Sinds 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG, GDPR in het Engels; General Data Protection Regulation) en wordt er gecontroleerd op de naleving hiervan. Het bedrijfsleven, overheden, organisaties en verenigingen hebben er mee te maken. Van grote bedrijven tot zzp’ers en de lokale voetbalclub, ze zijn allemaal bij wet verplicht de privacy van hun klanten of leden te waarborgen.
Dit houdt onder andere in dat u moet kunnen aantonen hoe u persoonsgegevens verwerkt en u verplicht bent datalekken binnen 72 uur te melden. Wanneer uw bedrijf of organisatie hier niet aan voldoet, riskeert u een boete. Dergelijke boetes kunnen oplopen tot 20 miljoen euro of 4% van uw omzet.
Ook al heeft u dus ‘maar’ een eenmanszaak, ook dan geldt deze wet. Want met een naam, telefoonnummer of e-mailadres van een klant bent u al in het bezit van privacygevoelige informatie die naar een specifiek persoon herleid kan worden. Bent u nog druk bezig de laatste puntjes op de i te zetten? Of nog niet begonnen? Gebruik deze checklist om te controleren of uw website AVG proof is.
AVG checklist
- Privacyverklaring.
De privacyverklaring moet voor iedereen makkelijk op uw website te vinden zijn. Een link onder in de footer is een gebruikelijke plek. De privacyverklaring bevat informatie over:
- alle manieren waarop u informatie van klanten verzamelt, bijvoorbeeld via het contactformulier of een aanmelding voor uw nieuwsbrief;
- welke gegevens u verzamelt;
- waarom u deze gegevens verzamelt;
- hoe u deze gegevens verwerkt en opslaat;
- hoe lang u de gegevens bewaart;
- of de gegevens gedeeld worden met andere partijen;
- hoe de klant zijn gegevens kan opvragen, aanpassen of verwijderen;
- en de mogelijkheid om een klacht in te dienen indien ze het ergens niet mee eens zijn.
- Cookieverklaring.
De klant moet toestemming geven voor het verzamelen van gegevens. Indien u cookies gebruikt bent u verplicht dit aan de bezoeker te melden. De bezoeker moet ook zelf aan kunnen geven of, en welke cookies, hij accepteert. En deze cookies mogen pas na toestemming geplaatst worden. In de cookieverklaring legt u uit wat cookies zijn, welke u gebruikt, voor welk doel en hoe de bezoeker ze uit kan schakelen. Indien u geen cookiemelding op uw website plaatst mag u Google Analytics bijvoorbeeld alleen geanonimiseerd gebruiken.
- Versleutelde en beveiligde opslag en verwerking van gegevens.
Heeft u al een SSL-certificaat voor uw website? En zijn alle beveiligingsupdates up-to-date?
- Vraag geen overbodige informatie in formulieren en accounts.
U mag alleen bepaalde gegevens vragen als u er bij vermeldt wat u ermee gaat doen (via een verwijzing naar de privacyverklaring). Vraag dus alleen naar de gegevens die u daadwerkelijk nodig heeft.
- Het afmelden voor een klantaccount of nieuwsbrief moet net zo makkelijk gaan als het aanmelden ervoor. Ook moet u aan kunnen tonen hoe en dat u toestemming heeft gekregen iemand toe te voegen aan uw e-mail/klantenbestand (via opt-in bijvoorbeeld).
- Verwerkersovereenkomsten.
Deze overeenkomst dient u te sluiten met alle partijen waarmee u samenwerkt en toegang hebben tot de gegevens die u verzamelt. In deze overeenkomst wordt vastgelegd dat alle partijen de privacy waarborgen. Indien er problemen ontstaan, kan de verwerker hier verantwoordelijk of aansprakelijk voor worden gesteld.
- Houd u aan de meldplicht datalekken. Ieder datalek dat heeft plaatsgevonden moet gedocumenteerd worden en binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens. Ook de betrokkenen moeten op de hoogte worden gesteld. Zorg dat er een draaiboek klaar ligt voor het geval u te maken krijgt met een datalek zodat u snel kunt handelen.
Privacywet doorvoeren in uw organisatie
Voor grote bedrijven is het eventueel mogelijk om een privacy officer, of functionaris gegevensbescherming, in dienst te nemen die dit takenpakket op zich neemt. Deze werknemer is dan verantwoordelijk voor het uitvoeren en naleven van de privacywet. Voor overheidsinstanties en zorginstellingen is dit zelfs verplicht.
Voor kleinere bedrijven en zzp’ers is dit een vrij grote opgave. U krijgt te maken met zaken die vrij juridisch van aard zijn waar u waarschijnlijk nog niet veel van weet. Schakel in dat geval specialisten in. Zij kunnen bijvoorbeeld een risicoanalyse uitvoeren en uitzoeken welke zaken voor uw bedrijf geregeld moeten worden. Zo kunt u zich zelf bezig houden met de hoofdzaak van uw bedrijf.
Online risico’s verzekeren
Ondanks dat uw website AVG proof is en u de wet volledig naleeft, loopt u (helaas) nog steeds risico op een hack of datalek waarbij privacygevoelige gegevens gestolen kunnen worden. U kunt zich verzekeren tegen de gevolgen van cybercrime. Met één telefoontje kunt u partijen inschakelen die u helpen met het stappenplan bij een datalek. Neem contact met ons op voor meer informatie over een dataverzekering.