Yourstyle-kennismaking-contact-samensuccesvol

Stappenplan AVG / GPDR voor websites en webshops

Zorg ervoor dat de organisatie goed voorbereid is op de nieuwe AVG (Algemene Verordening Gegevensbescherming) / GDPR wet voor 25 mei 2018. Europese privacytoezichthouders kunnen met ingang van de nieuwe wet stevige boetes uitdelen tot 20 miljoen euro of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

 

Inhoudsopgave AVG

  1. Informatie over AVG / GDPR
  2. Stappenplan AVG / GPDR implementatie
  3. AVG / GDPR checklist voor websites en webshops
  4. Veelgestelde vragen over AVG
  5. AVG / GDPR downloads & bronnen

Informatie over AVG / GDPR

Per 25 mei 2018 treedt de nieuwe privacywet voor alle landen binnen de Europese Unie (EU) in werking. Dit artikel geeft inzicht in wat de grootste veranderingen zijn t.o.v. de oude Wet bescherming persoonsgegevens (Wbp). De Algemene verordening gegevensbescherming (AVG) is ook wel bekend onder de Engelse benaming: General Data Protection Regulation (GDPR). Op de website van autoriteit persoonsgegevens vind je uitgebreide informatie over AVG / GDPR.

 

Kort samengevat dienen bedrijven voor AVG inzicht te geven in:

  • Klantgegevens
    Zorg dat personeel op een juiste manier omgaat met de gegevens van (potentiële) klanten.
  • Personeelsgegevens
    Zorg dat personeelsdossiers voldoen aan de nieuwe eisen.
  • Data, statistieken & overige persoonsgegevens
    Als jouw bedrijf ook andere persoonsgegevens opslaat of beheert (zoals gegevens van leveranciers en relaties in CRM/Marketing/Sales systemen of databases van andere bedrijven) moet je voldoen aan deze regels.

 

AVG rechtsgronden

Voor het verwerken van persoonsgegevens dienen organisaties voor ieder soort gebruik van die gegevens een “grondslag” hebben. De persoonsgegevens mogen alleen worden gebruikt als één van de volgende rechtsgronden aanwezig is:

  • Toestemming
    De persoon dient transparant geïnformeerd te zijn en heeft toestemming gegeven voor het gebruik van zijn/haar gegevens
  • Overeenkomst
    De gegevens zijn noodzakelijk voor het voorbereiden of uitvoeren van een overeenkomst met de betrokken persoon.
  • Wettelijke plicht
    Bijvoorbeeld: een bevel van de politie om gegevens te verstrekken of jezelf te identificeren
  • Vitaal belang
    De persoonsgegevens zijn nodig voor een “vitaal belang” van de betrokken persoon of derden – het gaat hier om een acute medische situatie waar niet vaak sprake van zal zijn.
  • Publieke taak of algemeen belang
    Voorbeeld: cameratoezicht binnen de gemeente voor de openbare veiligheid.
  • Gerechtvaardigd belang
    Rechtmatig belang, noodzakelijkheid en afweging van belangen spelen hierin een rol. Bijvoorbeeld het voeren van een personeelsadministratie.

Download hier de uitgebreide versie van de AVG rechtsgronden: De 6 grondslagen van de AVG

 

Belangrijke aandachtspunten AVG

  • Toestemming
    Informeer gebruikers / personen in duidelijke taal en vraag bij persoonlijke gegevens altijd om toestemming (bijvoorbeeld via een opt-in). Zorg daarnaast dat je kunt aantonen dat je persoonlijke gegevens van de persoon mag verwerken.
  • Transparantie
    Schrijf voorwaarden niet in andere talen, zorg voor duidelijke uitschrijf mogelijkheden, geef gebruikers de mogelijkheid om persoonlijke gegevens in te zien, te wijzigen of te verwijderen.
  • Focus / relevantie
    Focus alleen op gegevens welke relevant zijn. Laat natuurlijke personen niet onnodig veel extra velden invullen om een document te downloaden maar vraag alleen naam en email. Geboortedatum, telefoonnummer etc. zijn in dit geval niet relevant.
  • Beveiliging
    Een goede beveiliging van de database, bestanden of overige tools is vereist. De organisatie welke de data verwerkt is verantwoordelijk voor de beveiliging en het verzenden van persoonlijke gegevens over een SSL encrypted verbinding.

