Handige tips voor de privacywet vanaf mei 2018
Vanaf 25 mei 2018 geldt de nieuwe Europese privacywet voor iedere organisatie die persoonsgegevens verwerkt: de General Data Protection Regulation (GDPR) of in het Nederlands de Algemene verordening gegevensbescherming (AVG) . De Autoriteit Persoonsgegevens houdt in Nederland toezicht op de naleving van de AVG om persoonsgegevens goed te beschermen.
Wat betekent dat voor jouw weboplossing?
Een privacyverklaring volgens de AVG is noodzakelijk als jouw weboplossing persoonsgegevens verwerkt, denk bijvoorbeeld aan een eenvoudig webformulier waar men contact met jou kan opnemen door persoonlijke gegevens in te sturen. En ook voor het vastleggen van persoonsgegevens voor webhops en e-mail marketing is een privacyverklaring noodzakelijk. Je moet misschien wel een verwerkersovereenkomsten afspreken met partijen die voor jou gegevens verwerken, bijvoorbeeld met Exact, Google Analytics en MailChimp.
Benieuwd wat de AVG inhoudt?
- Bewustwording: zorg dat bijvoorbeeld beleidsmakers in jouw organisatie op de hoogte zijn van de AVG
- Rechten van betrokkenen: zorg dat mensen van wie je persoonsgegevens verwerkt hun privacyrechten kunnen uitoefenen
- Overzicht verwerkingen: documenteer welke persoonsgegevens je verwerkt, met welk doel, waar deze gegevens vandaan komen en met wie je ze deelt
- Data protection impact assessment (DPIA): het kan verplicht zijn de privacyrisico’s van gegevensverwerking in kaart te brengen en maatregelen te treffen die risico’s verkleinen
- Privacy by design & privacy by default: zorg dat je al bij het ontwerpen van producten en diensten persoonsgegevens beschermt. En zorg voor technische en organisatorische maatregelen om alleen persoonsgegevens te verwerken die noodzakelijk zijn
- Functionaris voor de gegevensbescherming (FG): het kan verplicht zijn iemand aan te stellen die toezicht houdt op de toepassing en naleving van de AVG
- Meldplicht datalekken: documenteer datalekken, bij controle moet je kunnen aantonen dat je aan de meldplicht hebt voldaan
- Verwerkersovereenkomsten: zorg voor een overeenkomst met organisaties die persoonsgegevens voor jou verwerken
- Leidende toezichthouder: zorg voor iemand die toezicht houdt op organisaties met grensoverschrijdende gegevensverwerking
- Toestemming: zorg voor toestemming van mensen van wie je persoonsgegevens verwerkt
En nu?
- Voor advies op maat vul je de Regelhulp Algemene verordening gegevensbescherming in
- Gebruik het Dossier AVG op de site van Autoriteit Persoonsgegevens als naslagwerk
- [HANDIG] Stel een basistekst op voor je privacyverklaring met Veilig internetten, die je op jouw website moet publiceren. Deze basistekst is een gezamenlijk initiatief van het ministerie van Economische Zaken en Klimaat, het ministerie van Justitie en Veiligheid / Nationaal Cyber Security Centrum, ECP | Platform voor de InformatieSamenleving en het bedrijfsleven
- [HANDIG] Voldoe aan de regels als je werkt met Google Analytics. Spreek bijvoorbeeld een verwerkersovereenkomst af met Google Analytics en geef je contactgegevens door, ga naar je accountinstellingen en selecteer onderaan de overeenkomsten
[HANDIG] En anonimiseer de bezoekstatistieken van Google Analytics, en andere leveranciers, zodat deze niet zijn te herleiden naar personen. Daar zijn specifieke instellingen voor noodzakelijk of je hebt een cookiewall op de website nodig waar bezoekers eerst mee akkoord moeten gaan. Neem hier contact met ons over op
[HANDIG] En deel niet alle gegevens van je bezoekers met Google, ga naar je accountinstellingen en deselecteer onderaan de overeenkomsten
- [HANDIG] Voldoe aan de regels als je werkt met Mailchimp en andere leveranciers waar jij persoonlijke gegevens bewaard van jouw klanten. Spreek bijvoorbeeld een verwerkersovereenkomst af met Mailchimp, ga naar je accountinstellingen, kies voor Extra > Data Processing Agreement en vul het formulier in
Heb je nog aanvullingen, vragen of opmerkingen over de AVG neem dan contact op.