blog post news gdpr avp

De nieuwe Privacy Wet (GDPR / AVG)


Zoals je misschien hebt gehoord of gelezen treedt op 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze vervangt de Wet Bescherming Persoonsgegevens (WBp). Maar wat betekent de AVG voor jou, en wat zijn eventueel de gevolgen voor jouw klanten en bezoekers? 

De eerste fout

De AVG treedt niet pas in werking op 25 mei 2018 maar is in mei 2016 al in werking getreden. Van organisaties werd verwacht dat zij vanaf 2016 hun bedrijfsvoering met de AVG in overeenstemming zouden brengen en kregen daarvoor tot 25 mei 2018 de tijd. Daarna mag iedereen organisaties op de naleving van de AVG aanspreken. De maximale boete is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, waarbij de hoogste variant geldt.

De Europese privacyverordening algemene verordening gegevensbescherming (AVG) is een Europese verordening (dus met rechtstreekse werking) die gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens van Europese staatsburgers en betreffende het vrije verkeer van die gegevens’. Deze nieuwe verordening geldt wereldwijd voor alle ondernemingen en organisaties die persoonsgegevens bijhouden en verwerken van Europese staatsburgers, onafhankelijk of er al dan niet betaald wordt voor diensten of producten. In het Engels heet de AVG General Data Protection Regulation (GDPR). 

Veel van deze wet is niet nieuw en stond ook al in de WBp. Echter is er op het gebied van de ‘betrokkenen’ en de ‘handhavers’ (Autoriteit Persoonsgegevens) het één en ander veranderd. Beiden hebben met de komst van de AVG meer rechten gekregen. Ik probeer wat meer helderheid te scheppen wat dit nu allemaal voor jou als klant betekent.

Wanneer verwerk je persoonsgegevens?

Je verwerkt al persoonsgegevens zodra jij iemand vraagt om zijn e-mailadres achter te laten. Op de meeste websites staat zelfs een veel uitgebreider contactformulier. Dus vraag jij bezoekers van je website via zo’n contactformulier om hun e- mailadres of meer (telefoonnummer en dergelijke) achter te laten, dan verwerk ook jij persoonsgegevens. In dat moet je zeker voldoen aan de AVG. (Ook het gebruik van cookies en statistieken via Google analytics valt onder persoonsgegevens). Gebruikers van WordPress verwerken sowieso persoonsgegevens, tenzij je een nieuwe versie draait zonder een plugin en zonder inlog. 

Welke gegevens heb je echt nodig?

Sommige formulieren op websites zijn wel erg uitgebreid. Heb jij ook zo’n uitgebreid formulier op je website, dan is het goed om je af te vragen of je al de persoonsgegevens die je vraagt wel echt nodig hebt. Met de komst van de AVG mag je namelijk niet méér informatie verzamelen dan strikt noodzakelijk is voor het doel waarvoor je deze gegevens nodig hebt.

We nemen even een standaard contactformulier als voorbeeld. Stel je wilt de bezoekers van jouw website de mogelijkheid geven via een formulier een vraag te stellen. Je hebt hiervoor een aantal gegevens nodig om de vraag te kunnen beantwoorden. In het formulier heb je de volgende velden opgenomen:

Naam
Dhr / Mevr
Adres, postcode en plaats
E-mailadres
Telefoonnummer
Vraag
Het doel van het formulier is om de vraag van de bezoeker, de betrokkene, te beantwoorden. Jij als verwerkingsverantwoordelijke hebt hiervoor een formulier gemaakt. Als verwerkingsverantwoordelijke moet je je afvragen of al deze velden wel noodzakelijk zijn om het doel te bereiken.

Het antwoord hierop is ‘Nee’…

Ik leg het even uit. De velden: adres, postcode, plaats en telefoonnummer zijn niet noodzakelijk voor het vastgestelde doel. Ook het veld waarmee het geslacht kan worden vastgesteld is ‘eigenlijk’ niet nodig. De nieuwe AVG maakt dat je niet meer gegevens mag vragen dan strikt voor jouw doel noodzakelijk is.

Elke website waarbij persoonsgegevens worden verzameld – denk hierbij aan een reactieformulier, webshop, nieuwsbrief, forum, ledenadministratie – krijgt te maken met de AVG en moet hieraan voldoen. URonline.nl speelt ook een rol in dit alles. Volgens de AVG zijn wij een verwerker van persoonsgegevens. De verwerkingsverantwoordelijke heeft daarom een verwerkersovereenkomst met de verwerker nodig. URonline.nl heeft een en ander op dit gebied alvast geregeld. De verwerkersovereenkomst maakt binnenkort standaard onderdeel uit van onze algemene voorwaarden. Zorg ervoor dat jij verantwoordelijk en zorgvuldig omgaat met persoonsgegevens van anderen. Een eenvoudige manier is bijvoorbeeld om jouw website te beveiligen met een SSL-certificaat, zodat persoonsgegevens versleuteld worden verzonden naar jouw website.

Wie zijn de betrokkene, verantwoordelijke en verwerker?

Deze rollen kwamen in het vorige deel al voorbij. Hieronder leg ik ze nog even kort uit.

Betrokkene

Dit is een privépersoon waarvan de gegevens worden verzameld, waarmee direct of indirect deze persoon geïdentificeerd kan worden.

Verwerkingsverantwoordelijke

Dit is de partij die de gegevens verzamelt/nodig heeft. Heb je een website bij URonline.nl met een formulier erop, zoals genoemd in ons voorbeeld, dan ben jij verwerkingsverantwoordelijke. Omdat je niet zelf jouw website host, maar dit aan ons hebt uitbesteedt, verplicht de AVG jou om een verwerkersovereenkomst te sluiten met ons. Dit geldt niet alleen voor de overeenkomst met URonline.nl, maar alle partijen waaraan je die persoonsgegevens geeft.

Verwerker

URonline.nl is in dit artikel (sub)verwerker. Immers hosten wij voor veel verschillende klanten websites waarvan een deel vermoedelijk ook persoonsgegevens verwerkt.
Bouw jij als klant websites voor andere partijen, dan heb ook jij de rol verwerker, waarbij URonline.nl dan als subverwerker optreedt. In dat geval heeft jouw klant met jou een verwerkersovereenkomst en jij op jouw beurt weer met ons. De verwerkersovereenkomst van URonline.nl maakt binnenkort integraal deel uit van onze algemene voorwaarden. Op die manier hebben wij het geregeld.

Wat staat er in de Verwerkersovereenkomst?

In een verwerkersovereenkomst moet minimaal een aantal zaken zijn opgenomen. Zo staan er formuleringen over doeleinden van de verwerking, verplichtingen van verwerker, doorgifte persoonsgegevens, verdeling van verantwoordelijkheden, inschakelen van derden of onderaannemers, beveiliging, meldplicht, afhandeling verzoeken betrokkenen, geheimhouding en vertrouwelijkheid, audit, duur en beëindiging en een aantal overige bepalingen.

Zoals je uit de voorgaande opsomming kunt opmaken staat er veel meer in de AVG dan in dit artikel kan worden uitgelegd. Wij adviseren je dan ook om je goed te (laten) informeren wat voor jouw specifiek van belang is. Goede startpunten zijn:

Meer over privacy en digitale rechten:

Hits: 27