Onder veelgestelde vragen over AVG vind je meer antwoorden en algemene informatie over AVG / GDPR.

 

AVG / GDPR checklist voor websites en webshops

Specifiek voor websites en webshops hebben wij een checklist gemaakt om door te nemen. Na het doorlopen en voldoen aan de voorwaarden van de checklist (met voorbeelden) is jouw website of webshop voor 99% AVG proof.

 

 

Wat kun je vinden in de AVG checklist?

  • AVG algemeen
  • Beveiliging & privacy
  • Plugins
  • Opt-ins & formulieren
  • Verwerkers, tools & data verzamelaars

Ga naar onze downloadpagina voor de uitgebreide AVG website checklist:

AVG website/webshop checklist

 


 

Stappenplan AVG / GPDR implementatie

  1. Inventariseer 
  2. Privacy by default (Beperk persoonsgegevens)
  3. Bewaar gegevens (niet langer dan nodig)
  4. Aanpassen privacy en cookie voorwaarden
  5. Sluit een verwerkers overeenkomst af
  6. Overzicht van verwerkingsactiviteiten
  7. Informeren en toestemming vragen
  8. Toestemming kunnen aantonen
  9. Recht op inzage, wijzigen, vergeten en dataportabiliteit
  10. Data beveiligingsbeleid
  11. Verplicht en informeer medewerkers tot geheimhouding

1. Inventariseer welke persoonlijke gegevens worden verzameld

Persoonsgegevens worden door veel organisaties binnen meerdere tools, applicaties, databases en bestanden opgeslagen. Voor 25 mei is het voor iedere organisatie verplicht om dit duidelijk in kaart te hebben voor controles.

 

Inventariseer de volgende punten:

  • Is een Functionaris Gegevensbescherming nodig?
  • Welke tools en applicaties slaan persoonsgegevens op?
  • Welke persoonsgegevens worden opgeslagen?

 

Is een Functionaris Gegevensbescherming nodig?

Een FG, ook wel Functionaris Gegevensbescherming of Privacy Officer genoemd, is niet voor iedere organisatie verplicht.

Een Functionaris Gegevensbescherming, ook wel “FG” genoemd, is de persoon die is aangewezen om intern toezicht te houden op het verwerken van de persoonsgegevens door een organisatie. De FG neemt een groot deel van het toezicht binnen de organisatie over van de nationale toezichthouder, de Autoriteit Persoonsgegevens (AP).

 

Wanneer is het verplicht om een FG te benoemen?
Met de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), komt voor sommige organisaties een verplichting om een functionaris gegevensbescherming te benoemen. Dit staat in artikel 37 van de AVG.

Die verplichting geldt voor zowel “verantwoordelijken” als voor “verwerkers”. In de volgende gevallen is er op grond van de AVG een verplichting om een FG te benoemen:

  • Overheidsinstanties en overheidsorganen zijn verplicht een FG te benoemen (behalve gerechtelijke organisaties bij de uitoefening van hun gerechtelijke taken);
  • Als de kernactiviteiten draaien om het gebruik van “bijzondere persoonsgegevens” op grote schaal, denk hierbij bijvoorbeeld aan ziekenhuizen of bedrijven die medische onderzoeken uitvoeren;
  • Als de kernactiviteiten draaien om het gebruik van persoonsgegevens die door de aard van dat gebruik, de omvang daarvan en/of de doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokken personen eisen.

