GDPR / AVG en uw website

5 maart 2018
5 maart 2018 Joep Rongen

Is uw website al AVG proof?

De Algemene Verordening Gegevensbescherming (AVG) of GDPR is een belangrijke nieuwe wetgeving op het gebied van gegevensbescherming. Ontwikkeld door de Europese Unie en in het leven geroepen om de rechten van individuen/personen te versterken met betrekking tot het verzamelen, gebruiken en opslaan van hun persoonlijke gegevens.

De wet is van toepassing op bedrijven of organisaties in de Europese Unie. Degenen buiten de EU die goederen en diensten aanbieden (al dan niet betaald) aan mensen die in de EU wonen, of hun gedrag monitoren, moeten zich hieraan houden.

Dit artikel spitst zich alleen toe op de relevantie van deze wet op websites. Omdat uw organisatie uit meer bestaat dan alleen een website is het verstandig iemand aan te stellen die de alle AVG maatregelen ook intern voor zijn rekening neemt.

Bewustwording

Het belangrijkste is dat bedrijven zich bewust worden van deze nieuwe wet en de zware gevolgen hiervan. De zware gevolgen zijn wel duidelijk als we kijken naar de oplegging van de boetes voor het niet naleven van deze wet.
De hoogte van de boetes zijn: maximaal € 20.000.000,- of 4% van de wereldwijde omzet.
Officieel zit hier nog een categorie scheiding is, maar wat duidelijk mag zijn is dat het om veel geld gaat en dat bewustwording dus een must is.

Middels dit blog willen we een deel van deze bewustwording creëren, maar zoals we al eerder schetsten gaat de AVG verder dan alleen uw website. Het is dus belangrijk iemand aan te stellen die deze wet onderzoekt en uitvoert op bedrijfsniveau. In de wet wordt een dergelijk persoon ook wel een DPO genoemd, een “Data Protection Officer”. Iemand intern of extern die verantwoordelijk is voor alle data bescherming.

Wat zijn persoonsgegevens?

De vraag insinueert al dat we hier over moeten praten, want veel mensen denken wel te weten wat dit zijn, alleen de AVG is hier heel uitgebreid op ingegaan en dat is maar goed ook.

De definitie:
Alle gegevens die kunnen worden gebruikt om een ​​levende persoon direct of indirect te identificeren, worden beschouwd als persoonlijke gegevens.

Voorbeelden van persoonsgegevens:

  • Naam
  • Adres
  • E-mailadres
  • Burgerservicenummer
  • Locatie gegevens
  • IP adres

Persoonsgegevens met de status “gevoelig”:

  • Ras
  • Gezondheidsstatus
  • Seksuele oriëntatie
  • Religieuze overtuigingen
  • Politieke overtuigingen

Dat NAW gegevens vallen onder persoonsgegevens had u waarschijnlijk wel geraden, maar vooral het feit dat een IP adres als persoonsgegevens wordt gezien is iets om heel goed bij stil te staan. Dit IP adres wordt namelijk door heel veel systemen “gewoon” opgeslagen of gebruikt voor het koppelen van data (analytics / beveiliging). Vanaf nu moeten we de gebruiker dus informeren hierover en de gebruiker de mogelijkheid geven dit te bewerken.

Welke rechten hebben personen / bezoekers van uw website?

Onder de wet AVG krijgen bezoekers / personen de volgende rechten:

  • Informatie (er moet gedocumenteerd zijn welke gegevens er worden verwerkt en waarom)
  • Toegang (de gebruiker moet zijn / haar gegevens kunnen inzien)
  • Rectificatie (de gebruiker moet zijn / haar gegevens kunnen bewerken)
  • Verwijdering (de gebruiker moet zijn / haar gegevens kunnen verwijderen)
  • Beperking (de gebruiker moet de mogelijkheid hebben automatische verwerkingen stop te zetten)
  • Dataportabiliteit (zelfde als toegang, maar met het recht om de data over te laten sturen naar een andere partij)
  • Bezwaar (Recht om bezwaar te maken tegen data verwerking)

Meer informatie over deze rechten is te lezen op de site van de Authoriteit persoonsgegvens.

Wat moet er gebeuren?

De websites die nu volledig voldoen aan alle reglementen zijn schaars, dus uw website zal daar waarschijnlijk ook niet onder vallen.
De wet wordt 25 mei van kracht, wat betekent dat het niet voldoen aan deze wetgeving strafbaar is, dus het is belangrijk om voor deze datum te handelen.
Wat er moet gebeuren leggen we hier onder uit in 3 hoofdstukken:
Persoonsgegevens verwerking, Persoonsgegevens bescherming en Informatie voorziening naar bezoekers / personen en hun rechten op hun gegevens.

1. Persoonsgegevens verwerking

Uw website verwerkt hoogst waarschijnlijk persoonsgegevens (lees hierboven welke data als persoonsgegevens worden beschouwd). Goede voorbeelden zijn bijvoorbeeld een contact formulier, een profielen database (webshop / accounts) en koppelingen naar CRM systemen. Denk ook aan het verwerken van analytische data (bv. Google analytics indien niet anoniem).

