Klaar voor de AVG?
Misschien heb je er al over gehoord. Per 25 mei 2018 gaat de nieuwe AVG (Algemene Verordening Gegevensbescherming) in. Dat heeft behoorlijk veel impact op de manier hoe er met privacy gevoelige data mag worden omgegaan. Ook voor veel websites die gegevens verzamelen heeft de wet gevolgen. Lees hieronder meer over de AVG en wat de consequenties voor jou zouden kunnen zijn.
Door: Niek Boonman
De AVG (Algemene Verordening Gegevensbescherming) gaat per 25 mei 2018 in en geeft personen meer rechten over hun privacy, terwijl organisaties aan meer plichten moeten voldoen om deze te waarborgen. De AVG is de Nederlandse invulling van de nieuwe General Data Protection Regulation (GDPR) die voor alle Europese lidstaten gaat gelden en vervangt de Nederlandse Wet bescherming persoonsgegevens (Wbp).
Over alle persoonsgegevens die verwerkt worden, van de eigen personeels- en klantadministratie, tot bezoekers van een website en ontvangers van marketinguitingen, moet – meer dan nu – verantwoording afgelegd worden over de rechtmatigheid van het gebruik. Gegevens mogen niet zomaar verzameld worden. Je moet een doel hebben om die te verzamelen en bovendien mag je alleen de strikt noodzakelijke gegevens uitvragen. Je hebt tevens een wettelijke grondslag nodig om die gegevens te verwerken – bijvoorbeeld omdat dit noodzakelijk is voor een overeenkomst of vanwege een wettelijke verplichting, of doordat je toestemming van de persoon zelf hebt. Daarnaast dient privacy van de persoon het uitgangspunt en de beveiliging optimaal te zijn.
De AVG wetgeving is dus van toepassing op je hele organisatie, maar als online software leverancier willen wij in dit artikel vooral de gevolgen voor websites en online platformen kort introduceren. De Autoriteit Persoonsgegevens heeft een dossier over de nieuwe AVG, met uitgebreidere informatie hierover, en ‘de AVG-regelhulp’ ontwikkeld om een eerste indruk te krijgen hoe jouw organisatie ervoor staat. Wil je verder advies over het invoeren van de AVG in jouw gehele organisatie? Neem hier dan een gespecialiseerde partij voor in de hand.
De AVG vraagt om een goede voorbereiding. Om te beginnen moet je weten welke gegevens van personen verwerkt worden. Onder het verwerken worden alle handelingen verstaan die je op gegevens kunt loslaten, zoals opslaan, wijzigen en verwijderen, maar ook bijvoorbeeld inzien en verspreiden. Je moet dus goed helder krijgen hoe er op je site om wordt gesprongen met persoonsgegevens:
Deze aspecten van de gegevensverwerking moeten gedocumenteerd worden, zodat je je kunt verantwoorden naar bezoekers en de autoriteiten. Het documenteren van datalekken is onder de nieuwe AVG wetgeving nu ook verplicht en moeten bij de autoriteiten gemeld worden als het lek ernstige gevolgen heeft. In sommige gevallen kan het nodig zijn om een risicoanalyse uit te voeren of iemand aan te stellen met expertise op het gebied van privacy en beveiliging.
Welke maatregelen moeten dan bij een website zoal genomen worden i.v.m de AVG wetgeving? Daarbij moet je bijvoorbeeld denken aan:
In de AVG wetgeving wordt onderscheid gemaakt tussen een verantwoordelijke voor de verwerking van persoonsgegevens en verwerkers die in opdracht van deze werken. De verwerkingsverantwoordelijke stelt vast welke gegevens voor welk doel worden gebruikt. Als online software leverancier werken wij in opdracht van onze klanten en zijn daarmee een verwerker. Voor jouw online activiteiten zul je daarom verantwoording af moeten leggen en met verwerkers zul je verwerkersovereenkomsten moeten afsluiten om deze verantwoording compleet te krijgen. Wij kunnen je hiervoor bijvoorbeeld voorzien van informatie welke veiligheidsmaatregelen zijn genomen of aanpassingen aan jouw site doorvoeren als de wetgeving hier om vraagt. Neem daarvoor gerust contact met ons op.
Heb je vragen over de AVG? Wij kunnen je bijvoorbeeld voorzien van informatie of aanpassingen doorvoeren aan jouw website als de wetgeving hier om vraagt. Neem daarvoor gerust contact met ons op!
