AVG en GDPR vliegen je om de oren. De hele Pokemon Go hype was er niets bij.

Je hebt waarschijnlijk al e-mails van zo’n beetje alles en iedereen ontvangen met extra nadruk op 25 mei. Vanaf 25 mei 2018 is namelijk de Algemene verordening gegevensbescherming van toepassing.

Mocht je net als ik de afgelopen weken met van alles en nog wat zijn bezig geweest, maar nog niet met het AVG proof maken van je business dan denk ik dat dit artikel je daarbij kan gaan helpen.

  1. Wat is AVG
  2. Wat is GDPR
  3. Wat gaat er veranderen door AVG?
  4. Cookies en AVG
  5. Privacybeleid aanpassen voor AVG
  6. Rechten en mogelijkheden voor bezoekers
  7. Verwerkersovereenkomsten voor AVG
  8. Wat als ik niet aan de AVG voldoe?
  9. Mijn onderneming AVG ready maken

Wat is AVG

AVG staat voor Algemene verordening gegevensbescherming. De AVG is een Europese privacywetgeving.

De Algemene verordening gegevensbescherming zal vanaf 25 mei officieel van toepassing zijn.

Op dat moment zal de huidige Wet bescherming persoonsgegevens (Wbp) niet meer van toepassing zijn.

De Wbp is in september 2001 in het leven geroepen als Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens [1].

De AVG moet ervoor zorgen dat alle personen, instellingen, bedrijven, verenigingen en andere partijen die gegevens verzamelen binnen Europa dezelfde procedures en regels hanteren met betrekking tot het verkrijgen, opslaan en behandelen van persoonsgegevens.

De AVG is dus een nieuwe Europese privacywetgeving met als doel het beter beschermen en behandelen van persoonsgegevens. Dit geldt overigens niet alleen op het internet.

Wat is GDPR?

De Algemene verordening gegevensbescherming is de Nederlandse naam voor de nieuwe Europese privacywetgeving.

Wanneer we het over GDPR hebben, bedoelen we General Data Protection Regulation. Dit is dezelfde Europese privacywetgeving. Het is simpelweg de Engelse naam voor dezelfde privacywetgeving [2].

Wat gaat er veranderen door AVG?

Door de komst van AVG zal iedereen die op wat voor manier dan ook persoonsgegevens verkrijgt, opslaat en/of behandeld aan de slag moeten met een aantal zaken.

Enkele belangrijke punten:

  • Voor het verkrijgen van persoonsgegevens is expliciete toestemming nodig
  • Wanneer je persoonsgegevens opslaat zul je duidelijk moeten kunnen aantonen welke gegevens je opslaat en wat je met deze gegevens gaat doen
  • Het moet ten allen tijden mogelijk zijn voor mensen – waarvan de persoonsgegevens bij jou bekend zijn – om deze gegevens in te zien, te wijzigen en/of te verwijderen.

Cookies en AVG

Met al het nieuws over AVG en GDPR kwam er ook meteen weer een hele discussie over het gebruik van cookies.

Cookies kun je zien als kleine tekstbestandjes die een website achterlaat op jouw computer nadat je op de betreffende website bent geweest.

Cookies kunnen meerdere functies hebben. Zo kunnen cookies jouw voorkeuren op een website bewaren, denk hierbij bijvoorbeeld aan een taalinstelling.

Cookies worden in de praktijk ook vaak gebruikt voor marketingdoeleinden. Zo werkt Google Analytics met cookies om te kijken hoe lang jij op een website blijft, welke pagina’s je bekijkt etc.

Op dit moment is het al verplicht om bezoekers van jouw website op de hoogte te brengen welke cookies jouw website achterlaat op de computer van de bezoeker.

Dit kun je doen met een zogenaamde Cookie Intent Bar (ook wel cookie pop-up genoemd).

Wanneer iemand voor het eerst op jouw website komt zal er simpelweg een balk tevoorschijn komen die de bezoeker er op attendeert dat jouw website gebruik maakt van cookies.

Zelf heb ik ervoor gekozen om de bezoeker de mogelijkheid te geven naar mijn privacybeleid te gaan om daar meer te kunnen lezen over hoe ik met persoonsgegevens om ga, welke cookies ik gebruik en waarom ik deze cookies gebruik.

Privacybeleid aanpassen voor AVG

Hopelijk heb je op het moment al een privacybeleid op je website. Mocht je nog geen privacybeleid hebben, dan is nu echt het moment om er een te gaan schrijven.

In een privacybeleid geef je aan de bezoekers van je website duidelijk aan hoe je om gaat met de gegevens die je verkrijgt via je jouw website of andere internet marketing tools als Facebook, MailChimp etc.