 

Hieronder vallen bijvoorbeeld:

  1. Het tracken en opbouwen van profielen van mensen via het internet;
  2. Het opbouwen van profielen en scores, bijvoorbeeld voor kredietchecks, het aangaan van verzekeringen of voorkoming van fraude;
  3. Locatiegegevens bijhouden;
  4. Behavioral advertising;
  5. Het bijhouden van gegevens via draagbare apparaten.

Verder zal voor Nederland nog kunnen worden bepaald dat een FG verplicht is voor bepaalde verenigingen of andere organen die verantwoordelijken of bewerkers vertegenwoordigen (artikel 37 lid 4 AVG). Op het moment van schrijven is dit nog niet bekend voor Nederland.

In dezelfde categorie valt een DPIA (Data Protection Impact Assesment). Op de website van Autoriteit Persoonsgegevens kun je meer informatie vinden over een DPIA.

 

Welke tools en applicaties slaan persoonsgegevens op?

Probeer vervolgens te achterhalen welke tools, applicaties, databases en bestanden de organisatie gebruikt om(persoons)gegevens op te slaan. Om dit wat eenvoudiger te maken kun je het beste uitzoeken welke applicaties door de organisatie gebruikt worden om de dagelijkse business in goede banen te leiden.

Ga na welke systemen of applicaties de organisatie gebruikt en breng deze in kaart. 
Voorbeelden van tools & applicaties:
  • CRM & projectmanagement
  • Boekhouding & statistiek
  • Hosting & website
  • Opslag bestanden
  • Marketing
  • Personeelsgegevens (loonverwerking, archief)
  • Beveiliging, accounts & wachtwoorden

 

Welke persoonsgegevens worden opgeslagen?

Breng daarna in kaart welke persoonsgegevens door de organisatie binnen gebruikte tools, applicaties, databases en bestanden per item worden verwerkt.

 

Wat wordt verstaan onder persoonsgegevens?

“Alle informatie over een geïdentificeerde of identificeerbaar natuurlijk persoon.”

Het gaat bij persoonsgegevens altijd om gegevens van een natuurlijk persoon. Dit houdt in dat de gegevens van overleden personen of organisaties geen persoonsgegevens zijn.

 

 

Voorbeelden van persoonsgegevens:

  • NAW-gegevens (naam, adres en woonplaats)
  • Telefoonnummers
  • Postcode en huisnummer
  • Geboortedatum
  • E-mailadres
  • Pasfoto’s en paspoort kopieën (indien bijzondere gegevens zijn afgeschermd)
  • Vingerafdrukken
  • IP-adressen
  • Etc.

Er wordt onderscheid gemaakt tussen gewone en bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens welke gevoelig zijn voor voor privacy bij verwerking van deze gegevens. Dergelijke gegevens mogen alleen onder zeer strenge voorwaarden worden verwerkt.

 

Voorbeelden van bijzondere persoonsgegevens:

  • Gezondheid en medisch dossier
  • Godsdienst
  • Ras
  • Politieke voorkeur
  • Strafrechtelijke verleden
  • BSN (burger service nummer)
  • etc.

Bijzondere persoonsgegevens mogen door organisaties alleen worden verwerkt wanneer de betreffende organisaties een uitzondering op de wet kunnen aantonen. Zo mogen instellingen binnen de gezondheidszorg alleen medische informatie verwerken en geen politieke voorkeur of godsdienst achtergrond. Op de website van Autoriteit Persoonsgegevens vind je meer informatie over allerlei soorten persoonsgegevens en de regels met betrekking tot verzamelen, bewaren, verstrekken en beveiligen.

Stel jezelf de volgende vragen:
  • Welke persoonsgegevens je verzamelt.
  • Hoe je ze verzamelt.
  • Waarom je de gegevens verzamelt.
  • Tot wanneer je de gegevens bewaart en waarom.
  • Met wie je de gegevens deelt.

