duidelijke taal aangeeft welke gegevens je opslaat en voor welk doel. Het gaat in dit artikel te ver om dit exact te beschrijven, dus we raden aan hiervoor met een branche organisatie of expert contact op te nemen.
Nieuwsbrieven
Onder de vorige wetgeving, was het sturen van nieuwsbrieven naar klanten die iets via een webshop hadden besteld toegestaan. Dat verandert, ook met terugwerkende kracht. Het is vanaf 25 mei alleen toegestaan nieuwsbrieven te versturen indien je expliciet toestemming hebt gekregen (bijvoorbeeld doordat iemand een vinkje heeft gezet), en je moet dit ook achteraf aan kunnen tonen door bijvoorbeeld tijdstip+data en de tekst van het vinkje tezamen met het e-mailadres te bewaren. Er zijn enkele uitzonderingen hierop, dus kijk goed naar jouw specifieke situatie en bepaal al dan niet tezamen met een expert of en welke wijzigingen er nodig zijn.
Afdoende beveiliging verplicht
Een voorbeeld van afdoende beveiliging is het up-to-date hebben van software zodat daar geen (bekende) veiligheidslekken zitten.
Heb je bijvoorbeeld een contactformulier op je website of worden er persoonsgegevens uitgewisseld, dan is SSL versleuteling een minimale vereiste. Een professioneel SSL certificaat kun je apart aanvragen voor je website via https://www.henselhosting.nl/ssl-certificaat-bestellen, of je kan via het Control Panel op https://ac.managedomain.nl onder het kopje SSL Let’s Encrypt SSL installeren.
[notification style=”warning” font_size=”12px”] Let op: Indien je persoonsgegevens verwerkt die gevoelig zijn, zoals medische informatie, dan zijn de beveiligings-eisen stricter. Het opslaan daarvan in een database op shared hosting is dan bijvoorbeeld niet meer afdoende beveiliging. [/notification]
Verwerkersovereenkomst
Indien je gegevens door een derde partij beheerd of opgeslagen worden dien je hier een zogeheten verwerkersovereenkomst mee af te sluiten die de verantwoordelijkheden aangeeft.
Binnenkort stellen wij een algemene verwerkersovereenkomst beschikbaar die je als bedrijf kunt ondertekenen indien je bijvoorbeeld gegevens bij ons opslaat.
Cookies
Tot slot, check het gebruik van cookies op je website. Er was al een cookie-wet, maar de regels zijn nu aangescherpt. Zo is een cookie-wall (bezoekers weigeren die je cookies niet accepteren) niet zonder meer meer toegestaan als je tracking cookies gebruikt. Ook moet je duidelijke informatie over het gebruik van cookies tonen indien je hiermee informatie verzamelt (ook die via bijvoorbeeld Google Analytics geplaatst worden, indien je ze niet geanonamiseerd gebruikt).
[notification style=”warning” font_size=”12px”] Let op: Dit is enkel een eigen interpretatie van de huidige regels. Wij zijn geen juridische experts en we raden aan bij twijfel een specialist in te schakelen. [/notification]