De Algemene verordening gegevensbescherming geeft aan dat je het privacybeleid op een duidelijke, goed te begrijpen manier moet schrijven [3].

Met andere woorden, het moet voor iedereen duidelijk zijn wat jij met zijn of haar gegevens doet.

Rechten en mogelijkheden voor bezoekers

Dankzij de AVG moeten bezoekers van jouw website, en andere personen waarvan jij de gegevens hebt verkregen en opgeslagen, de mogelijkheid hebben om hun gegevens in te zien, te kunnen wijzigen en verwijderen [4]

Hierbij moet je er goed aan denken dat dit geldt voor elke locatie waar je de gegevens mogelijk hebt opgeslagen.

Wanneer je bijvoorbeeld een WooCommerce webshop hebt, waarbij je een koppeling hebt gemaakt met bijvoorbeeld MailChimp, heb je mogelijk al twee locaties waar je persoonsgegevens hebt opgeslagen.

Het moet voor betrokkenen mogelijk zijn om alle gegevens die jij van hun hebt vanuit één locatie te kunnen beheren.

Verwerkersovereenkomsten voor AVG

In de online wereld maak je al snel gebruik van allerlei verschillende diensten en tools.

Denk hierbij bijvoorbeeld aan WordPress, WooCommerce, MailChimp en Google Analytics.

Het zijn alle vier vrij bekende diensten en de kans is groot dat je minimaal een van de vier genoemde diensten gebruikt.

Met de ingang van de AVG is het verplicht om zogenaamde verwerkersovereenkomsten te hebben tussen jou (als gegevensverkrijger) en de diensten die jij gebruikt om deze diensten te verkrijgen, bewerken en op te slaan.

Gelukkig zijn de grotere partijen hier zelf mee aan de slag gegaan en heb je wellicht al een e-mail gekregen van jouw gegevensverwerker met een verwerkersovereenkomst waar je simpelweg ‘akkoord’ op hebt moeten antwoorden.

Mocht dit niet zo zijn, ga dan naar de website van jouw gegevensverwerker en kijk of je meer informatie kunt vinden over hoe zij omgaan met AVG, GDPR en/of verwerkersovereenkomsten.

Eventueel kun je op rijksoverheid.nl een model verwerkersovereenkomst downloaden.

Wat als ik niet aan de AVG voldoe?

Om me heen merk ik dat kleinere freelancers en zelfs MKB’ers denken dat de AVG voor hun niet van toepassing is.

Zij zouden daar te klein voor zijn, te weinig persoonsgegevens opslaan of geen belangrijke persoonsgegevens opslaan.

Mocht jij dit ook denken dan moet ik je helaas uit die illusie halen.

Ja, de nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers die gegevens verwerken. Zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie.[5]

Bovenstaande citaat is het antwoord op de vraag “Geldt de nieuwe Europese privacywetgeving ook voor kleine mkb’ers en zzp’ers?”

Aangezien de Algemene verordening gegevensbescherming al op 4 mei 2016 is gestart en pas op 25 mei 2018 officieel van toepassing is, heeft iedereen ruim twee jaar de tijd gehad om zich aan te passen aan de nieuwe wetgeving.

Wanneer je op 25 mei 2018 niet voldoet aan de Algemene verordening gegevensbescherming loop je het risico een boete te krijgen van de Autoriteit Persoonsgegevens (AP).

 

Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.
1) Verantwoordelijken (organisaties die persoonsgegevens verwerken) hebben onder de AVG bepaalde verplichtingen, zoals de verantwoordingsplicht.
Komt een verantwoordelijke (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

2) Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)?
Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.[6]

Ja. Je leest het goed. Een boete van 10 – of zelfs – 20 miljoen euro.

Mijn onderneming AVG ready maken

Hopelijk heb je na het lezen van dit artikel door dat je toch echt nog even flink aan de slag zal moeten om je onderneming op tijd klaar te hebben voor de nieuwe Europese privacywetgeving.

Wacht niet langer en ga meteen aan de slag met de stappen om je privacybeleid aan te passen voor AVG.

Bronnen

[1] http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A31995L0046
[2] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg
[3] http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48850
[4] Stap 2: rechten van betrokkenen https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/2017-11_stappenplan_avg_online_v2.pdf
[5] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg#faq
[6] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg#hoe-hoog-zijn-de-boetes-onder-de-avg-6198

Groeien als ondernemer?

Ontvang wekelijks een e-mail voor een betere business

Je gegevens zijn veilig en zullen nooit met derde partijen worden gedeeld.