*Ook personeelsgegevens zijn persoonsgegevens

 

CASE VOORBEELD: webshop

Stel je voor. Je bent eigenaar van een webshop en maakt gebruik van het WordPress platform in combinatie met de webshop functionaliteit van WooCommerce welke gegevens verwerkt en deelt met de database van de hostingpartij en Exact Online (boekhouding). Daarnaast worden PDF facturen automatisch geëxporteerd naar Dropbox als Backup.

 

Jij dient dan in kaart te brengen:

  • Welke klantgegevens worden opgeslagen (NAW-gegevens)
  • Hoe deze worden verzameld (via encrypted webshopformulieren)
  • Waarom deze gegevens worden verzameld (voor de facturering en bezorging)
  • Tot wanneer je deze gegevens bewaart (7 jaar vanwege bewaarplicht)
  • Met wie deze gegevens worden gedeeld (WooCommerce, Hosting, Dropbox, Exact Online en de boekhouder)

2. Privacy by default

Privacy by default is in principe onderdeel van privacy by design. Privacy by default vereist dat de standaardinstellingen altijd zo privacy-vriendelijk mogelijk zijn en de persoon de instellingen eenvoudig zou kunnen wijzigen.

Dus wel:

  • Naam, Adres en Woonplaats vragen voor bestellingen
  • Factuuradres en bij B2B een bedrijfsnaam vragen

Maar niet:

  • Telefoonnumers vragen voor een nieuwsbrief inschrijving
  • Functie vragen voor downloaden whitepapers
  • Geboortedatum vragen voor bestellen van een bloemboeket

 

Voorbeeld Social Media
In de nieuwe wet mogen persoonsgegevens nooit standaard openbaar zichtbaar zijn. Neem bijvoorbeeld een Facebook of Instagram profiel. Dit mag wel openbaar zijn, maar slechts als een gebruiker daar eerst zélf actief voor kiest. De social media toepassing zal in de standaardinstellingen de gebruikersprofielen zoveel mogelijk moeten afschermen om gebruikers bewust de keuze te laten maken.

 

Dit principe van het afschermen van persoonsgegevens geldt voor alle ICT-toepassingen: van browser-instellingen tot een bedrijfs-app.

 

Voorbeeld nieuwsbrieven
Tegenwoordig vereist de Telecommunicatiewet dat sprake is van een ‘opt-in’ voor nieuwsbrieven; je moet je actief voor een nieuwsbrief aanmelden en deze mag dus niet standaard aangevinkt staan. Zo is het ook met privacy: deze moet standaard zo hoog mogelijk zijn en je moet mensen actief laten kiezen voor het breder laten delen van hun gegevens.

Hierbij een voorbeeld wat geen “privacy by default” is. In het onderstaande voorbeeld worden naast naam en email welke nodig zijn voor het verzenden van de download, ook gegevens als functie, bedrijfsnaam en branche verplicht gesteld. Dit is binnen de nieuwe wetgeving dus geen “privacy by default”.

3. Bewaar gegevens niet langer dan nodig

Als personen toestemming hebben gegeven voor het verwerken van hun gegevens, wil dit niet zeggen dat de gegevens voor onbepaalde tijd opgeslagen mogen worden. In principe mogen persoonsgegevens niet langer verzameld worden dan noodzakelijk. Voor de belastingdienst dienen gegevens bijvoorbeeld tot 7 jaar terug te vinden zijn in het (digitaal)archief. Bewaar gegevens van leads bijvoorbeeld niet langer dan 2 tot 3 jaar. Na een bepaalde tijd heeft een potentiële klant waarschijnlijk een keuze gemaakt voor een ander bedrijf.

 

Stel jezelf de volgende vragen:

  • Wat is de termijn van bewaring?
  • Hoe ga je de gegevens automatisch verwijderen?
  • Hoe verwijder je deze gegevens bij andere partijen indien de gegevens gedeeld worden met derden?
  • Hoe worden gegevens uit backups verwijderd?

