Op 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming) in werking getreden. Deze geldt voor de hele Europese Unie en betreft een privacyverordening die heel wat onrust veroorzaakt. Je hebt er vast al over gehoord, maar wat houdt de nieuwe verordening in voor jou en jouw organisatie? We praten je graag even bij. Check vooral ook onze andere artikelen over de AVG: Is jouw organisatie al klaar voor de nieuwe privacyverordening (AVG)? en Wat betekent de nieuwe privacyverordening voor jou?
In deze blog stip ik graag de (digitale) consequenties van de AVG aan. De volledige wetteksten zijn onderaan deze pagina te downloaden. Als je dieper de 'kleine lettertjes' van de wet in wil duiken, raad ik je aan om met een jurist om tafel te gaan. Ieder zijn vak zullen we maar zeggen 😉.
Check-up
De AVG heeft gevolgen voor de gehele bedrijfsvoering van een organisatie. Zo ook op het digitale vlak. Maar wat zijn eigenlijk de concrete gevolgen hiervan? En moet ik zelf ook iets doen? Om je digitale platformen AVG-proof te maken, zou je moeten beginnen met jezelf onderstaande vragen te stellen:
Voor de duidelijkheid; bovenstaande punten dekken nog niet de hele lading, het zijn de belangrijkste vraagstellingen op het digitale vlak van de AVG.
Een wat voor certificaat? Een SSL-certificaat is een certificaat dat de beveiligingsgraad van je webplatform aangeeft. SSL is herkenbaar aan 'https' voorafgaand aan een url. Met een SSL-beveiliging is het verkeer op je webplatform beveiligd aan de hand van zeer sterke encryptie. Data wordt versleuteld verzonden, waardoor gegevens niet door derden 'meegelezen' of aangepast kunnen worden.
Tegenwoordig geven platformen zoals Facebook en Google, maar ook browsers zoals Google Chrome en Mozilla Firefox waarschuwingen wanneer je een website zonder SSL-certificaat bezoekt. Een dergelijke waarschuwing kan natuurlijk enorm afschrikken, waardoor een potentiële bezoeker wellicht al vertrokken is voordat hij of zij überhaupt je website heeft gezien. Een SSL-certificaat is dus een echte must-have!
Een cookiemelding informeert de websitebezoeker dat een website gebruikt maakt van cookies. Maar waar moet een cookiemelding eigenlijk aan voldoen?
Functionele cookies zijn nodig om de website, de naam zegt het al, goed te laten functioneren. Sommige functionaliteiten op een website kunnen namelijk niet functioneren zonder cookies. Denk bijvoorbeeld aan het opslaan van producten in je winkelmand bij webshops. Maar denk bijvoorbeeld ook aan het opslaan van gebruikersvoorkeuren, het automatisch ingelogd blijven of het correct tonen van lettertypes. Functionele cookies dragen direct bij aan de gebruikerservaring van de website. Erg prettig dus.
Analytische cookies maken het mogelijk om het gebruik en prestaties van een website te meten en te analyseren. De meest voorkomende analytische cookies zijn die van Google Analytics. Bijna elke website maakt gebruik van analytische cookies. Logisch, want ze geven enorm veel inzichten. Inzichten die gebruikt worden om de website te verbeteren en meer aan te laten sluiten op de wensen en behoeften van de doelgroep.
De privacy van de bezoeker blijft bij deze cookies gewaarborgd, want de data wordt namelijk geanonimiseerd. De uitgevoerde acties zijn dus niet te herleiden naar een persoon. Voor analytische cookies die enkel worden gebruikt om het website-verkeer te analyseren, hoef je geen toestemming te vragen aan de bezoeker. Wel moet je de bezoekers hierover duidelijk informeren in een cookie- of privacyverklaring.
Tracking cookies worden gebruikt om het gedrag van de bezoekers binnen een domein of meerdere domeinen vast te leggen. Marketeers kunnen deze cookies gebruiken om mensen te benaderen met gerichte content en/of advertenties. Denk bijvoorbeeld aan remarketing, waarbij geïnteresseerde bezoekers (opnieuw) benaderd worden met advertenties die aansluiten bij hun interesses. Heb je bijvoorbeeld een paar nieuwe Nike sneakers bekeken, dan is de kans groot dat je enkele minuten, uren of dagen later advertenties van deze of vergelijkbare sneakers te zien krijgt op bijvoorbeeld Facebook of Nu.nl. Let op; voor het plaatsen van tracking cookies is expliciete toestemming van de bezoeker nodig. Pas nadat de bezoeker deze toestemming heeft gegeven mogen de cookies geplaatst worden.
