Wat is de nieuwe AVG?

En wat betekent dit jouw MKB bedrijf?

De General Data Protection Regulation (GDPR) is de nieuwe Europese privacywetgeving die op 25 mei 2018 de Nederlandse AVG (Algemene Verordening Gegevensbescherming) vervangt. Deze wetgeving geldt voor iedereen die persoonsgegevens verzamelt van Europese burgers. Ook de huidige Cookiewet en de Meldplicht datalekken zijn straks onderdeel van de GDPR. 

En voor de duidelijkheid: een persoonsgegeven is elk gegeven dat te herleiden is naar een natuurlijk persoon. Dus heb je een contactformulier op je website, of je registreert bezoekersinformatie met IP adres, dan geldt de AVG voor jou. De AVG heeft invloed op je website, je klantenbestand, de administratie en marketing. Bedrijven die de AVG naast zich neerleggen, lopen het risico op een fikse boete die kan oplopen tot € 20 miljoen of 4 procent van de wereldwijde jaaromzet.

WAT BETEKENT DE AVG VOOR KLEINE BEDRIJVEN/ MKB BEDRIJVEN?

De AVG klinkt vooral als veel werk. Maar het biedt ook kansen. In heel Europa gelden straks dezelfde regels, en dat is handig als jouw website ook op een doelgroep buiten Nederland is gericht. Of als je in de toekomst naar het buitenland wilt uitbreiden.

AVG EISEN EN UITGANGSPUNTEN

De nieuwe wet bestaat uit allerlei nieuwe eisen en uitgangspunten. Dat maakt het invoeren van de AVG vrij lastig – zeker voor kleine bedrijven – want wat er moet gebeuren kan per bedrijf en markt verschillen. De volgende uitgangspunten moet elk bedrijf straks toepassen:

Transparantie

Je moet openheid kunnen geven over hoe jouw bedrijf persoonsgegevens verwerkt. Dat betekent dat je privacyverklaring in een heldere taal geschreven moet zijn. Kort en overzichtelijk. Daarin leg je uit hoe jouw bedrijf omgaat met persoonsgegevens. In elk bedrijf zitten daar wel kleine bijzonderheden in. In onze privacyverklaring hebben we bijvoorbeeld omschreven hoe we omgaan met persoonsgegevens die in de whois van een domeinnaam worden vastgelegd.

Toestemming of ‘rechtsgrond’

De tijd van klakkeloos persoonsgegevens verzamelen en gebruiken is voorbij. Je hebt een rechtsgrond nodig. Heb je een webshop? Dan heb je natuurlijk naam- en adresgegevens nodig om je pakket te versturen. Wil je een geboortedatum zodat je bijvoorbeeld een verjaardagskaartje kan sturen? Dan moet je die reden ook opgeven. Van dit soort velden mag je geen verplicht veld maken. Zodoende blijft de keuze bij jouw klant.

Aansprakelijkheid

Je bent verantwoordelijk voor alle persoonsgegevens binnen jouw bedrijf. Ook als die door externe partijen worden opgeslagen of toegepast. Zoals bijvoorbeeld MailChimp doet: die partij houdt voor jou e-mailgegevens bij en registreert het klikgedrag. Als MKB’er moet jij je dus inlezen hoe die partijen omgaan met de persoonsgegevens van jouw klanten.

Privacy by default

Standaard moet je de privacy van je klanten op de hoogste setting zetten. Dat betekent dat je niet ongevraagd iemands websitebezoek en IP-adres mag registreren. Bij iedere persoonsgegeven moet jij je daarom afvragen: heb ik dat wel echt nodig? Bijkomende voordeel; gegevens die je niet opslaat hoef je ook niet te beveiligen.

Privacy by design

Bedenk je een nieuw product of dienst? Dan moet je direct rekening gaan houden met de privacy. Persoonsgegevens verzamelen bijvoorbeeld via een verplichte registratie, mag alleen als dat nodig is voor het kunnen leveren van je product of dienst.

Datalek

Je moet er alles aan doen om persoonsgegevens veilig te bewaren. Toch een datalek door een verloren USB-stick of laptop? Dan moet je dat binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Dat was al zo onder de wet Datalekken. Die gaat per 25 mei 2018 dus op in de AVG, net als de Cookiewet.

Nu zijn wij geen juristen. Voor een volledig verhaal verwijzen we je graag door naar de officiële wetgeving óf een gespecialiseerd AVG-specialist of jurist. Wij zijn wél bewuste websitebouwers die jou graag deze tien aandachtspunten geven voor je online activiteiten.

AVG Checklist: 10 Online Zaken om Aan te Pakken

Het gaat om vier hoofdvragen die je continu moet stellen: welke persoonsgegevens sla ik op? Hoe gebruik ik die? Waar sla ik die op en wie kan er bij? Heb ik die gegevens nog wel nodig? Met het typische midden- en kleinbedrijf in gedachte, hier de belangrijkste online actiepunten:

1. Formulieren: vraag alleen persoonsgegevens die je nodig hebt

Je mag alleen vragen om informatie die je nodig hebt. Dus een telefoonnummer of e-mailadres om te kunnen reageren, of een adres om een brochure te versturen. Wil je die gegevens ook voor iets anders gebruiken? Dan moet je dat expliciet vragen. Bijvoorbeeld: “Mogen we jouw schoenmaat zodat we jou kunnen informeren over aanbiedingen die jij past?” Verwijder gegevens die je niet gebruikt, zoals reacties op een prijsvraagformulier.

