Je hebt er vast wel van gehoord: de Algemene Verordening Gegevensbescherming (AVG). Deze privacywet, ook wel bekend onder de naam General Data Protection Regulation (GDPR), is geldig in de hele Europese Unie en wordt 25 mei 2018 van toepassing. Doel van deze wet is een betere bescherming van natuurlijke personen, de verwerking van persoonsgegevens en het vrije verkeer van die gegevens. Grote kans dat je geen jurist bent en de AVG jou weinig zegt, maar het gaat wel degelijk gevolgen hebben voor jouw organisatie. We leggen in dit blog  (in begrijpelijke taal) uit welke gevolgen dit zijn voor jouw organisatie en webshop, en geven een stappenplan om je voor te bereiden. Niet voldoen kan een boete van 4% van de jaaromzet, met een maximum van € 20 miljoen,  opleveren dus verder lezen wordt aanbevolen!

Wat is de algemene verordening gegevensbescherming?

Zoals kort benoemd heeft de AVG betrekking op natuurlijke personen. Bij het verzamelen, verwerken, en bewaren van persoonlijk identificeerbare informatie krijg je als organisatie meer verplichtingen. Daarbij moet je denken aan de standaard persoonsgegevens zoals NAW-gegevens, telefoonnummers, e-mailadressen, maar ook bijzondere persoonsgegevens zoals ras, godsdienst of gezondheid. Heb je een webshop waar bezoekers kunnen inloggen? Dan zijn login naam en wachtwoord ook al persoonsgegevens. Zelfs een (dynamisch) IP-adres van een webshop bezoeker moet worden behandeld als een persoonsgegeven. Wanneer gegevens teruggeleid kunnen worden tot een individueel persoon, is het een persoonsgegeven.

De verplichting voor jou als organisatie is dat je moet kunnen aantonen dat je toestemming hebt verkregen voor het verwerken van deze persoonsgegevens. Jij als organisatie bent in dit geval de verwerkingsverantwoordelijke. Daarnaast moet duidelijk zijn waar deze gegevens worden verwerkt en met wie deze gegevens worden gedeeld. Wanneer iemand in opdracht van jou persoonsgegevens verwerkt, is deze partij de verwerker. Denk hierbij bijvoorbeeld aan het mailprogramma die voor jou de mailadressen van je klanten opslaat. Tevens moet vastgelegd zijn dat je technische en organisatorische maatregelen hebt genomen om deze gegevens veilig te bewaren. Voor organisaties dus een hoop verplichtingen om aan te kunnen voldoen.

Aan de andere kant krijgen natuurlijke personen juist meer rechten doordat ze kunnen vragen om de gegevens die jouw organisatie van hen heeft verzameld en verwerkt in te zien. Ook kunnen ze zelfs een verzoek doen om deze gegevens over te dragen (recht op dataportabiliteit) of zelfs helemaal te verwijderen (recht op vergetelheid). Is dit bij jouw organisatie al mogelijk? Nog niet? Dan is er dus werk aan de winkel!

Praktijkvoorbeelden van de AVG

We hebben het over gegevens van natuurlijke personen, maar hoe moet je dit zien in een praktijksituatie? Wanneer zijn het wel persoonsgegevens, en wanneer niet? Daarom enkele voorbeelden:

  • De verwerking van NAW-gegevens voor de salarisadministratie. Dit zijn persoonsgegevens, dus de AVG is van toepassing. Wordt de salarisadministratie uitbesteed aan een andere partij? Dan heb je ook nog eens een verwerkersovereenkomst met deze partij nodig (zie verderop in dit blog bij stap 6).
  • De verwerking van debiteuren, crediteuren of klanten in jouw boekhoud pakket. Sla je enkel de bedrijfsnaam en algemene contactgegevens van een bedrijf op, dan is het geen natuurlijk persoon en geldt de AVG niet. Sla je (ook) de naam en het telefoonnummer van individuele contactpersonen  op, dan worden het wel persoonsgegevens en is de AVG van kracht.
  • Het verzamelen van e-mailadressen voor een nieuwsbrief valt onder de AVG. Voeg je een e-mailadres zelf toe aan een lijst? Dan moet je binnen een maand na het toevoegen de betrokkene hierover hebben geïnformeerd. Verzamel je e-mailadressen via een inschrijfveld op jouw webshop? Dan moet hier een directe link naar de privacyverklaring op jouw webshop staan.
  • Een klant plaatst een bestelling op jouw webshop en geeft daarbij zijn NAW gegevens, wat persoonsgegevens zijn. Deze gegevens mogen niet langer worden bewaard dan noodzakelijk. Dit zou bijv. niet langer dan de garantie termijn van de gekochte producten kunnen zijn. Kan je echter beargumenteren dat het voor jou nodig is, in het kader van relatiebehoud, om deze gegevens langer te bewaren, dan wordt dit gedoogd maar moet je dat wel vastleggen.

