Vanaf 25 mei 2018 wordt er binnen de hele EU een nieuwe privacywetgeving van kracht. Deze nieuwe wetgeving (Algemene Verordening Persoonsgegevens) is een vervanging van de huidige Wet Bescherming Persoonsgegevens (WBP). Het geeft inwoners binnen de EU nieuwe en verbeterde privacyrechten. Deze wet brengt een aantal belangrijke verantwoordelijkheden voor organisaties met zich mee, lees hierover meer in deze blogpost.
Wat is de Algemene verordening persoonsgegevens (AVG)
Privacy wordt steeds belangrijker. Jouw gegevens worden tegenwoordig door tal van bedrijven (online) opgeslagen en het is belangrijk om controle te hebben over wat er mee gebeurt en wat er vooral niet mee mag gebeuren. Vanuit de EU is hiervoor de General Data Protection Regulation (GDPR) opgesteld, wat in het Nederlands is vertaald naar Algemene Verordening Persoonsgegevens (AVG).
De AVG wet is al in mei 2016 opgesteld, maar bevatte een overgangsperiode van twee jaar. Vanaf 25 mei 2018 zal deze wet worden gehandhaafd. De Autoriteit Persoonsgegevens is in Nederland verantwoordelijk voor de naleving van deze wet. Met deze wet hebben organisaties die persoonsgegevens verwerken meer verantwoordelijkheden. Zij zullen zich moeten houden aan deze nieuwe wetgeving, anders lopen zij het risico op een boete die kan oplopen tot 20 miljoen euro of een percentage van de wereldwijde jaaromzet.
Welke rollen vallen binnen de AVG
Binnen de AVG wetgeving worden verschillende rollen benoemd voor betrokken partijen. Er wordt onderscheid gemaakt tussen de betrokkene, de verantwoordelijke en de verwerker. Zij hebben de volgende status:
- De betrokkene: dit is de person van wie gegevens worden bewaard.
- De verantwoordelijke: dit is de organisatie die de persoonsgegevens heeft vastgelegd en deze verwerkt met een bepaald doel.
- De verwerker: dit is de organisatie die opgeslagen persoonsgegevens verwerkt namen de verantwoordelijke (organisatie).
Als fictief voorbeeld kunnen we kijken naar een webshop die klantengegevens beheert. In dit geval is de betrokkene de klant mevrouw Pieters waarvan de gegevens zijn bewaard. De verantwoordelijke is dan de eigenaar meneer Jansen van de webshop schoenenkopen.nl. De verwerker is bijvoorbeeld GetBright, de beheerder van het WordPress Content Management Systeem waarmee de webshop is gemaakt.
De (nieuwe) rechten van betrokken personen
Met de wetgeving krijgt met name de betrokkene meer rechten. Hieronder vallen onder meer het recht om vergeten te worden, het recht op dataportabiliteit en het recht op inzage van gegevens. Deze houden het volgende in:
- Het recht om vergeten te worden: een betrokkene heeft ten alle tijden het recht om vergeten te worden en moet daarbij, na gebruikmaking van dit recht, uit alle databronnen van de verantwoordelijke worden verwijderd. Zo kan een klant van een webshop dus vragen om alle gegevens die van hem of haar bekend zijn te verwijderen uit het klantenbestand.
- Het recht op inzage van gegevens: een betrokkene heeft ten alle tijden het recht om de gegevens die van hem of haar zijn bewaard in te zien. Dit houdt in dat de verantwoordelijke binnen één maand deze gegevens aan de betrokkene moet kunnen verstrekken. Gaat het om technisch zeer gecompliceerde acties, dan zal hier twee maanden de tijd voor worden gegeven.
- Het recht op dataportabiliteit: de betrokkene heeft het recht om de opgeslagen gegevens via een standaardformaat te verkrijgen. Dit is om hem of haar de mogelijkheid te geven om zich ‘gemakkelijk’ bij een soortgelijke dienst te kunnen inschrijven.