2. Privacyverklaring

Deze mag best kort en bondig en in Jip-en-Janneketaal. Leg uit welke persoonsgegevens je waar verzamelt, waarom, wat ermee gebeurt en hoelang je het bewaard. Bovendien geef je opties om persoonsgegevens op te vragen of te verwijderen. Als je een groot bedrijf hebt dan noem je ook de verantwoordelijke binnen het bedrijf die gaat over privacy. Een handige tool om een eerste basis op te zetten is de Privacyverklaring generator tool van veiliginternetten.nl.

3. Google Analytics

Gebruik je Google Analytics, dan moet je een overeenkomst sluiten met Google. Google is namelijk een dataverwerker die je toestemming geeft om de persoonsgegevens van jouw bedrijf te verwerken. Dat is een simpele handeling gelukkig. Een ander aandachtspunt is het IP-adres, dat is namelijk een persoonsgegeven. Vraag je nieuwe bezoekers niet vooraf om hun akkoord, dan moet je het IP-adres laten anonimiseren.

4. Cookiebeleid

De tekst “Doordat je deze website bezoekt, gaan we ervan uit dat je akkoord gaat met cookies” mag straks niet meer onder de nieuwe AVG. Voor iedere cookie die een bezoeker apart kan identificeren, moet toestemming worden gegeven. Daardoor kun je niet meer ongevraagd mensen over verschillende websites volgen. Dit gebeurt bijvoorbeeld nu nog door partijen zoals DoubleClick en Sanoma. Een cookiewall, waarmee je gebruikers verplicht cookies te accepteren voordat ze de site mogen bekijken, mag je straks niet meer gebruiken.

5. Bezoekers opnemen

Met analytische software zoals Hotjar kun je heel mooi zien wat je bezoekers op je site doen. Hun bezoeksessie neem je hiermee op, inclusief muisbewegingen. Zorg er daarom voor dat je niet het invullen van velden opneemt, en dat alle persoonsgegevens zijn geanonimiseerd.

6. HTTPS

Met een SSL-certificaat beveilig je je website. Er komt dan HTTPS voor je URL, waaraan bezoekers zien dat hun bezoek is beveiligd. Onder de AVG ben je verplicht om te zorgen voor een optimale beveiliging van persoonsgegevens. Sla je formulieren of nieuwsbriefaanmeldingen op via je site? Dan is HTTPS verplicht.

7. Gebruikers aanmaken

Formulieren en nieuwsbrief-plugins op je website bevatten persoonsgegevens. Geef je iemand toegang tot het CMS van je site, dan moet die persoon daar ook een geldige reden voor hebben. Die reden moet je apart gaan vastleggen, zodat helder is wie waarom toegang heeft tot persoonsgegevens. Onnodige accounts moet je verwijderen.

8. Hosting

Maakt jouw hostingpartij een back-up van je website? En kan hij direct in de gegevens kijken van jouw website? Onder de AVG is je hoster een dataverwerker en heb je een verwerkersovereenkomst nodig. Wij hebben een modelovereenkomt voor je klaarliggen.

9. Up to date

Na oplevering van je website ben je verantwoordelijkheid voor de veiligheid ervan. Ben je hier niet goed in thuis? Deze taken kun je met een onderhoudscontract overdragen aan je websitebouwer of hoster. Anders moet jij zorg dragen voor het tijdig updaten van je CMS (zoals WordPress) en eventuele plugins.

10. Nieuwsbrief versturen? Of CRM?

Elke externe partij waarmee je je nieuwsbrief verstuurt, is een dataverwerker waarmee je straks een overeenkomst nodig hebt. Een e-mailadres en klikgedrag zijn persoonsgegevens.

GOED NIEUWS: JE BENT NU AL BEGONNEN MET HET VOLDOEN AAN DE GDPR

Bewustwording is een belangrijke stap in het toepassen van de nieuwe AVG. Deze 10 actiepunten zijn een heel goed begin, maar er is meer. Je moet bijvoorbeeld ook een beleid vaststellen, waarin je vastlegt wat je doet bij een datalek. Alles bij elkaar kan het nogal veel lijken. Maar schuif het daarom niet onder in je prioriteitenlijst. De Autoriteit Persoonsgegevens dat straks de AVG handhaaft, kijkt achteraf naar je inspanningen. Heb jij al enige goede stappen ondernomen? Dan zul je bij een datalek of controle niet zo snel die monsterboete van € 20 miljoen krijgen, eerder een waarschuwing. Begin daarom gewoon. Dit blog uitlezen was je eerste stap.

Je website laten voldoen aan de AVG? We helpen je hier graag mee.

Deel dit artikel