De algemene regel geldt: twijfel je of iets persoonsgegevens zijn of niet, behandel het dan als persoonsgegevens en voer de AVG maatregelen door!

Wat zijn persoonsgegevens - AVG - Inventus Online B.V.

Maak je organisatie AVG-compatible

Makkelijk gezegd “voer de AVG maatregelen door”. Waar begin je bij zoiets? We behandelen hiervoor een stappenplan die je op weg helpt om jouw organisatie voor te bereiden op de AVG.

Stap 1. Identificeer waar en welke persoonsgegevens worden verwerkt

Ga bij jouw organisatie na welke persoonsgegevens op welke plek worden verwerkt. Sla je persoonlijk identificeerbare informatie altijd op in afzonderlijke documenten, of staan deze enkel in één ERP-pakket? Maak een compleet overzicht waar gegevens van natuurlijke personen “rondzwerven” binnen jouw organisatie en welke gegevens dit zijn. Gebruik hiervoor bijvoorbeeld een Excel-bestand om dit in kaart te brengen. Een template vind je bij stap 3. Ga nog niet direct door naar stap 3, eerst stap 2 lezen.

Stap 2. Ga na of verwerking van deze gegevens wel mag

Je bent niet altijd bevoegd om persoonsgegevens te verzamelen. Dit moet in overeenstemming met de wet gebeuren. Ga bij de geïdentificeerde persoonsgegevens na of je deze mag verzamelen o.b.v. een zogenaamde verwerkingsgrondslag. Toets dit aan de hand van de volgende grondslagen:

  1. Toestemming: Heb je toestemming gekregen voor het verzamelen van deze gegevens? Dat kan zowel schriftelijk als digitaal zijn geweest, maar moet wel vastliggen. Als je toestemming hebt, mag je deze persoonsgegevens verwerken.
  2. Uitvoering overeenkomst: Is het in kader van de uitvoering van de overeenkomst nodig dat je deze persoonsgegevens verwerkt? Dan mag je deze ook verwerken. Bijvoorbeeld als iemand een bestelling doet bij jouw webshop en deze producten bezorgd moeten worden, is het wel handig dat je zijn of haar adres hebt. Dit mag je dus verzamelen om de overeenkomst uit te kunnen voeren.
  3. Wettelijke verplichting: Soms is het wettelijk verplicht om persoonsgegevens te verzamelen. Bijvoorbeeld het BSN-nummer voor de personeelsadministratie. Frappant is dat het BSN-nummer straks juist geen bijzonder persoonsgegeven wordt, maar hier komen wel andere regels voor volgens de Autoriteit Persoonsgegevens.
  4. Vitaal belang: Het kan soms van vitaal belang zijn dat, zonder nadrukkelijke toestemming of een overeenkomst, er persoonsgegevens worden verzameld. Extreem voorbeeld: wanneer er een ramp is en de overheid persoonsgegevens van mensen in het ramp gebied verwerkt. De grondslag vitaal belang zal in de praktijk minder vaak voorkomen.
  5. Gerechtvaardigd belang: Weeg af of het belang dat jij persoonsgegevens verzameld hoger is dan het belang van de betrokkene (de natuurlijk persoon van wie je de gegevens verzameld). Als je goed kunt beargumenteren dat jouw belang hoger is, dan zit je veilig. Een voorbeeld van een gerechtvaardigd belang om persoonsgegevens van prospects te bewaren is om deze in toekomst nog een keer te kunnen benaderen. Want voor jou als organisatie is het belangrijk om ook in de toekomst omzet te genereren.

