AVG/GDPR De Privacyverklaring

Heb jij al een adequate Privacyverklaring samengesteld?

 

Er is een nieuwe Europese Privacywet die per 25 mei 2018 van kracht wordt;  De Algemene Verordening Gegevensbescherming (AVG) – dwingt bedrijven en organisaties hun systemen weer eens tegen het licht te houden en mogelijk te updaten.
Het resultaat van die her-ijking, of voor sommigen wordt verwoord in de de Privacyverklaring.

Pas op! De AVG geldt óók voor jou(w) (bedrijf).

De AVG, of in het Engels afkorting GDPR, dat staat voor General Data Protection Regulation. Deze nieuwe Europese Privacyverordening geldt voor elke organisatie die op één of andere manier met persoonsgegevens te maken krijgt. De reikwijdte van de nieuwe wet is dus generaal.  Alleen gegevens die je in je afzonderlijke privételefoon zou opslaan, zouden hier buiten kunnen vallen.
De AVG geldt dus voor multinationals, maar evengoed voor ZZP’ers, de voetbalvereniging, en Stichting Ouderenzorg.

Wat zijn persoonsgegevens?

iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (…). Als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.”

Het begrip persoonsgegeven moet dus ruim worden opgevat. Ook gegevens die iemand indirect identificeren vallen eronder, indien deze gegevens door combinatie met andere gegevens toch met een bepaalde persoon in verband kunnen worden gebracht. Zo werd eerder bijvoorbeeld geoordeeld dat telefoonnummers, postcodes met huisnummers en kentekens van auto’s als persoonsgegevens kunnen worden aangemerkt.

Strengere eisen aan de privacyverklaring

Het is belangrijk dat de betrokkene (de persoon op wie de persoonsgegevens betrekking hebben) weet wat er met zijn/haar gegevens gebeuren. Daarnaast moet de persoon over zijn/haar rechten geïnformeerd worden, zoals het recht te klagen bij de toezichthouder (de Autoriteit Persoonsgegevens) en het recht op inzage. In feite betekent dit dat iedere organisatie zijn privacyverklaring zal moeten herzien, of er nu in ieder geval één moet opnemen.

Op welke wijze informeren

Strikt juridisch wordt er geen privacyverklaring geëist, maar staat er dat de informatie schriftelijk of met ‘andere middelen’. Onder andere middelen kan je dus elektronische middelen verstaan. Een privacyverklaring is dus een praktische tool om aan de eisen van de wet tegemoet te komen. Als je die op je website publiceert, is een link naar die privacyverklaring op iedere pagina en bericht aan te bevelen.
Pas op: In vergelijking met elektronische documenten als Algemene voorwaarden op een website, weten we, dat hier pas sprake is van geldigheid, indien je ook achteraf kan aantonen dat de gebruiker van de inhoud van de documenten gebruik heeft genomen. Het is dus aan te bevelen de verwijzing naar de privacyverklaring ook in de cookie verklaring op te nemen.

Welke eisen worden er gesteld aan die privacyverklaring?

 

.Kort en helder Informeren

Er moeten ‘passende maatregelen’ getroffen worden om een betrokkene voldoende te informeren. Dit moet je in een ‘beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal’ doen. Beknopt wordt nogal lastig met de hoeveelheid informatie die je moet geven. Zie daarvoor de lijstjes later in dit artikel.

.In duidelijke en eenvoudige taal

De informatie moet dus in duidelijke en eenvoudige taal aangeboden worden. Je moet dus met je taalgebruik rekening houden met je doelgroep. Verzamel je vooral gegevens van Nederlanders, dan moet de privacyverklaring ook in het Nederlands opgesteld worden. Verzamel je veel gegevens van kinderen, dan moet het zo zijn opgeschreven dat ook zij begrijpen wat je bedoelt. In de meeste gevallen zal het een goed uitgangspunt zijn om een privacyverklaring in het Nederlands op basisschool Nederlands, op te laten stellen.
Ga je het zelf schrijven of laat je het doen? Het is altijd een aanbeveling je teksten door een jurist te laten toetsen.

Lijstje: Dit moet in de Privacyverklaring staan

De AVG of GDPR schrijft duidelijk voor waarover geïnformeerd moet worden, dus wat je in een privacyverklaring op moet nemen. Dat zijn een paar algemene zaken die in elke privacyverklaring opgenomen moeten worden, maar andere informatie hoef je alleen in specifieke gevallen te vermelden. Ik heb het hieronder voor je opgesomd en in delen opgesplitst.