Een privacy policy is een document dat vermeldt hoe jouw organisatie omgaat met verzamelde persoonsgegevens, bijvoorbeeld op een website of in een app. Het is verplicht om een correcte privacy policy op je website te hebben staan, zodat bezoekers weten welke persoonsgegevens voor welke doeleinden worden opgeslagen. Een privacy policy moet minimaal de volgende punten bevatten:
De identiteit van de verantwoordelijke.
Een privacy policy is dus een belangrijk juridisch onderdeel van je website. Veel bedrijven denken dit wel even te kunnen 'copy-pasten' van andere websites, maar door de organisatie-specifieke inhoud is dat dus niet zomaar mogelijk. Aangezien een privacy policy van juridisch belang is adviseren we om dit niet zomaar even in elkaar te knutselen, maar om dit zorgvuldig op te laten stellen door een jurist.
Worden er directe sales op je webplatform gedaan (bijvoorbeeld in een webshop) dan moeten ook de algemene voorwaarden online te vinden zijn. Het is echter geen plek om alle soorten toestemmingen en kleine lettertjes in weg te moffelen. Indien er ergens toestemming van de bezoeker nodig is, zul je hier expliciet om moeten vragen. Zie hiervoor artikel 7 lid 2 uit de AVG:
Heb je een webshop? Dan is het verplicht om algemene voorwaarden op de website te plaatsen.
Waar blijf je met alle gegevens die je verzamelt. En hoe lang bewaar je ze? In mijn vorige blog vertelde ik al dat het belangrijk is om onder andere te inventariseren:
Wellicht bewaar je persoonsgegevens van sollicitanten. Deze gegevens mogen maximaal vier weken na einde van de sollicitatieperiode bewaard blijven. Zie artikel 5 lid 1 & 2 van de AVG voor een uitgebreide opsomming waaraan de verwerking van persoonsgegevens moet voldoen:
Mag ik mijn klanten nog wel mailen? Ja; wees niet bang. Bestaande klanten mogen gewoon gemaild worden. Er zijn echter wel een paar richtlijnen waar je aan moet voldoen. Denk bijvoorbeeld aan een uitschrijf-mogelijkheid die er altijd en bij elke mail moet zijn. Denk er wel aan dat je 'niet-klanten' niet zomaar mag mailen. Zij moeten je expliciet toestemming geven voordat je ze nieuwsbrieven of reclame mag sturen.
Het klakkeloos plaatsen van trackingcookies is verboden onder de AVG. Je moet expliciet toestemming aan de gebruiker vragen. Dit geldt ook voor het delen van e-mailadressen met Facebook & Google voor bijvoorbeeld zogenaamde 'aangepaste doelgroepen'. Advertentiefuncties als remarketing zijn gebaseerd op dit soort cookies, waarvoor je onder de AVG een duidelijke opt-in (toestemming) nodig hebt. Bovendien moet de gebruiker zijn of haar toestemming ook weer net zo makkelijk kunnen intrekken met een opt-out. Zie hiervoor artikel 7 lid 3 uit de AVG:
Andere targeting-mogelijkheden op social media (zoals de interesses op Facebook, of bedrijfsbranche op LinkedIn) mag je wel gewoon gebruiken zonder expliciet toestemming te vragen van je bezoekers. De verantwoordelijkheid hiervoor ligt namelijk bij het social media kanaal. Zij dienen deze toestemmingen met hun bezoekers te regelen, niet jij.
Als andere partijen toegang hebben tot jouw systemen en persoonsgegevens kunnen inzien of bewerken, dan moet je als verwerkingsverantwoordelijke (wat voorheen bekend stond als 'verantwoordelijke') en verwerker (wat voorheen bekend stond als 'bewerker') een verwerkersovereenkomst afsluiten. Dit is echter niet nieuw en moest onder de WBP (Wet Bescherming Persoonsgegevens) ook al. Zie hiervoor artikel 28 lid 1 van de AVG:
Het is slechts een greep uit de vragen die je jezelf moet stellen om te kunnen voldoen aan de digitale AVG-richtlijnen. Wij kunnen ons echter voorstellen dat jouw organisatie hier niet zomaar pasklare antwoorden op heeft. Daarom helpen wij je graag om deze antwoorden te verzamelen en om eventuele digitale tekortkomingen te verhelpen. Neem gerust contact op met een van onze accountmanagers of vraag een grondige AVG-check aan via onderstaande button:
Download hier de volledig uitgeschreven wetteksten van de algemene verordening gegevensbescherming
Download AVG