Het is soms wat vaag of onduidelijk o.b.v. welke grondslag je nou wel of geen persoonsgegevens mag verwerkenn, maar toets dit voor de verzamelde persoonsgegevens zo goed als mogelijk. Kom je er achter dat er geen grondslag is voor de verwerkte persoonsgegevens? Vernietig deze dan.

Stap 3. Leg al deze verwerkingen vast in een register

Dit is niet verplicht voor alle organisaties. Enkel wanneer:

  • jouw organisatie meer dan 250 medewerkers heeft

OF

  • verwerking van persoonsgegevens een verhoogd risico inhoudt;
  • verwerking van persoonsgegevens niet incidenteel is;
  • persoonsgegevens vallen onder de categorie bijzondere persoonsgegevens.

Lekker al die regeltjes en uitzonderingen. Wat is nu weer een verhoogd risico of vaker dan incidenteel? Een verhoogd risico wordt in de AVG niet exact beschreven, maar hierbij kun je denken aan jouw financiële gegevens bij een bank. Als deze op straat komen te liggen, kan dat voor jou gevolgen hebben en kleeft er dus een verhoogd risico aan. Ga na of er binnen jouw organisatie ook gegevens worden verzameld die voor een natuurlijk persoon een verhoogd risico met zich mee brengen,

Niet incidenteel zal in de praktijk weinig voorkomen. Immers, je verwerkt regelmatig gegevens van (nieuwe) klanten of medewerkers. Eigenlijk kun je er wel vanuit gaan dat, ondanks dat jouw organisatie niet meer dan 250 medewerkers heeft, het verstandig is om een register van verwerkingsactiviteiten bij te houden. Wanneer de Autoriteit Persoonsgegevens daar om vraagt, moet je deze binnen 1 á 2 dagen kunnen overleggen. Wel zo handig dat je dan voorbereid bent en het niet alle hens aan dek is.

Om je vast op weg te helpen hebben we een Excel template voor je ontwikkeld. Deze is te downloaden via onderstaande link:

Download Register van Verwerkingsactiviteiten Template
Werking template

Bij het tabblad “Gegevens Verwerker” vul je de gegevens in van je eigen organisatie, en eventueel de gegevens van de Functionaris Gegevensbescherming indien deze bij jouw organisatie van toepassing is. Of dit voor jouw organisatie nodig is kun je checken via Nederland ICT.

Het tabblad “VA_Template” gebruik je als basistemplate voor het registeren van een verwerkingsactiviteit. Kopieer dit tabblad dus steeds en noem het “VA_nr”. Het tabblad “VA_1 (ingevuld voorbeeld) laat zien hoe je een bepaalde verwerkingsactiviteit dient te registeren. In het tabblad “Overzicht VA” haal je de ingevoerde verwerkingsactiviteit vervolgens op, zodat je één overzicht hebt van de verwerkingsactiviteiten binnen jouw organisatie.

Uiteraard ben je vrij om dit template in te richten en te gebruiken naar jouw wensen en organisatie!

Stap 4. Privacy by default en privacy by design

Weer twee van die vage termen. Simpelweg betekent het dat je niet meer persoonsgegevens moet verzamelen dan nodig is voor het doel. Bijvoorbeeld wanneer je e-mailadressen voor een nieuwsbrief verzameld, dan is het niet nodig om ook de geboortedatum te verzamelen. Dit is immers niet van belang voor mailings. Tenzij je natuurlijk van plan bent om verjaardagsmails te sturen. Dan heb je een goed argument waarom je óók de geboortedatum verwerkt.

Het komt erop neer dat je je systemen zo moet inrichten dat je niet onnodige persoonsgegevens verzameld. Ga bij de verwerkingsactiviteiten die je hebt geregistreerd dus na wát voor persoonsgegevens je hebt verzameld, en of dit allemaal wel nodig is voor het doel. Heb je dit niet nodig? Doe dan aan dataminimalisatie en vernietig deze.