Algemene informatie
  1. Identiteit, zoals de bedrijfsnaam en KVK nummer
  2. Rechtsgronden voor de verwerking. Er zijn 6 rechtsgronden, waar van de belangrijkste toestemming, uitvoering van een overeenkomst, een wettelijke verplichting en het gerechtvaardigd belang zijn.
  3. Doel voor de verwerking. Ofwel: wat ga je met de gegevens doen en waarvoor ga je ze gebruiken. Alle doelen moeten omschreven worden.
  4. De gevolgen van het niet verstrekken van persoonsgegevens (door de betrokkene) moet gemeld worden, wanneer er sprake is van een wettelijke of contractuele verplichting of een noodzakelijke voorwaarde waar de persoonsgegevens voor verwerkt moeten worden.
  5. Duur van de opslag. De persoonsgegevens mogen niet langer bewaard worden dan nodig. ‘Oneindig’ kan daarom niet. Leg uit hoe lang gegevens bewaard worden of welke criteria de termijn bepalen. Bijvoorbeeld: “Uw naam en e-mailadres slaan wij op zolang u op onze nieuwsbrief bent ingeschreven.”
  6. Recht op inzage, rectificatie of wissing van de persoonsgegevens. Vermeld zowel dat de betrokkene dit recht heeft als hoe ze het in kunnen roepen, bijvoorbeeld door naar een speciaal e-mailadres te mailen.
  7. Klachtrecht. De betrokkene moet geïnformeerd worden dat en hoe er een klacht ingediend kan worden bij de Toezichthouder
Alleen soms
  1. Contactgegevens van de Functionaris Gegevensbescherming (als die er is)
  2. Gerechtvaardigd belang als grondslag gebruikt? Dan moet uitgelegd worden welk belang dat precies is. Dit kan soms ook een marketingbelang zijn.
  3. Categorieën van ontvangers van de persoonsgegevens. Worden de gegevens doorgespeeld naar andere partijen, bijvoorbeeld omdat dit nodig is om de overeenkomst uit te voeren, dan moet vermeld worden naar welk soort partijen de gegevens worden doorgegeven.
  4. Doorgifte aan een derde land moet vermeld worden. Wanneer de persoonsgegevens bijvoorbeeld bij een bedrijf worden ondergebracht met servers buiten Nederland en vooral buiten de EU, moet dat vermeld worden. Als gegevens met toestemming zijn verkregen, moet vermeld worden dat de toestemming ingetrokken mag worden. Vermeld ook hoe dat kan, bijvoorbeeld door te mailen naar een specifiek e-mailadres.

 

Op tijd informeren

Formeel moet je de informatie verstrekken (een link naar de privacyverklaring toesturen), op het moment dat je de gegevens van de betrokkene ontvangt. Echt tegelijkertijd kan natuurlijk niet en achteraf mag alleen in sommige gevallen. Bij voorkeur dat je dus de informatie vooraf verstrekt.
Zorg in ieder geval voor een verwijzing naar de privacyverklaring bij de webformulieren. Krijg je nu de gegevens zonder dat je vooraf kunt informeren, bijvoorbeeld omdat iemand een e-mail stuurt of omdat een potentiële klant belt en die gegevens in je CRM systeem worden opgenomen, moet je ze ook informeren over de gegevensverwerking, bijvoorbeeld door in een mail die je stuurt met een hyperlink te verwijzen naar de privacyverklaring.
De intentie van de wetgeving is, om degene die persoonsgevens  af geeft, vooraf in de gelegenheid te stellen, hier mee akkoord te gaan.

Vergelijk dit principe met de Algemene Voorwaarden op je website. Indien je niet kan aantonen, dat je voor dat je zaken met iemand doet, hem of haar in de gelegenheid hebt gesteld kennis te nemen van de inhoud, dan kan je niet op diezelfde inhoud beroepen.

 

Wat betekent dit voor je website?

De Algemene Verordening Gegevensbescherming heeft betrekking op de gegevensverwerking binnen je gehele bedrijf. Lees hier meer over op de website van Autoriteit Persoonsgegevens.
In onderstaande alinea’s beperken we ons tot wat je op je websites moet doen.

1. Privacyverklaring

Zet een voor iedereen leesbare en goed te vinden privacyverklaring op je website. Een link in je footer bijvoorbeeld is een prima oplossing. Zorg er dan wel voor dat je voorafgaand aan het (laten) opstellen van je privacyverklaring inzichtelijk hebt welke gegevens via de website worden opgeslagen en / of verwerkt. Dit kun je zelf doen,  of je kan het aan ons uitbesteden.
Let op: Een privacyverklaring door ons opgesteld is geen juridisch document. Een scan van hetgeen wordt opgesteld door een jurist, is te allen tijde een aanbeveling.