4. Pas de privacy en cookie voorwaarden aan

Voor het verwerken van persoonsgegevens is vanaf 25 mei dus toestemming vereist van de gebruiker. Er dient door de toestemming vrager dan ook expliciet om toestemming gevraagd te worden. Dit geldt voor een aantal cookies. Per 2019 zal de Cookie wet ook worden aangescherpt. De huidige AVG wet is vooral gericht op de verwerking van (persoons)gegevens van EU burgers.

 

Zie voorbeelden van uitgebreide cookie voorwaarden en privacyverklaringen.

 

Functionele cookies (toegestaan)

Deze cookies kunnen handig zijn om een site goed te laten functioneren. Denk aan een winkelmandje die producten opslaat, een taalmodule op een website of een account die ingelogd blijft na aanmelden. Google Webmastertools en Analytics kun je ook onder bepaalde voorwaarden gewoon blijven gebruiken om je website of webshop te optimaliseren. Hoe je Google Analytics dient in te stellen vind je onder de AVG veelgestelde vragen.
Tracking cookies (beperkt toegestaan)
Het tracken van websitebezoekers in het algemeen en welke handelingen zij verrichten online is toegestaan. Echter zijn trackingtools waarin persoonlijke data van gebruikers worden opgeslagen (Hubspot, Analytics) of gevisualiseerd (Hotjar) niet zonder toestemming van de gebruiker toegestaan.

 

*Let op: communiceer helder en transparant en geef websitebezoekers altijd de mogelijkheid om toestemming te verlenen en data in te kunnen. Cookie walls zijn per 25 mei verboden.

Een helder voorbeeld vind je terug op de website van i4projects. Helaas worden de scripts nu (nog) niet uitgezet indien je hier voor kiest als gebruiker.
 

 

5. Sluit een verwerkers overeenkomst af

Als je (persoons)gegevens deelt met derden dan dient de organisatie verwerkersovereenkomsten af te sluiten. Zoals in het eerste punt aangegeven vindt verwerking van (persoons)gegevens veelal plaats binnen systemen en applicaties welke door de organisatie worden gebruikt.

Bij stap 1 heb je in kaart gebracht met wie gegevens worden gedeeld zoals: 
  • CRM & projectmanagement
  • Boekhouding & statistiek
  • Hosting & website
  • Opslag bestanden
  • Marketing
  • Personeelsdossiers & administratie (boekhouder)

Zorg dat je duidelijk in kaart brengt welke persoonsgegevens gedeeld mogen worden en sluit een verwerkersovereenkomst (voorbeeld: Verwerkersovereenkomst door Privacy Company) af met deze partijen.

 

Wat vind je terug in een verwerkersovereenkomst?

  • Welke persoonsgegevens worden verwerkt
  • Een geheimhoudingsplicht
  • Uitbesteden aan subverwerkers mag alleen met jouw toestemming
  • Medewerking aan eventuele audits
  • Na werkzaamheden of verjaring worden persoonsgegevens weer verwijderd
  • Welke beveiligingsmaatregelen getroffen worden
  • Een verwerker mag persoonsgegevens niet voor andere doeleinden gebruiken
  • Etc.

6. Overzicht van verwerkingsactiviteiten

Als een controlerende medewerker van de Autoriteit Persoonsgegevens vraagt om een inzicht in de persoonsgegevens welke de organisatie verwerkt, moet dit duidelijk in een gestructureerd overzicht aangeleverd worden. Dit overzicht biedt inzicht in welke gegevens gedeeld worden, hoe, waarom, tot wanneer en met wie.

  • Contactpersoon organisatie
  • Contactpersonen organisaties waarmee gegevens gedeeld worden
  • Doelen voor verwerking persoonsgegevens
  • Beschrijving van type persoonsgegevens
  • Wanneer worden gegevens verwijderd (indien bekend)
  • Type bedrijven waar persoonsgegevens aan verstrekt worden
  • Beveiliging voor verwerking persoonsgegevens
  • Persoonsgegevens die gedeeld worden met landen buiten de EU

 

7. Informeren en toestemming vragen

Zoals eerder aangegeven is voor het verwerken van persoonsgegevens vanaf 25 mei toestemming vereist van de gebruiker. Er dient door de toestemming vrager dan ook expliciet om toestemming gevraagd te worden. Indien op jouw website persoonsgegevens verwerkt worden in trackingscripts, contact of order formulieren, dien je toestemming te vragen aan de gebruiker. De organisatie is verantwoordelijk voor een transparante leesbare toelichting bij alle persoonsgegevens die verwerkt worden van de gebruiker.