Stap 5. Controleer de beveiliging

Ga na óf en zo ja hoe goed gegevens beschermd zijn binnen jouw organisatie. Zijn inlognaam en wachtwoord combinaties bij jouw ERP-pakket al jaren hetzelfde, of zijn er procedures om deze elk half jaar te vernieuwen? Wordt vastgelegd wie (welke medewerkers) er allemaal toegang tot hebben en worden er passende toegangsniveau’s gehanteerd? Worden persoonsgegevens binnen jouw organisatie geëncrypteerd verzonden, of zijn deze direct inzichtelijk wanneer deze in verkeerde handen vallen.

Het gaat erom dat je voor jouw organisatie passende technische en organisatorische maatregelen treft om persoonsgegevens voldoende te beveiligen. Hier worden geen concrete eisen aan gesteld, maar doe wat binnen jouw mogelijkheden ligt.

Stap 6. Stel verwerkersovereenkomsten op

Wordt verwerking van persoonsgegevens uitbesteed aan een andere partij (bijvoorbeeld de salarisadministratie), dan heb je met deze partij een verwerkersovereenkomst nodig. Ook met de hosting partij van je webshop, of met de organisatie die voor jouw webshop reviews verzameld heb je een verwerkersovereenkomst nodig. Kort samengevat: met alle derde partijen die persoonsgegevens voor of namens jou verwerken, moet je een verwerkersovereenkomst opstellen.

Grote kans dat je deze al hebt opgesteld en ondertekent, maar het kan zijn dat deze niet meer aan de eisen voldoet die de AVG stelt. Check dit bij de Autoriteit Persoonsgegevens.

Ga dus na welke derde partijen namens jou persoonsgegevens verwerken. Wanneer verwerkersovereenkomsten met deze partijen niet meer voldoen, of je hebt dit überhaupt nog niet gedaan, dan kan je hiervoor een template downloaden bij Privacy Company en deze verwerkersovereenkomst voorleggen aan de derde partij. Het template natuurlijk wel even omzetten naar je eigen huisstijl.

Stap 7. Stel een procedure voor datalekken op

Wanneer er inbreuk wordt gedaan op persoonsgegevens en deze komen in ongewenste handen, dan moet dit datalek gemeld worden bij de Autoriteit Persoonsgegevens. Bij een datalek denk je al snel aan hackers die waardevolle data proberen te stelen, maar in de praktijk kan dit ook op andere manier al vrij snel voorkomen. Stel je hebt een nieuwe medewerker aangenomen en je wilt zijn of haar CV, met daarbij kopieën van het identiteitsbewijs, naar een collega van de administratie sturen. Per ongeluk stuur je dit naar iemand anders buiten de organisatie. Persoonsgegevens zijn nu in ongewenste handen, waardoor er al sprake is van een datalek. Wat doe je vervolgens? Snel een excuus mailtje naar de persoon die deze gegevens per ongeluk heeft ontvangen en daarna dit foutje in de doofpot?

Dat is niet de juiste manier. Binnen 72 uur zal je moeten beoordelen of je dit datalek moet melden bij de Autoriteit Persoonsgegevens. Je schat in of dit datalek een hoog risico mee brengt voor de betrokkene, in dit geval de nieuwe medewerker. Als dit zo is moet je dit datalek melden bij de Autoriteit Persoonsgegevens. Vervolgens beoordeel je ook of het nodig is om het datalek te melden bij de nieuwe medewerker. In dit geval zijn er gegevens van gevoelige aard gelekt en zou er identiteitsfraude kunnen ontstaan, waardoor je dit ook moet melden bij de betrokkene.

Het verschilt per type datalek of je dit moet melden aan de Autoriteit Persoonsgegevens en de betrokkene. Stel voor datalekken daarom een procedure op zodat je niet op het moment dat zich een datalek voordoet moet gaan bedenken wat je als organisatie moet doen. Raadpleeg hiervoor de datalek handleiding van de Autoriteit Persoonsgegevens. Het is een wat lang document, maar door deze globaal door te nemen krijg je al een idee hoe je datalekken correct aanpakt.

