Wat je moet weten over AVG
Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Je hebt waarschijnlijk al het één en ander gelezen over deze nieuwe wet- en regelgeving, maar weet je ook hoe je concreet aan de slag kan met de AVG en welke gevolgen deze verordening heeft op je website, intranet of klantportaal?
De General Data Protection Regulation (GDPR) is een verordening opgelegd vanuit de Europese Unie en in Nederland vertaald naar de AVG. De verordening geeft Europese burgers meer zeggenschap over hun data. Het goede nieuws is dat veel van de eisen die gesteld worden in de verordening in Nederland al vastgelegd waren in de Wet bescherming persoonsgegevens (Wbp). Maar je moet zeker aan de slag, wil je een boete, oplopend tot twintig miljoen euro of vier procent van de wereldwijde omzet, voorkomen.
Wat is er veranderd?
De AVG vraagt in vergelijking met de Wbp in grotere mate om transparantie en laagdrempelige toestemming. Zo moet je veel duidelijker en in makkelijkere taal vertellen wat je met welke data doet. Ook moet een bezoeker, medewerker of klant expliciet toestemming geven. Dat betekent dat je vinkjes niet alvast mag aanzetten voor klanten. Gebruikers moeten die toestemming trouwens weer eenvoudig kunnen intrekken. Ze mogen in veel gevallen zelfs eisen dat hun data wordt verwijderd!
Een andere belangrijke verandering in de AVG is de definitie van persoonlijke data. Eerder vielen alleen namen, foto’s, e-mailadressen, bankdetails en medische informatie onder de definitie. Nu zijn daar berichten op sociale media en IP-adressen aan toegevoegd. Daarmee heeft de nieuwe AVG niet alleen veel impact op je klantportaal of intranet, maar ook je website. De AVG vraagt daarom dat je jouw processen en dataopslag kritisch bekijkt, documenteert en aanscherpt. Maar waar kun je beginnen?
Stap 1: inventariseren
Ongeacht of je de implicaties voor jouw website intranet of klantportaal bekijkt, breng als eerst in kaart welke data je opslaat, waar je deze data voor gebruikt en of klanten daar expliciet toestemming voor hebben gegeven. Documenteer het ook en beschrijf de processen die horen bij deze dataverzameling. Concreet voor websites, intranetten of klantportalen moet je denken aan:
- Websites: de centrale vraagt blijft: welke persoonlijke data slaan we op? Maar ook: waar slaan we dat op? Denk bijvoorbeeld aan het CMS, maar ook data die bijvoorbeeld wordt doorgestuurd naar een CRM- of ERP-systeem. Bekijk welke trackingsoftware je gebruikt van derde partijen, zoals Google Analytics. Bekijk vervolgens of klanten en bezoekers expliciet toestemming hebben gegeven voor het opslaan van die gegevens.
- Intranetten: ook je werknemers zijn inwoners van de Europese Unie, dus als je persoonlijke gegevens, zoals foto’s en namen, deelt op een intranet, dan moeten zij ook toestemming daarvoor geven. Ga dus goed na welke persoonlijke data je allemaal op intranet opslaat en deelt.
- Klantportaal: waarschijnlijk staan hier nog de meeste persoonlijke gegevens. Ga na welke deze zijn en of de klant toestemming heeft gegeven voor het opslaan van de gegevens. Documenteer ook processen waarbij het klantportaal bij betrokken is.
Stap 2: verbeter de communicatie naar je klant toe
Transparantie staat in de AVG dus centraal. Voordat klanten, bezoekers of medewerkers toestemming geven, moeten ze namelijk wel weten waarvoor ze toestemming geven. En die informatie moet dus helder omschreven zijn. Je mag geen kleine lettertjes meer toevoegen. De gebruiker moet gewoon begrijpen waar hij of zij toestemming voor geeft! In de communicatie moet je ten minste het volgende opnemen:
- Wie verzamelt gegevens? Als data verwerkt wordt door meerdere bedrijven, dan moet dat expliciet vermeld worden.
- Welke gegevens verzamel je?
- Voor welke doeleinden verzamel je deze gegevens?