De plichten van de verantwoordelijke
Naast de nieuwe en uitgebreide rechten van de betrokkenen, vallen er ook nieuwe verplichtingen voor verantwoordelijken onder deze wet. Zo mogen gegevens niet langer bewaard worden dan nodig, heb je een reden (grondslag) voor verwerking nodig en ben je verplicht te werken aan de beveiliging van de gegevens. Dit omvat het volgende:
- Gegevens mogen niet langer bewaard worden dan nodig: voor verantwoordelijken is het nodig om vast te stellen hoe lang de persoonsgegevens bewaard worden. Dit doe je in een vooraf opgesteld document, waarin wordt uitgelegd welke gegevens je met welke termijn bewaart.
- Er is een grondslag voor verwerking nodig: een verantwoordelijke moet een geldige reden hebben voor de verwerking van de gegevens. Hieronder valt o.a. dat er toestemming is gegeven voor het gebruik van deze gegevens of dat de gegevens nodig zijn om aan een verplichting met de betrokkene te voldoen.
- Verplichting tot beveiligen van de gegevens: als organisatie ben je verplicht om zeer zorgvuldig om te gaan met deze gegevens. Zo mogen derden geen toegang hebben tot de opgeslagen data en moeten datalekken altijd binnen 72 uur gemeld worden, tenzij de persoonsgegevens niet in gevaar zijn geweest.
Verwerkersovereenkomst & Privacy Statement
Verantwoordelijken die gebruik maken van een verwerker (bijvoorbeeld via het versturen van een nieuwsbrief of het bijhouden van urenregistratie) dienen een verwerkersovereenkomst op te stellen. In dit document worden afspraken vastgelegd hoe er met de verzamelde gegevens wordt omgegaan.
Als er een nieuwsbrief voor schoenenkopen.nl wordt verstuurd door GetBright, treden wij als verwerker op voor de eigenaar meneer Jansen. In dit geval heeft GetBright een verwerkersovereenkomst nodig met deze eigenaar. Hierin wordt vastgelegd waarom we deze nieuwsbrief moeten versturen en wat er vervolgens wordt gedaan met de gegevens die worden vergaard via het sturen van die nieuwsbrief. Bijvoorbeeld het bijhouden van aankopen van klanten via de nieuwsbrief.
Maak je geen gebruik van verwerkers, maar sla je wel persoonsgegevens op (bijvoorbeeld het e-mailadres van een klant), dan moet je ervoor zorgen dat jouw privacy statement up-to-date is. Ook als je gebruik maakt van cookies op jouw website of van Google Analytics om gegevens te verwerken zal je daar op de juiste manier mee moeten omgaan. In dat laatste geval heb je ook een verwerkersovereenkomst met Google nodig, omdat zij als verwerker optreden van de data van de bezoekers van jouw website.
AVG Check
Wij snappen het als deze nieuwe regel- en wetgeving je helemaal duizelt. Het vraagt nogal wat kennis en tijd om hier adequaat naar te handelen en de nodige aanpassingen te doen. Om jouw organisatie hiermee te helpen bieden wij twee mogelijkheden aan: de AVG Check en het AVG Pakket.
GetBright geeft de mogelijkheid tot een AVG Check. Bij een AVG Check controleren wij of jouw huidige website, webshop of webapp voldoet aan de nieuwe privacywetgeving en geven we aan waar deze nog moet worden verbeterd of aangepast. We doorlopen hierbij onder andere het gebruik van Google Adwords & Analytics, het gebruik van het CMS en de cookies en het cookiebeleid van de website. Zo controleren we o.a. of bezoekers van de website zich op de juiste manier kunnen aan- en afmelden voor een nieuwsbrief of marketingdoeleinden. Deze AVG Check zal ongeveer drie uur in beslag nemen en kost € 250,-. Op basis van de AVG Check werken we uit wat er verder nodig is om aan de nieuwe regels te voldoen.*
Bij het AVG Pakket zit, naast de AVG Check, ook de hulp van een advocaat inbegrepen. Deze zal de verwerkersovereenkomst opstellen tussen de betrokken partijen en maakt een privacy policy voor op de website. Ook zal zij helpen met het creëren van een intern privacy beleid.
Heb je interesse in de AVG Check of HET AVG pakket, neem dan contact met ons op.
*GetBright doet haar uiterste best om de huidige wetgeving en regels toe te passen in het advies. Echter, GetBright is geen juridische instantie. Ons advies kan dan ook niet als juridisch advies worden beschouwd.
Geef een reactie