Stap 8. Update je privacystatement

We kennen ze allemaal wel, van die ellenlange privacy verklaringen waar naar verwezen wordt wanneer je een product of dienst wilt afnemen. Als het echt van belang is lees je ze, maar veelal scannen we ze vluchtig en gaan we er, indien nodig, al snel mee akkoord. De informatieplicht is in de AVG behoorlijk aangescherpt, waardoor je in de privacy verklaring transparant moet zijn. Het is een hele lijst wat in de privacy verklaring moet komen. We verwijzen je daarom door naar Nederland ICT die dit duidelijk heeft opgesomd.

Heb je al een privacy statement, maar ontbreken er nog enkele onderdelen? Vul deze dan aan. Hanteer je uberhaupt nog geen privacy statement? Dan wordt het hoog tijd en heb je nog tot 25 mei 2018!

Stap 9. Rechten van betrokkenen

In het begin van dit artikel werd het al even aangehaald: als organisatie krijg je meer verplichtingen, en betrokkenen krijgen meer rechten. Een betrokkene is dus een natuurlijk persoon van wie jij persoonsgegevens verwerkt. Iemand kan bij jouw organisatie de volgende verzoeken neerleggen:

  • Inzage: de betrokkene wil inzien welke persoonsgegevens je hebt verzameld;
  • Rectificatie: de betrokkene wil dat je de verzamelde persoonsgegevens aanpast;
  • Verwijdering: de betrokkene wil dat je de verzamelde persoonsgegevens verwijdert;
  • Verwerking beperking: de betrokkene wil dat de verzamelde persoonsgegevens (tijdelijk) ‘bevroren’ worden;
  • Verzet: de betrokkene wil dat zijn persoonsgegevens niet meer worden gebruikt. Dit kan vanwege een specifieke situatie, maar ook vanwege marketingdoeleinden;
  • Dataportabiliteit: de betrokkene wil dat je zijn verzamelde persoonsgegevens overdraagt naar een andere aanbieder.

Dat zijn nogal wat verschillende verzoeken. Moet je aan elk verzoek voldoen en hoe pak je dit als organisatie aan? Ook daar is een stappenplan voor opgesteld.  Weer zo’n stappenplan? Ja, inderdaad. Met de AVG ontkom je er niet aan dat je een (flink) aantal stappen zult moeten ondernemen, of je nou als ZZP-er werkt of bij een multinational. Je zult maatregelen moeten nemen om jouw organisatie te voldoen aan de AVG. Download dus het stappenplan zodat je weet wat je moet doen wanneer een verzoek binnen komt!

Download stappenplan voor verzoeken

Maak ook je webshop AVG-compatible

Met dit 9-stappen bereidt je jouw organisatie voor op de AVG, maar dit geldt nog niet direct voor je webshop. Ja, verwerkersovereenkomsten opstellen met je hosting partij, of de privacy verklaring op je webshop updaten is daar onderdeel van, maar dit is natuurlijk niet alles. Hoe zorg je ervoor dat ook jouw webshop aan de eisen van de AVG voldoet?

We zijn niet voor niets een internet marketing bureau en ontzorgen jou daarin! We maken jouw (WordPress) webshop AVG-compatible en zorgen ervoor dat je de marketing activiteiten kunt blijven uitoefenen zoals je nu doet. Lees welke AVG activiteiten we hiervoor ondernemen.

En wat gaat mij dat dan kosten? Daar zijn we transparant in. Voor het AVG-compatible maken én blijven wordt een jaarlijks bedrag gerekend, afhankelijk van de grootte van je webshop. Dit bedrag wordt jaarlijks vooraf gefactureerd en de minimale duur is 1 jaar. Na dit eerste jaar wordt het automatisch verlengd en kun je maandelijks opzeggen. Prijswijzigingen onder voorbehoud.

Investering AVG-compatible maken webshop of website

webshop grootte Jaarlijkse investering**

 

Tot 500 pagina’s  599,-
500 tot 5.000 pagina’s  749,-
Meer dan 5.000 pagina’s  949,-

 

**=Prijzen afhankelijk van website/webshop platform

 

Je ontvangt een specificatie met wat wij voor je gaan doen.

Wil je jouw webshop of website AVG-compatible maken? Laat dit dan voor 31 maart 2018 weten en je ontvangt €200,- korting gedurende de hele looptijd!

Maak mijn webshop of website AVG-compatible!