AVG of GDPR
Wat betekent de afkorting AVG en GDPR?
De Algemene Verordening Gegevensbescherming (AVG), staat internationaal bekend als de GDPR (General Data Protection Regulation). Dit is de nieuwe wet ter bescherming van persoonsgegevens van iedereen binnen de Europese Unie.
De AVG gaat over het verwerken, verzamelen, opslaan en gebruiken van persoonsgegevens: gevoelige data die terug te leiden is naar individuen. Op 25 mei 2018 is deze privacywetgeving in werking getreden.
Krijg je meteen een boete als je nog niet (helemaal) voldoet aan de nieuwe privacy wetgeving?
In de regel krijg je eerst waarschuwingen. Er worden alleen boetes uitgedeeld als er kwade wil in het spel is. Ondernemers die ter goeder trouw aan de slag zijn gegaan met de AVG zullen niet gelijk met boetes van de Autoriteit Persoonsgevens (AP) worden geconfronteerd. De AVG of GDPR is niet alleen in het belang van bezoekers van je website dat je duidelijk bent over wat je met persoonsgegevens doet. Gezien de boetes is de AVG of GDPR ook in het belang van je eigen onderneming.
Wat betekent de AVG voor de website van ondernemers?
Ondernemers dienen duidelijk en beknopt met persoonlijke gegevens om te gaan.
Hierbij kun je uitgaan van vier uitgangspunten:
Toestemming krijgen en aantonen dat je toestemming hebt gekregen is belangrijk voor de nieuwe privacywet.
Automatisch aannemen dat iemand toestemming geeft voor cookies of het verzamelen van zijn of haar gegevens is niet toegestaan. Reeds aangevinkte vakjes bij een contactformulier op de website zijn definitief verleden tijd. Een bezoeker moet expliciet (‘cookies en hard opt-in’) met een vinkje, aantoonbaar toestemming kunnen geven.
Inzage van een privacy statement op je website dient eenvoudig en toegankelijk aanwezig te zijn.
Je dient een betrokkene kosteloos inzicht te geven in zijn of haar persoonsgegevens die je hebt verzameld. Deze gegevens dien je in een ‘machine leesbaar formaat zoals XML, JSON of CSV’ aan te bieden. In veel privacy statements wordt -middels een verzoek om een bewijs van een identiteitsbewijs- pas ingegaan op dergelijke verzoeken.
Duidelijk zijn
Cookies accepteren, je privacy statement en uitschrijflinks dienen duidelijk zichtbaar op een website aanwezig te zijn.
De informatie over het verzamelen van persoonsgegevens dien je in duidelijke en eenvoudige liefst Jip-en-Janneketaal taal te zetten.
Je dient betrokkene te informeren over:
Onder de Wbp was het 'bewerker' (een partij die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt). In de nieuwe privacy wetgeving heet het verwerker. Ook in andere talen wordt de term “verwerken” (processing, Verarbeitung, traitement) gebruikt voor alle handelingen met persoonsgegevens zoals verzamelen, opslaan en raadplegen. De AVG stelt veel uitgebreidere eisen aan de 'verwerkersovereenkomst' dan de Wbp deed. Hierbij een voorbeeld van een verwerkersovereenkomst, opgesteld door Privacy Company.
Eenvoudig brengen
Je moet aan kunnen tonen dat je bezoekers duidelijk hebt geïnformeerd en dat je dit op een eenvoudig en toegankelijke manier aanbiedt. Alles bij elkaar in een privacyverklaring, waar je naar kunt linken, is het meest eenvoudig. Je kunt op die manier alles t.a.v. jouw cookie policy en privacy statement overzichtelijk onder elkaar zetten.
Veiligheid waarborgen
Een website waarop een contactformulier aanwezig is, moet beveiligd zijn met een TLS of SSL-certificaat. Dit is te herkennen aan https:// met een slotje in de adresbalk.
