GDPR: Wat moet je allemaal weten & doen voor 25 mei
WAT IS DE GDPR?
General Data Protection Regulation, ofwel Algemene Verordening Gegevensbescherming (AVG) in het Nederlands is de hot topic van het moment. Niet voor niks ook, want deze nieuwe wet geldt voor iedereen in de EU vanaf 25 mei 2018. Maar wat maakt deze wet zo belangrijk? Nou, iedereen heeft er namelijk mee te maken. Of je nou een simpele website hebt of een tandartsenpraktijk: iedereen verzamelt data en is hierdoor een data verwerker. Ook voor jou als individu zullen er dingen veranderen. We leggen je graag uit wat er allemaal gaat veranderen, waar je op moet letten en hoe je je website kunt voorbereiden op de nieuwe wetgeving.
VERSCHIL AVG MET DE WBP
De AVG is eigenlijk een vervagende wet voor de Wet bescherming persoonsgegevens (Wbp). Dus veel dingen gelden nog, maar de wet wordt uitgebreid en geldt nu voor de gehele EU. Zo zullen individuen meer rechten hebben wat betreft hun data. Zo heb je als individu het recht om jouw data op te vragen en in te zien, te laten wijzigen, te vernietigen, over te dragen en kun je ook je consent altijd weer terug te trekken. Voor een website betekent dit dat bezoekers de kans moeten krijgen om ten eerste consent te geven om bijvoorbeeld cookies te verzamelen en dit ook weer terug kunnen trekken. En dit geldt uiteraard ook voor contact formulieren of nieuwsbrief aanmeldingen.
Tevens is iedereen verplicht in heldere taal uit te leggen welke data je verzamelt en voor welke reden. Dit kun je het beste in een privacy statement opnemen en deze voor iedereen makkelijk vindbaar maken op je website.
Het komt er eigenlijk op neer dat je iedereen op een heel transparante manier en in duidelijk taal uitlegt welke data je verzamelt en voor welke reden. De rechten van de individu worden hiermee aangedikt.
WAT MOET JE DOEN VOOR 25 MEI?
Kortom, de nieuwe wet zal zorgen voor meer transparantie, maar is ook zeker stricter. Een van de andere redenen waarom je zo veel hoort over de GDPR zijn de nieuwe boetes; deze kunnen namelijk oplopen tot €20 miljoen, of 4% van je jaarlijkse omzet indien dit een hoger bedrag is. Oei…
Maar, gelukkig kun je je goed voorbereiden op de veranderingen, daarom hebben we een actielijst voor jullie opgesteld.
1. Privacy Statement opstellen of aanpassen
Goed, het is dus handig om een duidelijke Privacy Statement op te stellen en plaatsen op je website. Hierin heb je de ruimte om duidelijk te vermelden wie je bent en wat je allemaal doet, maar vooral ook waarom. Tevens kun je hierin opnemen met welke data verwerkers je werkt. Je kunt hierbij denken aan Google Analytics, MailChimp of Slack. De volgende punten dienen in je privacy statement vermeld te staan:
- Je identiteit. Denk hierbij aan je bedrijfsnaam (zoals die is ingeschreven bij de KvK) en de contactgegevens.
- Doeleinden en rechtsgronden voor de verwerking van de data. Onder rechtsgronden valt toestemming, maar ook de uitvoering van een overeenkomst of een wettelijke verplichting. De uitvoering van een overkomst kan dan weer je doel zijn, dus het leveren van je diensten of producten. Maar ook marketingdoeleinden vallen hieronder; bijvoorbeeld het verzenden van een nieuwsbrief of promoties. In je privacy statement moet je alle doeleinden helder beschrijven.
- Wanneer de verwerking van de persoonsgegevens een wettelijke of contractuele verplichting of noodzakelijke voorwaarde is, moet je vermelden wat de gevolgen zullen zijn wanneer er geen persoonsgegevens worden gedeeld. Wanneer je bijvoorbeeld een contact formulier invult heeft het bedrijf jouw contactgegevens nodig om jou te bereiken. Sommige gegevens heb je weer nodig om bestellingen te kunnen leveren of diensten te factureren.