 

8. Toestemming kunnen aantonen

Stuurt de organisatie momenteel nieuwsbrieven of marketing emails? Vraag (nogmaals) om toestemming aan de huidige klantendatabase indien dit nog niet is opgeslagen per gebruiker. Zorg dat in de database of een ander bestand is terug te vinden hoe en wanneer je toestemming hebt gekregen. Leg dit vast in een CRM-systeem.

 

Let op: laat ook zien hoe je toestemming hebt gevraagd door middel van een screenshot.

Websites veranderen continue. Een link naar een voorbeeld is geen goede methode om aan te tonen dat om toestemming gevraagd is. Het kan zijn dat het om toestemming vragen in de tussentijd gewijzigd is.

 

9. Zorg voor recht op inzage, wijzigen, vergeten en dataportabiliteit

Recht van inzage, wijzigen en vergeten was in de Wbp wet ook al van toepassing. Echter wisten veel gebruikers niet dat zij toestemming hebben om eigen persoonsgegevens in te zien, te wijzigen en/of te verwijderen. Als organisatie dien je inzicht te geven in alle persoonsgegevens welke verwerkt worden van een gebruiker. Hierbij een overzicht van de verschillende rechten.

 

De huidige wetgeving geeft personen:

  1. het recht op inzage in hun gegevens (in de praktijk inclusief het recht op een kopie van de gegevens);
  2. het recht om onjuiste gegevens te laten corrigeren;
  3. het recht om onvolledige gegevens aan te laten vullen;
  4. onder voorwaarden: het recht om gegevens te laten verwijderen;
  5. onder voorwaarden: het recht om gegevens te laten beperken;
  6. het recht om eenmaal gegeven toestemming weer in te trekken;
  7. onder voorwaarden: het recht om bezwaar te maken, waaronder bezwaar tegen direct marketing.

Per 25 mei zal het niet direct storm lopen bij organisaties met inzicht aanvragen. Bereid de organisatie wel zo goed mogelijk voor, zodat het niet te veel tijd gaat kosten indien inzicht aanvragen binnenkomen.

 

Daarnaast is dataportabiliteit nog een mooie toevoeging binnen de nieuwe wetgeving. Stel je voor je gaat met jouw telefoon abonnement van KPN naar Vodafone of met je huidige televisie abonnement van Ziggo naar KPN. Dan biedt dataportabiliteit jouw de mogelijkheid als eindgebruiker voor een soepele overgang van het ene naar het andere bedrijf. Zodoende kan de overgang versneld worden en persoonsgegevens bij de ex-verwerker (indien mogelijk) na de bewaartermijn verwijderd worden. Je leest hier meer over in de Factsheet verzoeken.

 

10. Zorg dat data goed beveiligd is

Helaas komt het nog vaak voor dat website, webshops en andere applicaties van bijvoorbeeld bedrijven of overheden worden gehackt.