Sites zonder certificaat zijn te herkennen aan http:// (zonder s).
Bestaat er een AVG-keurmerk?
De Autoriteit Persoonsgevens (AP) heeft geen AVG-keurmerk. De AP is wel betrokken bij accreditatie van instellingen die een AVG-certificaat kunnen toekennen. Organisaties kunnen op termijn een AVG-certificaat aanvragen bij een certificatie-instelling die is goedgekeurd (geaccrediteerd) door de Raad voor accreditatie (RvA). Op het moment van publiceren van dit artikel, zijn er in Nederland nog geen certificatie-instellingen geaccrediteerd voor het afgeven van AVG-certificaten.
Waarom Google analytics?
Google Analytics instellen is handig om te kunnen zien wat er wel of niet werkt op je site en waar bezoekers voor terugkomen.
Maak je gebruik Google Analytics om het gedrag van websitebezoeker te analyseren of IP adressen te registreren dan ben je verplicht om https in te stellen.
Informeer websitebezoeker: vertel in je privacy statement hoe je de gegevens via Google Analytics verwerkt.
Geef bijvoorbeeld aan dat de gegevens anoniem worden opgeslagen en niet worden gedeeld met anderen. In deze Handleiding Privacy vriendelijk instellen van Google Analytics op de site van Autoriteit Persoonsgegevens worden deze aanpassingen verder uitgelegd.
Waarom is https voor Google belangrijk?
Google heeft aangegeven dat websites met een https-protocol voorrang hebben op websites met een http-protocol.
Je komt met een TLS of SSL certificaat dus hoger in de Google ranking.
Krijg je meteen een boete als je nog niet (helemaal) voldoet aan de nieuwe privacy wetgeving?
In de regel krijg je eerst waarschuwingen. Er worden alleen boetes uitgedeeld als er kwade wil in het spel is. Ondernemers die ter goeder trouw aan de slag zijn gegaan met de AVG zullen niet gelijk met boetes van de Autoriteit Persoonsgevens (AP) worden geconfronteerd. De AVG of GDPR is niet alleen in het belang van bezoekers van je website dat je duidelijk bent over wat je met persoonsgegevens doet. Gezien de boetes is de AVG of GDPR ook in het belang van je eigen onderneming.
Wat betekent de AVG voor de website van ondernemers?
Ondernemers dienen duidelijk en beknopt met persoonlijke gegevens om te gaan.
Hierbij kun je uitgaan van vier uitgangspunten:
- Toestemming krijgen
- Duidelijk zijn
- Eenvoudig brengen
- Veiligheid waarborgen
Toestemming krijgen en aantonen dat je toestemming hebt gekregen is belangrijk voor de nieuwe privacywet.
Automatisch aannemen dat iemand toestemming geeft voor cookies of het verzamelen van zijn of haar gegevens is niet toegestaan. Reeds aangevinkte vakjes bij een contactformulier op de website zijn definitief verleden tijd. Een bezoeker moet expliciet (‘cookies en hard opt-in’) met een vinkje, aantoonbaar toestemming kunnen geven.
Inzage van een privacy statement op je website dient eenvoudig en toegankelijk aanwezig te zijn.
Je dient een betrokkene kosteloos inzicht te geven in zijn of haar persoonsgegevens die je hebt verzameld. Deze gegevens dien je in een ‘machine leesbaar formaat zoals XML, JSON of CSV’ aan te bieden. In veel privacy statements wordt -middels een verzoek om een bewijs van een identiteitsbewijs- pas ingegaan op dergelijke verzoeken.
Duidelijk zijn
Cookies accepteren, je privacy statement en uitschrijflinks dienen duidelijk zichtbaar op een website aanwezig te zijn.
De informatie over het verzamelen van persoonsgegevens dien je in duidelijke en eenvoudige liefst Jip-en-Janneketaal taal te zetten.