- Welke bewaartermijn handhaaf je?
- Welke rechten hebben de personen, zoals het recht om vergeten te worden, data te verplaatsen en data te wijzigen?
Zet deze informatie trouwens ook in je algemene voorwaarden of privacystatement op je website, intranet of klantportaal en maak deze informatie makkelijk toegankelijk!
Stap 3: vraag om toestemming
Het vragen van toestemming is ook gebonden aan een aantal regels, namelijk:
- Actieve opt-in: je mag niet meer alvast het vinkje ‘ik ontvang graag de nieuwsbrief’ of ‘mijn foto mag in het smoelenboek op intranet’ aanzetten. Burgers moeten actief toestemming verlenen;
- Enkele opt-in: je mag per pagina of scherm toestemming vragen voor één soort gebruik van data. Dus toestemming vragen voor het gebruik van cookies op de website, moet in een ander scherm dan de toestemming voor het ontvangen van de nieuwsbrief;
- Afzonderlijke opt-in: gebruikers moeten in staat zijn om gedeeltelijk toestemming te geven. Bijvoorbeeld voor verschillend soort gebruik van dezelfde data;
- Toestemming via derde partijen: gebruik je trackingsoftware van derde partijen? Dan moeten ook zij toestemming hebben gekregen voor het verwerken van de data. Ga dat na! Ook al ligt de verantwoordelijkheid niet bij jou, je bent uiteindelijk wel medeaansprakelijk.
Google Analytics: toestemming nodig?
Voor Google Analytics geldt dat je deze analyticstool zonder toestemming mag gebruiken, maar wel onder een aantal voorwaarden:
- Je moet een verwerkersovereenkomst met Google ondertekenen;
- Je mag IP-adressen alleen anoniem verwerken
- Gegevens van je website mag je niet delen met Google
- En! Je moet bezoekers van je website op de hoogte moet stellen van het gebruik van Google Analytics.
Stap 4: geef gebruikers de kans om dataopslag te weigeren of te laten verwijderen
Net zoals het verlenen van toestemming makkelijk en transparant moet zijn, moet het intrekken van die toestemming net zo eenvoudig zijn. Denk bijvoorbeeld aan de ‘uitschrijven’-knop in e-mailmarketing, maar dan op je website of intranet. Ook moeten ze eenvoudig aan kunnen geven als ze data willen veranderen of zelfs willen laten verwijderen. Overigens kan niet alle data zomaar verwijderd worden, je bent wellicht gebonden aan bewaarplicht voor de belastingdienst. Dat is het uitzoeken waard!
Stap 5: verhoog beveiliging
Als je in de eerste stap alle processen in kaart hebt gebracht, dan zal je zien welke systemen en welke partijen data verwerken. Je zult dan ook direct in kaart kunnen brengen hoe een systeem beveiligd is. Als het bijvoorbeeld gaat om:
- Een website, heb je de juiste beveiligingscertificaten, zodat de bezoeker een beveiligde verbinding heeft met je website?
- Een intranet, heb je de juiste beveiliging van het systeem, zodat het niet zomaar gehackt kan worden?
- Een klantportaal, hoe sterk beveiligd is de inlog voor klanten? Zijn klantgegevens niet zomaar inzichtelijk voor andere klanten?
Uiteraard is het verstandig om de beveiliging aan te scherpen, waar dat nodig is. Als het gaat om derde partijen, zoals een hostingprovider of intranetleverancier, vraag dan hoe deze partij voldoet aan de AVG. Voldoet die partij niet? Misschien tijd om voor een partij te kiezen die dat wel doet!
Je bent dus niet afhankelijk van anderen om te voldoen aan de AVG, maar je moet wel zelf aan de slag. Het begint met een kritische blik en tijd om alle processen eens grondig door te lopen. Dan weet je precies waar je wat moet doen, kan je er een tijdspad aan hangen en ben je, als het goed is, voor 25 mei 2018 klaar. Maar uiteindelijk draagt de AVG ook bij aan de gebruiksvriendelijkheid van je website, intranet of klantportaal en daar zullen je bezoekers, medewerkers en klanten alleen maar blij mee zijn!