Analyse:

  • Analyseren van welke persoonsgegevens verwerkt worden.
  • Wordt de data die nu wordt verwerkt, behandeld met het oog op privacy?
  • Over wie zijn er nu gegevens bekend?
  • Behandelen van gegevens door derde partijen, zo ja, welke gegevens en wie zijn dit?

Analyseren van welke persoonsgegevens verwerkt worden.

Er moet inzicht komen in welke persoonlijke data wordt verwerkt. Voorbeelden van verwerking van persoonsgegevens:

  • Formulieren (contact / houd me op de hoogte / aanmeldingen)
  • Analytische data (worden IP adressen verstuurd naar bijvoorbeeld Google Analytics, Hotjar, remarketing tools, marketing intelligence tools?).
  • Worden sessies opgeslagen in de database met ip referentie?
  • Zijn er koppelingen met CRM systemen, of boeking systemen bijvoorbeeld?
  • Wordt er gebruik gemaakt van e-mail marketing software?
  • Share / social tools, die gegevens opslaan?

Wordt de data die nu wordt verwerkt, behandeld met het oog op privacy?

In de AVG wordt er gesproken over 2 maatregelen om verwerking van gegevens te minimaliseren:

Privacy by design
Privacy by design houdt in dat u als organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd.

Een goed voorbeeld hiervan zijn formulieren. Elk veld dat wordt gevraagd aan de gebruiker moet een duidelijke reden hebben waarom gebruikers die gegevens moeten achterlaten.
Ook analytische data valt hier onder: Is het nodig dat bepaalde systemen die worden gebruikt voor het verbeteren van de website of applicatie deze data van de gebruiker verzamelen?

Privacy by default

Privacy by default is een onderdeel van privacy by design. Het houdt in dat de website standaard ingericht moet zijn om de privacy te waarborgen. Vinkjes van nieuwsbrieven mogen niet standaard aan staan, maar hebben een specifieke consent nodig. Ook de algemene voorwaarden en privacy teksten moeten toegankelijk zijn en niet verborgen zijn onder 100 kliks en ‘kleine lettertjes’ bevatten.

Over wie zijn er nu gegevens bekend?

Uiteraard is het belangrijk om alles voor in de toekomst goed geregeld te hebben. De huidige persoonsgegevens en consents moeten in kaart worden gebracht en worden beoordeeld op alle punten die worden beschreven in dit blog.

Deelt u gegevens met derden? Zo ja, welke gegevens en wie zijn dit?

Buiten de gegevens die u als bedrijf verzamelt kan het zijn dat gegevens die personen achterlaten op uw website, bewust dan wel niet onbewust, bij derden terecht komen. Deze derden moeten zich net als u ook aan de AVG houden, maar dat is uiteraard wel uw verantwoordelijkheid.

Het inzichtelijk maken van deze partijen en de data die deze partijen in bezit hebben is de eerste stap. Daarnaast is het belangrijk dit te vermelden aan uw gebruikers.
U moet ook een overeenkomst kunnen tonen aan uw gebruikers tussen uw bedrijf en deze partijen, een zogenaamde verwerkingsovereenkomst.
Veel bedrijven onderschatten deze eis van de AVG, want bij het correct naleven van deze wet, zal het dus ook zo moeten zijn dat er overeenkomsten nodig zijn tussen u en:

  • Google (analytics, mits niet anoniem).
  • Website beheerder (zij hebben namelijk toegang tot uw database, indien er persoonsgegevens in de database staan).
  • Hosting partij (de database staat op hun servers, indien er persoonsgegevens in de database staan).
  • CRM / Marketing Intelligence software partijen.
  • E-mail marketing software partijen.

2. Persoonsgegevens bescherming

Naast het verwerken van persoonsgegevens, zullen de gegevens ook beschermd moeten worden, zodat deze niet makkelijk op straat komen te liggen. Hiervoor is het belangrijk om alle plekken waar deze data wordt opgeslagen te documenteren en te onderzoeken of deze aan genoeg veiligheidseisen voldoen. Enkele voorbeelden voor websites:

  • HTTPS / SSL (Eigenlijk al een hele lange tijd een must, maar dit is natuurlijk een goed voorbeeld van versleuteling van data van de bezoeker naar uw website.
  • Beveiligde opslag. De website moet op een goed ingerichte omgeving staan met de gepaste beveiligingsmaatregelen. Het naleven van de AVG zal niet vereisen dat je nu voor duizenden euro’s aan hosting uitgeeft, maar de beveiliging moet wel in lijn zijn met de gevoeligheid en de hoeveelheid persoonlijke data.
  • Bij gebruik van data opslag intern moet dit ook goed geregeld en gedocumenteerd zijn. Denk aan Filesystemen, Google Drive, Dropbox
  • In het geval van een CMS: Gebruik alleen sterke wachtwoorden met een verversing elke x periode. Zorg dat niet alle accounts zomaar overal toegang tot hebben, als dat niet nodig is en denk bijvoorbeeld ook aan two-factor authentication.
  • Encryptie: Zoveel mogelijk toepassen. Database, backups etc.

