AVG wet 2018

De AVG wet 2018: Sinds 25 mei 2018 moet uw website voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Deze nieuwe AVG wet 2018 zorgt voor meer privacy rechten voor consumenten en strenger toezicht op het verwerken van persoonsgegevens. Bedrijven hebben hierdoor meer verantwoordelijkheden en kunnen boetes krijgen wanneer ze zich niet aan de wetgeving houden. Zorg er dus voor dat uw website en/of webshop voldoet voor de AVG wet van 2018!

Privacy by design

Het is belangrijk dat de privacy van uw website bezoekers al een rol speelt bij het ontwikkelen van (nieuwe) producten en/of diensten. Verwerk alleen gegevens die strikt noodzakelijk zijn voor het doel van je bedrijf. Door gegevens aan een doel te koppelen kun je altijd verantwoorden waarom je die gegevens hebt verzameld. Zorg er daarnaast voor dat u de gegevens goed beschermd; gebruik bijvoorbeeld voor verschillende opslaglocaties voor de gegevens van één persoon. Gebruik dan ook geen verouderde techniek en zorg voor een SSL certificaat (voorkomt ook een Google Chrome https waarschuwing!).

Wanneer u een intern privacy beleid heeft en let op interne naleving draagt dit ook bij aan de ‘verantwoordingsplicht’. Informeer de bezoekers en klanten van uw bedrijf ook duidelijk en begrijpelijk. Het moet duidelijk zijn dát ze zich voor iets aanmelden en voor wat dan precies. Wanneer ze zich bijvoorbeeld voor een nieuwsbrief kunnen aanmelden, zet er dan bij hoe vaak u deze verstuurd.

Privacyverklaring

Bij elk punt waar persoonsgegevens worden verzameld op een website of webshop moet een link staan naar de privacyverklaring. In de privacyverklaring moet volgens de AVG wet 2018 de volgende punten zijn beschreven in duidelijke en eenvoudige taal:

  • Bedrijfsgegevens
  • Doeleinden (reden van de verwerking van de persoonsgegevens)
  • Persoonsgegevens ; welke persoonsgegevens worden er verwerkt?
  • Recht van toestemming ; vermeld dat de toestemming ook weer ingetrokken mag worden
  • Recht op inzage, aanpassing en verwijdering
  • Hoe lang persoonsgegevens worden bewaard
  • Beveiligingsmaatregelen
  • Cookies

Documentatie

Verwerkersovereenkomst

Als er samen wordt gewerkt met andere partijen om persoonsgegevens te verwerken, moet er een ‘verwerkersovereenkomst’ afgesloten worden. Hiermee wordt uitgesloten dat de andere partij de persoonsgegevens voor eigen doelen verwerkt. Hierin wordt bijvoorbeeld vastgelegd wat de aard en het doel is van de gegevensverwerking.

Verwerkingsregister

Wanneer een organisatie meer dan 250 medewerkers heeft, is het verplicht om een verwerkingsregister bij te houden. Daarnaast is het verplicht wanneer u persoonsgegevens verwerkt die risicovol zijn, met een niet-incidentele aard of die vallen onder bijzondere persoonsgegevens. Hierin stelt een organisatie bijvoorbeeld de doelen van persoonsgegevens vast, wanneer de gegevens worden verwijderd en er wordt een beschrijving van persoonsgegevens gegeven.

Datalekken

Documenteer datalekken in een overzicht binnen het bedrijf. Meld daarnaast het datalek bij het College Bescherming Persoonsgegevens (CBP) wanneer de inbreuk leidt tot een aanzienlijke kans dat er ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens optreden. Bijvoorbeeld bij identiteitsfraude. Daarnaast moet het datalek gemeld worden bij betrokkenen, wanneer dit nadelige gevolgen kan hebben voor de persoonlijke levenssfeer.

E-mail campagnes

Heeft u een nieuwsbrief? Zorg er dan voor dat u kunt aantonen hoe u de e-mailadressen heeft verkregen en waarvoor deze personen precies toestemming hebben gegeven. U moet bijvoorbeeld kunnen aantonen dat u de e-mailadressen niet heeft verkregen omdat klanten deze hebben ingevuld bij een bestelling (tenzij ze een apart vinkje hebben aangekruist dat ze een nieuwsbrief willen hebben natuurlijk). Check ook of u nog een ‘noreply@’ e-mailadres gebruikt, want dit mag niet meer.