- Je kunt niet zomaar eindeloos data blijven opslaan, dus je moet ook de duur van de opslag vermelden in je privacy statement. Je moet aangeven hoe lang de gegevens bewaard worden, of welke criteria bepalen hoe lang je de gegevens zult bewaren.
- Zoals eerder vermeld heeft iedereen recht op inzage, rectificatie of wissen van de persoonsgegevens. Niet iedereen is zich bewust van deze rechten, daarvoor dien je dit te vermelden. Hierbij kun je ook direct vermelden hoe dergelijke verzoeken ingediend kunnen worden.
- Iedereen heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens; ook dit moet je vermelden in je statement.
Ons Privacy Statement kun je trouwens hier vinden! ????
2. Check of je persoonsgegevens of bijzondere persoonsgegevens verzamelt
Alle informatie die over een persoon gaat, of is te herleiden naar een persoon valt onder persoonsgegevens. Denk hierbij aan namen, adressen (fysiek, maar ook mailadressen en IP adressen), telefoonnummers, biometrische data en locatiegegevens. Daarnaast heb je ook nog bijzondere persoonsgegevens, deze zijn extra beschermd door de wet. Onder bijzondere persoonsgegevens vallen de data over iemand’s gezondheid, etniciteit, strafrechtelijk verleden, geaardheid en politieke voorkeur. Indien je bijzondere persoonsgegevens verwerkt dien je in veel gevallen een Functionaris van Gegevensbescherming te hebben en moet je kunnen aantonen dat je wettelijke toestemming hebt om deze gegevens te verwerken. Je kunt via de website van Autoriteit Persoonsgegevens een vragenlijst doorlopen om te kijken of jouw organisatie hiervoor in aanmerking komt.
3. Zorg ervoor dat je website klaar is voor de GDPR
Naast een aangepaste Privacy Statement is het ook belangrijk dat je een duidelijke cookiemelding hebt en ook de bezoekers de kans biedt om hun consent te geven. Zo dient het duidelijk te zijn waarvoor bezoekers hun gegevens achterlaten en moeten ze voordat ze consent geven ook verwezen worden naar je privacy statement.
Tevens is het belangrijk om alle tools waar je mee werkt GDPR ready te maken. Zo kun je de instellingen van Google Analytics aanpassen en bijvoorbeeld geen IP adressen meer opslaan en ook de duur van de data opslag beperken. Ook MailChimp heeft onder de instellingen een speciaal GDPR vinkje. Een gemiddelde website heeft uiteraard wel meer trackers; je moet denken aan bijvoorbeeld Hotjar, Facebook Pixels, maar ook Youtube/Vimeo video’s en social share knoppen. Mocht je hier nog vragen over hebben of hulp bij nodig hebben kunnen wij je altijd verder helpen.
4. Sluit verwerkersovereenkomsten met al je dataverwerkers
Als laatste is het belangrijk dat je nagaat welke tools allemaal ook dataverwerkers van je zijn. Zo moet je denken aan Google Analytics, MailChimp, Hotjar, maar ook Slack, Moneybird en Google Suite. Elke tool waar persoonsgegevens verwerkt worden vallen hieronder. Wanneer je deze hebt geïdentificeerd dien je vervolgens verwerkersovereenkomsten met ze te sluiten. Bijna alle tools hebben dit al beschikbaar voor iedereen en voor sommige wordt je zelfs verplicht deze te tekenen om gebruik te kunnen maken van de diensten.
Zo, heel veel informatie maar goed voorbereid zijn scheelt straks een hoop hoofdpijn. Het belangrijkste doel is het beperken van de data verwerking. Dus goed om al je tools na te gaan en te bepalen welke elke noodzakelijk zijn voor je dienstverlening en bedrijfsvoering. Vervolgens moet je goed uitleggen welke data je wel verwerkt en vooral ook waarom.
Hulp nodig bij het opstellen van een privacy statement, het maken van een cookie melding of het instellen van bijvoorbeeld Google Analytics of MailChimp? We got you!