Datalek?

Zelfs met alle maatregelen hierboven getroffen kan het altijd zijn dat er een datalek plaats vindt. De WBP (Wet bescherming persoonsgegevens) zegt hierover als aanvulling van de nieuwe maatregelen in de AVG:
Bij een data lek zal zo spoedig mogelijk, uiterlijk binnen 72 uur, de Autoriteit Persoonsgegevens op de hoogte moet worden gesteld van elk datalek dat resulteert in een aanzienlijke kans op, of ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Is het waarschijnlijk dat het datalek ook resulteert in ongunstige gevolgen voor de privacy van de betrokkene dan moet ook deze op de hoogte worden gesteld. De verwerkingsverantwoordelijke moet een overzicht bijhouden van reeds voorgevallen datalekken.

Of de kans nu klein of groot is voor uw organisatie, stel iemand aan die dit waarborgt en documenteert.

3. Informatie voorziening naar bezoekers / personen en hun rechten op hun gegevens.

Een belangrijk onderdeel van de AVG is het transparantie beginsel. De bezoeker van de website moet gemakkelijk en in leesbare / duidelijke taal worden geïnformeerd over de verwerking van zijn / haar persoonsgegevens.

Voor de meeste websites zal een zogenaamde “Privacy Policy” volstaan. Hiervoor is uiteraard wel een vereiste dat er aan “privacy by design” en “privacy by default” wordt voldaan en de gebruiker er vanuit kan gaan dat er geen onnodige uitwisseling is tussen persoonsgegevens.

Privacy Policy

De meeste websites hebben al een standaard privacy policy, maar deze zal vanaf 25 mei niet meer voldoende zijn. De Privacy Policy is verplicht en moet gemakkelijk gevonden kunnen worden en daarnaast in leesbare taal zijn geschreven, zonder onnodige referenties en ‘kleine lettertjes’.

Wat moet er in een Privacy Policy staan?

  • Contactinformatie van u, de verwerker en in het geval van een Data Protection Officer óók zijn / haar contactgegevens.
  • De partijen/ personen die de data verwerken en waarom.
  • Indien de gegevens buiten de EU verwerkt worden een verklaring en reden daarvoor.
  • Hoe lang de gegevens worden bewaard en waarom.
  • Het doel van de gegevens die worden verwerkt / opgeslagen.
  • Uitleg aan de bezoeker welke rechten hij/zij heeft (zie hierboven welke rechten dit allemaal zijn).
  • Als gebruik wordt gemaakt van geautomatiseerde besluitvorming (het automatisch profileren, of automatisch verwerken van gegevens) dient dit vermeld te worden.

Conclusie

In dit blog heb ik geprobeerd de “ernst van de situatie die AVG heet” uit te leggen. Alhoewel deze nieuwe wet en de boetes allemaal erg negatief klinken, zal de wet juist een zeer positief effect hebben op websites en organisaties.

De bedrijven die geen idee hebben waar persoonsgegevens allemaal rond slingeren en wie er inzage in heeft gaan een drukke tijd hebben de komende maanden. Bedrijven die hier al maanden / jaren intensief mee bezig zijn zullen nu enkele puntjes op de i gaan zetten, vooral in de vorm van transparantie naar hun gebruikers en de mogelijkheden geven aan de gebruikers waar ze recht op hebben.

Twize heeft een checklist opgesteld waarvan wij denken dat dat de belangrijkste punten zijn waar websites aan zullen worden getoetst. Het naleven van deze checklist zal geen garantie zijn voor een een 100% AVG compliance, omdat dit veel verder gaat dan alleen uw website en een checklist. Wij adviseren dan ook iemand intern / extern aan te stellen, die voor uw gehele bedrijfsproces de AVG eisen toetst.

De Twize Audit

Twize heeft een checklist opgesteld voor websites om uw als bedrijf te helpen in uw jacht naar AVG compliant te worden. U ontvangt na de audit een lijst met punten waar uw websites op dit moment nog niet voldoet aan de eisen van de AVG binnen onze checklist en komt daarnaast met een offerte voor u om aan al deze punten te kunnen voldoen.

Checklist

Een duidelijk overzicht van de punten waar u nog niet voldoet aan de eisen van de AVG volgens onze checklist en wat er voor nodig is wel te voldoen.

Prijs

De audit kost voor Twize SLA klanten 250,- euro en 500.- euro voor niet SLA klanten.

Op tijd

Wij zullen de zorg dragen dat we voor alle audits de tijd reserveren ook het vervolg op te kunnen oppakken voor 25 mei 2018.

Socialize

Facebook
Twitter
LinkedIn