Je dient betrokkene te informeren over:
- welke persoonsgegevens je wilt verzamelen;
- hoe je persoonsgegevens gaat verzamelen;
- waarom je die gegevens wilt verzamelen;
- tot wanneer en waarom je de gegevens wilt of moet bewaren
- met wie je de gegevens wilt delen
- dat je kunt aantonen hoe en wanneer je toestemming hebt gekregen
- welke informatie er voor handen was op het moment dat de beslissing werd genomen
- dat ze hun toestemming op elk gewenst moment kunnen intrekken, inzien, wijzigen, verwijderen of meenemen
- dat je een register overzicht kunt geven van verwerkersovereenkomsten/Data processing agreements met iedere cloudleverancier
- naam en contactgegevens vermeldt van de verantwoordelijke persoon bij jouw onderneming voor privacy- en gegevensbescherming
- hoe men een klacht kan indienen bij het Autoriteit Persoonsgegevens (AP)
Onder de Wbp was het 'bewerker' (een partij die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt). In de nieuwe privacy wetgeving heet het verwerker. Ook in andere talen wordt de term “verwerken” (processing, Verarbeitung, traitement) gebruikt voor alle handelingen met persoonsgegevens zoals verzamelen, opslaan en raadplegen. De AVG stelt veel uitgebreidere eisen aan de 'verwerkersovereenkomst' dan de Wbp deed. Hierbij een voorbeeld van een verwerkersovereenkomst, opgesteld door Privacy Company.
Eenvoudig brengen
Je moet aan kunnen tonen dat je bezoekers duidelijk hebt geïnformeerd en dat je dit op een eenvoudig en toegankelijke manier aanbiedt. Alles bij elkaar in een privacyverklaring, waar je naar kunt linken, is het meest eenvoudig. Je kunt op die manier alles t.a.v. jouw cookie policy en privacy statement overzichtelijk onder elkaar zetten.
Veiligheid waarborgen
Een website waarop een contactformulier aanwezig is, moet beveiligd zijn met een TLS of SSL-certificaat. Dit is te herkennen aan https:// met een slotje in de adresbalk.
Sites zonder certificaat zijn te herkennen aan http:// (zonder s).
Bestaat er een AVG-keurmerk?
De Autoriteit Persoonsgevens (AP) heeft geen AVG-keurmerk. De AP is wel betrokken bij accreditatie van instellingen die een AVG-certificaat kunnen toekennen. Organisaties kunnen op termijn een AVG-certificaat aanvragen bij een certificatie-instelling die is goedgekeurd (geaccrediteerd) door de Raad voor accreditatie (RvA). Op het moment van publiceren van dit artikel, zijn er in Nederland nog geen certificatie-instellingen geaccrediteerd voor het afgeven van AVG-certificaten.
Waarom Google analytics?
Google Analytics instellen is handig om te kunnen zien wat er wel of niet werkt op je site en waar bezoekers voor terugkomen.
Maak je gebruik Google Analytics om het gedrag van websitebezoeker te analyseren of IP adressen te registreren dan ben je verplicht om https in te stellen.
Informeer websitebezoeker: vertel in je privacy statement hoe je de gegevens via Google Analytics verwerkt.
Geef bijvoorbeeld aan dat de gegevens anoniem worden opgeslagen en niet worden gedeeld met anderen. In deze Handleiding Privacy vriendelijk instellen van Google Analytics op de site van Autoriteit Persoonsgegevens worden deze aanpassingen verder uitgelegd.
Waarom is https voor Google belangrijk?
Google heeft aangegeven dat websites met een https-protocol voorrang hebben op websites met een http-protocol.
Je komt met een TLS of SSL certificaat dus hoger in de Google ranking.
Studio señero zal voor iedere opdrachtgever specifiek die richtlijnen voor hun privacystatement geven die voor hen van toepassing zijn. Wil je meer informatie kijk dan hier voor de volledige 99 pagina’s privacywetgeving.