 

In de AVG website checklist vind je meer beveiliging en privacy tips: AVG website/webshop checklist

 

Meldplicht bij datalekken en Algemene verordening gegevensbescherming (AVG)
Onder de AVG worden de eisen strenger. Samengevat geldt het volgende:

  • Als een verwerkingsverantwoordelijke zich bewust is geworden van een datalek moet hij dit meteen, waar mogelijk binnen 72 uur, melden aan de Autoriteit Persoonsgegevens. Lukt dat niet,  dan zal een verklaring gegeven moeten worden voor de vertraging. De meldplicht is niet van toepassing als het onwaarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (artikel 33 AVG).
  • Betrokkene moet ook worden geïnformeerd over de inbreuk, wanneer het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor zijn rechten en vrijheden zodat hij eventueel voorzorgsmaatregelen kan treffen. Zowel de aard van de inbreuk als aanbevelingen hoe hij mogelijke negatieve gevolgen kan beperken, moeten hem gemeld worden (artikel 34 AVG).
  • Een melding aan betrokkene is niet nodig wanneer er maatregelen conform de AVG zijn getroffen en deze zijn toegepast op de betreffende persoonsgegevens. De gegevens zijn bijvoorbeeld gepseudonimiseerd, zodat degene die de gegevens in handen krijgt niet kan achterhalen welke personen de gegevens betreffen. Een melding kan eveneens achterwege gelaten worden als achteraf maatregelen zijn genomen door de verwerkingsverantwoordelijke om te zorgen dat de hoge risico’s voor de rechten en vrijheden van betrokkene zich waarschijnlijk niet meer voor zullen doen of de mededeling onevenredige inspanning vergt. In het laatste geval moeten betrokkenen op een andere, even doeltreffende manier, worden geïnformeerd, bijvoorbeeld door een openbare mededeling (artikel 34 AVG).
  • In de AVG is vastgelegd wat in de melding aan de Autoriteit Persoonsgegevens en aan eventuele betrokkenen in ieder geval omschreven moet worden. Het zou kunnen zijn dat niet alle informatie gelijktijdig verstrekt kan worden. In dat geval is het mogelijk de informatie in stappen te verstrekken (artikel 33 AVG).
  • Een verwerkingsverantwoordelijke is ook onder de AVG verplicht alle inbreuken te documenteren, met inbegrip van de feiten omtrent de inbreuk, de gevolgen en de genomen corrigerende maatregelen (artikel 33, vijfde lid AVG). Hierdoor is de Autoriteit Persoonsgegevens in staat naleving van de AVG te controleren.

Boetes
Onder de Wbp kan de Autoriteit Persoonsgegevens boetes tot en met € 820.000,- opleggen indien niet wordt voldaan aan de meldplicht datalekken. Dit bedrag wordt onder de AVG een stuk hoger. Boetes kunnen dan namelijk oplopen tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet per overtreding.

 

11. Verplicht en informeer medewerkers tot geheimhouding

Verplicht de eigen medewerkers die met persoonsgegevens werken tot geheimhouding daarvan en het alleen verwerken van persoonsgegevens in het kader van hun werkzaamheden. Alle medewerkers dienen op de hoogte zijn en de organisatie stelt indien nodig binnen het personeel een “verantwoordelijke” aan als aanspreekpunt.

 


AVG / GDPR checklist voor websites en webshops

Specifiek voor website en webshops hebben wij een checklist gemaakt om door te lopen. Na het doorlopen en voldoen aan de voorwaarden van de checklist (met voorbeelden) is jouw website of webshop voor 99% AVG proof.

 

Wat kun je vinden in de AVG checklist?

  • AVG algemeen
  • Beveiliging & privacy
  • Plugins
  • Opt-ins & formulieren
  • Verwerkers, tools & data verzamelaars

Ga naar onze downloadpagina voor de uitgebreide AVG website checklist:

AVG website/webshop checklist


[qa cat=avg-wet-vragen accordion=true]

AVG / GDPR downloads & bronnen

  1. Volledige uitleg AVG
  2. AVG in een notendop
  3. Voorbeeld verwerkersovereenkomst door Privacy Company
  4. AVG website/webshop checklist
  5. De 6 grondslagen van de AVG
  6. Factsheet bijzondere persoonsgegevens
  7. Factsheet Datalekken
  8. Factsheet Google Analytics
  9. Factsheet verwerkers
  10. Factsheet PIA
  11. Factsheet functionaris gegevensbescherming
  12. Factsheet verzoeken