2. Google Analytics of andere statistiekenverzamelaar

Gebruik je Google Analytics, dan ben je verplicht om een verwerkingsovereenkomst te sluiten met Google. Google is namelijk een dataverwerker die je toestemming geeft om de persoonsgegevens van jouw bedrijf te verwerken. Alleen vanwege het feit dat je dus Google Analytics gebruikt, ben je gehouden een cookie melding te plaatsen.
Dat is gelukkig een eenvoudige handeling. Als je bent ingelogd via Google Analytics ga je naar instellingen (tandwiel) > Accountinstellingen > Aanpassing van de gegevensverwerking (laatste optie). Een ander aandachtspunt is het IP-adres, omdat dit een persoonsgegeven is. Vraag je je bezoekers niet vooraf om hun akkoord, dan moet je het IP-adres laten anonimiseren. Dit laatste kunnen wij voor je uitvoeren door het script aan te passen.
Maar wil je wél je IP nummers anonimiseren. Bedenk dat je dan geen gebruik meer van maken van bijvoorbeeld de registratie van demografische eigenschappen van je bezoekers.
Gebruik je een andere statistiekenteller, zoals bijvoorbeeld Statcounter, dan zijn hier vergelijkbare maatregelen te treffen.

3. SSL Certificaat

Onder de AVG / GDPR ben je verplicht om te zorgen voor een optimale beveiliging en versleuteling van persoonsgegevens. Sla je formulieren of (nieuwsbrief-) aanmeldingen op via je site? Dan is een SSL certificaat (HTTPS) verplicht. Uiteraard geldt dit ook voor alle webshops. Heb je nog geen SSL, klik hier en maak dit vandaag dan nog in orde!

4. Contactformulieren

Vraag via de contactformulieren op je website alleen om de informatie die je écht nodig hebt en die betrekking heeft op de specifieke offerte- / contactaanvraag. Vraag je om (bijvoorbeeld) een geboortedatum, dan moet je expliciet vermelden waarvoor je dit nodig hebt.
Plaats daarnaast een selectievakje, die niet standaard is aangevinkt, waarin je toestemming vraagt voor het verwerken (en eventueel opslaan) van de ingevulde gegevens.

5. Gebruikers binnen je CMS

Als je iemand toegang geeft tot het CMS (Content Management Systeem) van je site, dan moet die persoon daar een geldige reden voor hebben. Dit moet je specifiek gaan vastleggen, zodat duidelijk is wie waarom toegang heeft tot persoonsgegevens. Onnodige accounts moet je verwijderen. Immers, hoe meer accounts, des te groter het veiligheidsrisico.

6. Geregeld beheer en beveiliging

Je bent zelf verantwoordelijkheid voor de veiligheid van je website. Heb je deze verantwoordelijkheid verlegd, omdat je  bij ons een SLA onderhoudsabonnement hebt afgesloten, dan kan je daar naar verwijzen. Conform de Algemene Voorwaarden van ATsites Webdesign ben je verplicht onderhoud te laten uitvoeren, of anders een verklaring te ondertekenen dat je dit zelf op een adequate wijze denkt te kunnen doen. Host je elders? Zorg dat je adequate maatregelen neemt, en
Vragen? Neem contact op! We zullen natuurlijk zorgvuldig met je gegevens omgaan en ze niet aan derden verstrekken.

Sancties

De intenties van de AVG zijn duidelijk. Serieus werk maken van het toezicht dat bedrijven zorg hebben voor de bescherming van hun data. Actueel is de aankondiging van de toezichthouder dat saunabedrijven, die om een onrechtmatige wijze het gebruik van camera’s binnen hun bedrijf toepassen, boetes zullen ontvangen, zonder waarschuwing vooraf.

Er zijn boetes mogelijk van max. € 20.000.000,- of max. 4% van de jaaromzet, als je niet aan deze informatieverplichting voldoet. Het is daarom niet (meer) alleen in het belang van de betrokkene, maar ook in het belang van je eigen organisatie, dat de privacyverklaring up-to-date is en op het juiste moment wordt verstrekt. Zorg er in ieder geval op hoofdlijnen voor dat je niet in de risicozone komt.

Actie!

Het AVG-ready maken van je website, valt niet onder mogelijke bestaande onderhoudsprogramma’s. Heb je hulp nodig bij de aanpassingen van je website?

WAT BETEKENT DIT VOOR JOUW BEDRIJF?

Onze focus ligt primair bij de gevolgen die de nieuwe wetgeving heeft voor je website.
Als jij klantdata deelt met Google via je website, of data deelt met Mailchimp voor je nieuwsbrief, dan moet je met deze partijen zogenaamde verwerkingsovereenkomsten aangaan.

Maar als je klantdata deelt met je boekhouder en/of een partij waar jij een dienst afneemt voor online boekhouden, dan moet je eveneens met deze partijen relevante overeenkomsten aangaan.

Om een compleet beeld te krijgen, of jouw onderneming AVG Proof is, doe je er verstandig aan onderstaande gratis scan te doen.

Disclaimer

Informatie door ons verzameld aangaande de AVG is met zorgvuldigheid samengesteld. Echter wij zijn een internetbedrijf, geen advocatenkantoor. U kun zich dan ook niet beroepen op de juridische relevantie voor uw onderneming. In het geval van twijfel raden we u aan een jurist te raadplegen.

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten