Zorg ervoor dat de organisatie goed voorbereid is op de nieuwe AVG (Algemene Verordening Gegevensbescherming) / GDPR wet voor 25 mei 2018. Europese privacytoezichthouders kunnen met ingang van de nieuwe wet stevige boetes uitdelen tot 20 miljoen euro of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.
Inhoudsopgave AVG
- Informatie over AVG / GDPR
- Stappenplan AVG / GPDR implementatie
- AVG / GDPR checklist voor websites en webshops
- Veelgestelde vragen over AVG
- AVG / GDPR downloads & bronnen
Informatie over AVG / GDPR
Per 25 mei 2018 treedt de nieuwe privacywet voor alle landen binnen de Europese Unie (EU) in werking. Dit artikel geeft inzicht in wat de grootste veranderingen zijn t.o.v. de oude Wet bescherming persoonsgegevens (Wbp). De Algemene verordening gegevensbescherming (AVG) is ook wel bekend onder de Engelse benaming: General Data Protection Regulation (GDPR). Op de website van autoriteit persoonsgegevens vind je uitgebreide informatie over AVG / GDPR.
Kort samengevat dienen bedrijven voor AVG inzicht te geven in:
- Klantgegevens
Zorg dat personeel op een juiste manier omgaat met de gegevens van (potentiële) klanten. - Personeelsgegevens
Zorg dat personeelsdossiers voldoen aan de nieuwe eisen. - Data, statistieken & overige persoonsgegevens
Als jouw bedrijf ook andere persoonsgegevens opslaat of beheert (zoals gegevens van leveranciers en relaties in CRM/Marketing/Sales systemen of databases van andere bedrijven) moet je voldoen aan deze regels.
AVG rechtsgronden
Voor het verwerken van persoonsgegevens dienen organisaties voor ieder soort gebruik van die gegevens een “grondslag” hebben. De persoonsgegevens mogen alleen worden gebruikt als één van de volgende rechtsgronden aanwezig is:
- Toestemming
De persoon dient transparant geïnformeerd te zijn en heeft toestemming gegeven voor het gebruik van zijn/haar gegevens - Overeenkomst
De gegevens zijn noodzakelijk voor het voorbereiden of uitvoeren van een overeenkomst met de betrokken persoon. - Wettelijke plicht
Bijvoorbeeld: een bevel van de politie om gegevens te verstrekken of jezelf te identificeren - Vitaal belang
De persoonsgegevens zijn nodig voor een “vitaal belang” van de betrokken persoon of derden – het gaat hier om een acute medische situatie waar niet vaak sprake van zal zijn. - Publieke taak of algemeen belang
Voorbeeld: cameratoezicht binnen de gemeente voor de openbare veiligheid. - Gerechtvaardigd belang
Rechtmatig belang, noodzakelijkheid en afweging van belangen spelen hierin een rol. Bijvoorbeeld het voeren van een personeelsadministratie.
Download hier de uitgebreide versie van de AVG rechtsgronden: De 6 grondslagen van de AVG
Belangrijke aandachtspunten AVG
- Toestemming
Informeer gebruikers / personen in duidelijke taal en vraag bij persoonlijke gegevens altijd om toestemming (bijvoorbeeld via een opt-in). Zorg daarnaast dat je kunt aantonen dat je persoonlijke gegevens van de persoon mag verwerken. - Transparantie
Schrijf voorwaarden niet in andere talen, zorg voor duidelijke uitschrijf mogelijkheden, geef gebruikers de mogelijkheid om persoonlijke gegevens in te zien, te wijzigen of te verwijderen. - Focus / relevantie
Focus alleen op gegevens welke relevant zijn. Laat natuurlijke personen niet onnodig veel extra velden invullen om een document te downloaden maar vraag alleen naam en email. Geboortedatum, telefoonnummer etc. zijn in dit geval niet relevant. - Beveiliging
Een goede beveiliging van de database, bestanden of overige tools is vereist. De organisatie welke de data verwerkt is verantwoordelijk voor de beveiliging en het verzenden van persoonlijke gegevens over een SSL encrypted verbinding.
Onder veelgestelde vragen over AVG vind je meer antwoorden en algemene informatie over AVG / GDPR.
AVG / GDPR checklist voor websites en webshops
Specifiek voor websites en webshops hebben wij een checklist gemaakt om door te nemen. Na het doorlopen en voldoen aan de voorwaarden van de checklist (met voorbeelden) is jouw website of webshop voor 99% AVG proof.
Wat kun je vinden in de AVG checklist?
- AVG algemeen
- Beveiliging & privacy
- Plugins
- Opt-ins & formulieren
- Verwerkers, tools & data verzamelaars
Ga naar onze downloadpagina voor de uitgebreide AVG website checklist:
Stappenplan AVG / GPDR implementatie
- Inventariseer
- Privacy by default (Beperk persoonsgegevens)
- Bewaar gegevens (niet langer dan nodig)
- Aanpassen privacy en cookie voorwaarden
- Sluit een verwerkers overeenkomst af
- Overzicht van verwerkingsactiviteiten
- Informeren en toestemming vragen
- Toestemming kunnen aantonen
- Recht op inzage, wijzigen, vergeten en dataportabiliteit
- Data beveiligingsbeleid
- Verplicht en informeer medewerkers tot geheimhouding
1. Inventariseer welke persoonlijke gegevens worden verzameld
Persoonsgegevens worden door veel organisaties binnen meerdere tools, applicaties, databases en bestanden opgeslagen. Voor 25 mei is het voor iedere organisatie verplicht om dit duidelijk in kaart te hebben voor controles.
Inventariseer de volgende punten:
- Is een Functionaris Gegevensbescherming nodig?
- Welke tools en applicaties slaan persoonsgegevens op?
- Welke persoonsgegevens worden opgeslagen?
Is een Functionaris Gegevensbescherming nodig?
Een FG, ook wel Functionaris Gegevensbescherming of Privacy Officer genoemd, is niet voor iedere organisatie verplicht.
Een Functionaris Gegevensbescherming, ook wel “FG” genoemd, is de persoon die is aangewezen om intern toezicht te houden op het verwerken van de persoonsgegevens door een organisatie. De FG neemt een groot deel van het toezicht binnen de organisatie over van de nationale toezichthouder, de Autoriteit Persoonsgegevens (AP).
Wanneer is het verplicht om een FG te benoemen?
Met de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), komt voor sommige organisaties een verplichting om een functionaris gegevensbescherming te benoemen. Dit staat in artikel 37 van de AVG.
Die verplichting geldt voor zowel “verantwoordelijken” als voor “verwerkers”. In de volgende gevallen is er op grond van de AVG een verplichting om een FG te benoemen:
- Overheidsinstanties en overheidsorganen zijn verplicht een FG te benoemen (behalve gerechtelijke organisaties bij de uitoefening van hun gerechtelijke taken);
- Als de kernactiviteiten draaien om het gebruik van “bijzondere persoonsgegevens” op grote schaal, denk hierbij bijvoorbeeld aan ziekenhuizen of bedrijven die medische onderzoeken uitvoeren;
- Als de kernactiviteiten draaien om het gebruik van persoonsgegevens die door de aard van dat gebruik, de omvang daarvan en/of de doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokken personen eisen.
Hieronder vallen bijvoorbeeld:
- Het tracken en opbouwen van profielen van mensen via het internet;
- Het opbouwen van profielen en scores, bijvoorbeeld voor kredietchecks, het aangaan van verzekeringen of voorkoming van fraude;
- Locatiegegevens bijhouden;
- Behavioral advertising;
- Het bijhouden van gegevens via draagbare apparaten.
Verder zal voor Nederland nog kunnen worden bepaald dat een FG verplicht is voor bepaalde verenigingen of andere organen die verantwoordelijken of bewerkers vertegenwoordigen (artikel 37 lid 4 AVG). Op het moment van schrijven is dit nog niet bekend voor Nederland.
In dezelfde categorie valt een DPIA (Data Protection Impact Assesment). Op de website van Autoriteit Persoonsgegevens kun je meer informatie vinden over een DPIA.
Welke tools en applicaties slaan persoonsgegevens op?
Probeer vervolgens te achterhalen welke tools, applicaties, databases en bestanden de organisatie gebruikt om(persoons)gegevens op te slaan. Om dit wat eenvoudiger te maken kun je het beste uitzoeken welke applicaties door de organisatie gebruikt worden om de dagelijkse business in goede banen te leiden.
- CRM & projectmanagement
- Boekhouding & statistiek
- Hosting & website
- Opslag bestanden
- Marketing
- Personeelsgegevens (loonverwerking, archief)
- Beveiliging, accounts & wachtwoorden
Welke persoonsgegevens worden opgeslagen?
Breng daarna in kaart welke persoonsgegevens door de organisatie binnen gebruikte tools, applicaties, databases en bestanden per item worden verwerkt.
Wat wordt verstaan onder persoonsgegevens?
“Alle informatie over een geïdentificeerde of identificeerbaar natuurlijk persoon.”
Het gaat bij persoonsgegevens altijd om gegevens van een natuurlijk persoon. Dit houdt in dat de gegevens van overleden personen of organisaties geen persoonsgegevens zijn.
Voorbeelden van persoonsgegevens:
- NAW-gegevens (naam, adres en woonplaats)
- Telefoonnummers
- Postcode en huisnummer
- Geboortedatum
- E-mailadres
- Pasfoto’s en paspoort kopieën (indien bijzondere gegevens zijn afgeschermd)
- Vingerafdrukken
- IP-adressen
- Etc.
Er wordt onderscheid gemaakt tussen gewone en bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens welke gevoelig zijn voor voor privacy bij verwerking van deze gegevens. Dergelijke gegevens mogen alleen onder zeer strenge voorwaarden worden verwerkt.
Voorbeelden van bijzondere persoonsgegevens:
- Gezondheid en medisch dossier
- Godsdienst
- Ras
- Politieke voorkeur
- Strafrechtelijke verleden
- BSN (burger service nummer)
- etc.
Bijzondere persoonsgegevens mogen door organisaties alleen worden verwerkt wanneer de betreffende organisaties een uitzondering op de wet kunnen aantonen. Zo mogen instellingen binnen de gezondheidszorg alleen medische informatie verwerken en geen politieke voorkeur of godsdienst achtergrond. Op de website van Autoriteit Persoonsgegevens vind je meer informatie over allerlei soorten persoonsgegevens en de regels met betrekking tot verzamelen, bewaren, verstrekken en beveiligen.
- Welke persoonsgegevens je verzamelt.
- Hoe je ze verzamelt.
- Waarom je de gegevens verzamelt.
- Tot wanneer je de gegevens bewaart en waarom.
- Met wie je de gegevens deelt.
*Ook personeelsgegevens zijn persoonsgegevens
CASE VOORBEELD: webshop
Jij dient dan in kaart te brengen:
- Welke klantgegevens worden opgeslagen (NAW-gegevens)
- Hoe deze worden verzameld (via encrypted webshopformulieren)
- Waarom deze gegevens worden verzameld (voor de facturering en bezorging)
- Tot wanneer je deze gegevens bewaart (7 jaar vanwege bewaarplicht)
- Met wie deze gegevens worden gedeeld (WooCommerce, Hosting, Dropbox, Exact Online en de boekhouder)
2. Privacy by default
Privacy by default is in principe onderdeel van privacy by design. Privacy by default vereist dat de standaardinstellingen altijd zo privacy-vriendelijk mogelijk zijn en de persoon de instellingen eenvoudig zou kunnen wijzigen.
Dus wel:
- Naam, Adres en Woonplaats vragen voor bestellingen
- Factuuradres en bij B2B een bedrijfsnaam vragen
Maar niet:
- Telefoonnumers vragen voor een nieuwsbrief inschrijving
- Functie vragen voor downloaden whitepapers
- Geboortedatum vragen voor bestellen van een bloemboeket
Voorbeeld Social Media
In de nieuwe wet mogen persoonsgegevens nooit standaard openbaar zichtbaar zijn. Neem bijvoorbeeld een Facebook of Instagram profiel. Dit mag wel openbaar zijn, maar slechts als een gebruiker daar eerst zélf actief voor kiest. De social media toepassing zal in de standaardinstellingen de gebruikersprofielen zoveel mogelijk moeten afschermen om gebruikers bewust de keuze te laten maken.
Dit principe van het afschermen van persoonsgegevens geldt voor alle ICT-toepassingen: van browser-instellingen tot een bedrijfs-app.
Voorbeeld van nieuwsbrieven
Tegenwoordig vereist de Telecommunicatiewet dat sprake is van een ‘opt-in’ voor nieuwsbrieven; je moet je actief voor een nieuwsbrief aanmelden en deze mag dus niet standaard aangevinkt staan. Zo is het ook met privacy: deze moet standaard zo hoog mogelijk zijn en je moet mensen actief laten kiezen voor het breder laten delen van hun gegevens.
3. Bewaar gegevens niet langer dan nodig
Als personen toestemming hebben gegeven voor het verwerken van hun gegevens, wil dit niet zeggen dat de gegevens voor onbepaalde tijd opgeslagen mogen worden. In principe mogen persoonsgegevens niet langer verzameld worden dan noodzakelijk. Voor de belastingdienst dienen gegevens bijvoorbeeld tot 7 jaar terug te vinden zijn in het (digitaal)archief. Bewaar gegevens van leads bijvoorbeeld niet langer dan 2 tot 3 jaar. Na een bepaalde tijd heeft een potentiële klant waarschijnlijk een keuze gemaakt voor een ander bedrijf.
Stel jezelf de volgende vragen:
- Wat is de termijn van bewaring?
- Hoe ga je de gegevens automatisch verwijderen?
- Hoe verwijder je deze gegevens bij andere partijen indien de gegevens gedeeld worden met derden?
- Hoe worden gegevens uit backups verwijderd?
4. Pas de privacy en cookie voorwaarden aan
Zie voorbeelden van uitgebreide cookie voorwaarden en privacyverklaringen.
Functionele cookies (toegestaan)
Tracking cookies (beperkt toegestaan)
*Let op: communiceer helder en transparant en geef websitebezoekers altijd de mogelijkheid om toestemming te verlenen en data in te kunnen. Cookie walls zijn per 25 mei verboden.
5. Sluit een verwerkers overeenkomst af
Als je (persoons)gegevens deelt met derden dan dient de organisatie verwerkersovereenkomsten af te sluiten. Zoals in het eerste punt aangegeven vindt verwerking van (persoons)gegevens veelal plaats binnen systemen en applicaties welke door de organisatie worden gebruikt.
- CRM & projectmanagement
- Boekhouding & statistiek
- Hosting & website
- Opslag bestanden
- Marketing
- Personeelsdossiers & administratie (boekhouder)
Zorg dat je duidelijk in kaart brengt welke persoonsgegevens gedeeld mogen worden en sluit een verwerkersovereenkomst (voorbeeld: Verwerkersovereenkomst door Privacy Company) af met deze partijen.
Wat vind je terug in een verwerkersovereenkomst?
- Welke persoonsgegevens worden verwerkt
- Een geheimhoudingsplicht
- Uitbesteden aan subverwerkers mag alleen met jouw toestemming
- Medewerking aan eventuele audits
- Na werkzaamheden of verjaring worden persoonsgegevens weer verwijderd
- Welke beveiligingsmaatregelen getroffen worden
- Een verwerker mag persoonsgegevens niet voor andere doeleinden gebruiken
- Etc.
6. Overzicht van verwerkingsactiviteiten
Als een controlerende medewerker van de Autoriteit Persoonsgegevens vraagt om een inzicht in de persoonsgegevens welke de organisatie verwerkt, moet dit duidelijk in een gestructureerd overzicht aangeleverd worden. Dit overzicht biedt inzicht in welke gegevens gedeeld worden, hoe, waarom, tot wanneer en met wie.
- Contactpersoon organisatie
- Contactpersonen organisaties waarmee gegevens gedeeld worden
- Doelen voor verwerking persoonsgegevens
- Beschrijving van type persoonsgegevens
- Wanneer worden gegevens verwijderd (indien bekend)
- Type bedrijven waar persoonsgegevens aan verstrekt worden
- Beveiliging voor verwerking persoonsgegevens
- Persoonsgegevens die gedeeld worden met landen buiten de EU
7. Informeren en toestemming vragen
Zoals eerder aangegeven is voor het verwerken van persoonsgegevens vanaf 25 mei toestemming vereist van de gebruiker. Er dient door de toestemming vrager dan ook expliciet om toestemming gevraagd te worden. Indien op jouw website persoonsgegevens verwerkt worden in trackingscripts, contact of order formulieren, dien je toestemming te vragen aan de gebruiker. De organisatie is verantwoordelijk voor een transparante leesbare toelichting bij alle persoonsgegevens die verwerkt worden van de gebruiker.
8. Toestemming kunnen aantonen
Stuurt de organisatie momenteel nieuwsbrieven of marketing emails? Vraag (nogmaals) om toestemming aan de huidige klantendatabase indien dit nog niet is opgeslagen per gebruiker. Zorg dat in de database of een ander bestand is terug te vinden hoe en wanneer je toestemming hebt gekregen. Leg dit vast in een CRM-systeem.
Let op: laat ook zien hoe je toestemming hebt gevraagd door middel van een screenshot.
9. Zorg voor recht op inzage, wijzigen, vergeten en dataportabiliteit
Recht van inzage, wijzigen en vergeten was in de Wbp wet ook al van toepassing. Echter wisten veel gebruikers niet dat zij toestemming hebben om eigen persoonsgegevens in te zien, te wijzigen en/of te verwijderen. Als organisatie dien je inzicht te geven in alle persoonsgegevens welke verwerkt worden van een gebruiker. Hierbij een overzicht van de verschillende rechten.
De huidige wetgeving geeft personen:
- het recht op inzage in hun gegevens (in de praktijk inclusief het recht op een kopie van de gegevens);
- het recht om onjuiste gegevens te laten corrigeren;
- het recht om onvolledige gegevens aan te laten vullen;
- onder voorwaarden: het recht om gegevens te laten verwijderen;
- onder voorwaarden: het recht om gegevens te laten beperken;
- het recht om eenmaal gegeven toestemming weer in te trekken;
- onder voorwaarden: het recht om bezwaar te maken, waaronder bezwaar tegen direct marketing.
Per 25 mei zal het niet direct storm lopen bij organisaties met inzicht aanvragen. Bereid de organisatie wel zo goed mogelijk voor, zodat het niet te veel tijd gaat kosten indien inzicht aanvragen binnenkomen.
Daarnaast is dataportabiliteit nog een mooie toevoeging binnen de nieuwe wetgeving. Stel je voor je gaat met jouw telefoon abonnement van KPN naar Vodafone of met je huidige televisie abonnement van Ziggo naar KPN. Dan biedt dataportabiliteit jouw de mogelijkheid als eindgebruiker voor een soepele overgang van het ene naar het andere bedrijf. Zodoende kan de overgang versneld worden en persoonsgegevens bij de ex-verwerker (indien mogelijk) na de bewaartermijn verwijderd worden.
Je leest hier meer over in de Factsheet verzoeken.
10. Zorg dat data goed beveiligd is
Helaas komt het nog vaak voor dat website, webshops en andere applicaties van bijvoorbeeld bedrijven of overheden worden gehackt.
In de AVG website checklist vind je meer beveiliging en privacy tips:
Meldplicht bij datalekken en Algemene verordening gegevensbescherming (AVG)
Onder de AVG worden de eisen strenger. Samengevat geldt het volgende:
- Als een verwerkingsverantwoordelijke zich bewust is geworden van een datalek moet hij dit meteen, waar mogelijk binnen 72 uur, melden aan de Autoriteit Persoonsgegevens. Lukt dat niet, dan zal een verklaring gegeven moeten worden voor de vertraging. De meldplicht is niet van toepassing als het onwaarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (artikel 33 AVG).
- Betrokkene moet ook worden geïnformeerd over de inbreuk, wanneer het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor zijn rechten en vrijheden zodat hij eventueel voorzorgsmaatregelen kan treffen. Zowel de aard van de inbreuk als aanbevelingen hoe hij mogelijke negatieve gevolgen kan beperken, moeten hem gemeld worden (artikel 34 AVG).
- Een melding aan betrokkene is niet nodig wanneer er maatregelen conform de AVG zijn getroffen en deze zijn toegepast op de betreffende persoonsgegevens. De gegevens zijn bijvoorbeeld gepseudonimiseerd, zodat degene die de gegevens in handen krijgt niet kan achterhalen welke personen de gegevens betreffen. Een melding kan eveneens achterwege gelaten worden als achteraf maatregelen zijn genomen door de verwerkingsverantwoordelijke om te zorgen dat de hoge risico’s voor de rechten en vrijheden van betrokkene zich waarschijnlijk niet meer voor zullen doen of de mededeling onevenredige inspanning vergt. In het laatste geval moeten betrokkenen op een andere, even doeltreffende manier, worden geïnformeerd, bijvoorbeeld door een openbare mededeling (artikel 34 AVG).
- In de AVG is vastgelegd wat in de melding aan de Autoriteit Persoonsgegevens en aan eventuele betrokkenen in ieder geval omschreven moet worden. Het zou kunnen zijn dat niet alle informatie gelijktijdig verstrekt kan worden. In dat geval is het mogelijk de informatie in stappen te verstrekken (artikel 33 AVG).
- Een verwerkingsverantwoordelijke is ook onder de AVG verplicht alle inbreuken te documenteren, met inbegrip van de feiten omtrent de inbreuk, de gevolgen en de genomen corrigerende maatregelen (artikel 33, vijfde lid AVG). Hierdoor is de Autoriteit Persoonsgegevens in staat naleving van de AVG te controleren.
Boetes
Onder de Wbp kan de Autoriteit Persoonsgegevens boetes tot en met € 820.000,- opleggen indien niet wordt voldaan aan de meldplicht datalekken. Dit bedrag wordt onder de AVG een stuk hoger. Boetes kunnen dan namelijk oplopen tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet per overtreding.
11. Verplicht en informeer medewerkers tot geheimhouding
Verplicht de eigen medewerkers die met persoonsgegevens werken tot geheimhouding daarvan en het alleen verwerken van persoonsgegevens in het kader van hun werkzaamheden.
Alle medewerkers dienen op de hoogte zijn en de organisatie stelt indien nodig binnen het personeel een “verantwoordelijke” aan als aanspreekpunt.
AVG / GDPR checklist voor websites en webshops
Wat kun je vinden in de AVG checklist?
- AVG algemeen
- Beveiliging & privacy
- Plugins
- Opt-ins & formulieren
- Verwerkers, tools & data verzamelaars
Ga naar onze downloadpagina voor de uitgebreide AVG website checklist:
Vragen over AVG / GDPR
Wat is AVG en waarom is het belangrijk?
De Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywet die op 25 mei 2018 de huidige Wet Bescherming Persoonsgegevens (WBP) vervangt. In het Engels beter bekend als General Data Protection Regulation (GDPR). De AVG is in vergelijking met de WBP een stuk strenger voor organisaties. Ook zijn de boetes hoger. Die kunnen oplopen tot 20 miljoen of 4% van de omzet.
De nieuwe wet is onmogelijk in een paar zinnen samen te vatten. Dit zijn de belangrijkste veranderingen:
- Wees transparant waarom u (persoons)gegevens vastlegt
- Burgers dienen actief en ondubbelzinnig toestemming te geven voor de vastlegging
- Burgers hebben de mogelijkheid tot inzage, wijzigen, overdragen en verwijderen (zie ydenti.nl)
- Alle persoonsgegevens dienen met toestemming vastgelegd te zijn
- Organisaties mogen alleen gegevens vastleggen en bewaren die actief nodig zijn
- De informatiebeveiliging moet up-to-date zijn én blijven
- Actieve interne communicatie (met personeel) over de omgang met persoonsgegevens is van belang
- Wanneer externe partijen persoonsgegevens verwerken waar u verantwoordelijk voor bent moet dat worden vastgelegd in een verwerkersovereenkomst
Download de PDF met volledige uitleg over AVG.
Posted in: Vragen over AVG / GDPR
Wat betekent de AVG (GPDR) voor onze privacy?
Door de algemene verordening gegevensbescherming (AVG) krijgen personen(zoals jij en ik) meer recht op de verwerking van hun persoonsgegevens. De privacyrechten worden namelijk versterkt en uitgebreid.
Toestemming
In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken.
Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven. Nieuwe privacyrechten Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten.
Recht van vergeten
Personen hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Daarnaast kunnen zij eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.
Recht op dataportabiliteit
Jij als persoon hebt straks (onder bepaalde voorwaarden) het recht om van de organisatie de persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit. Zo kun jij je gegevens eenvoudig overhevelen naar een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als jij jezelf wilt uitschrijven bij het ene sociale netwerksite en inschrijven bij een andere. Jij kunt zelfs eisen dat de organisatie persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, indien technisch mogelijk.
Posted in: Vragen over AVG / GDPR
Wat is “privacy by design”?
Als je Privacy by design letterlijk vertaald staat er gegevensbescherming door ontwerp. Privacy by design is bedoeld om in het voorstadium zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegegevens af te dwingen. Bij ontwikkeling van een product of dienst moet er nagedacht zijn over het veilig verwerken van persoonsgegevens. Bij ICT-producten en -diensten is het van belang dat in het ontwikkelproces gebruik gemaakt wordt van privacy-verhogende maatregelen. Dit wordt ook wel privacy enchaning technologies genoemd.
Daarnaast houdt u rekening met dataminimalisatie: u verwerkt zo min mogelijk persoonsgegevens, dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking. Verschillende aspecten zijn hierbij van belang. Stel jezelf de vraag of het voor het product of de dienst echt nodig is om persoonsgegevens te verwerken of dat het ook mogelijk is om met volledig anonieme gegevens te werken. Als toch blijkt dat er met persoonsgegevens gewerkt moet gaan worden dan is het belangrijk om een passende oplossing aan te meten voor de beveiliging van deze gegevens. Voorbeelden zijn pseudonimiseren, encryptie of aan de hand van acces control.
Ook dient rekening gehouden te worden met bewaartermijnen en het kunnen opvolgen van verzoeken van betrokkenen in het kader van hun rechten. Deze verzoeken moeten ten alle tijden volledig te worden gehonoreerd.
Posted in: Vragen over AVG / GDPR
Wat is “privacy by default”?
Privacy by default is in principe onderdeel van privacy by design. Privacy by default vereist dat de standaardinstellingen altijd zo privacy-vriendelijk mogelijk zijn en de persoon de instellingen eenvoudig zou kunnen wijzigen.
Voorbeeld
In de nieuwe wet mogen persoonsgegevens nooit standaard openbaar zichtbaar zijn. Neem bijvoorbeeld een Facebook of Instagram profiel. Dit mag wel openbaar zijn, maar slechts als een gebruiker daar eerst zélf actief voor kiest. De social media-toepassing zal in de standaardinstellingen de gebruikersprofielen zoveel mogelijk moeten afschermen om gebruikers bewust de keuze te laten maken.
Dit principe van het afschermen van persoonsgegevens geldt voor alle ICT-toepassingen: van browser-instellingen tot een bedrijfs-app.
Voorbeeld van nieuwsbrieven
Tegenwoordig vereist de Telecommunicatiewet dat sprake is van een ‘opt-in’ voor nieuwsbrieven; je moet je actief voor een nieuwsbrief aanmelden en deze mag dus niet standaard aangevinkt staan. Zo is het ook met privacy: deze moet standaard zo hoog mogelijk zijn en je moet mensen actief laten kiezen voor het breder laten delen van hun gegevens.
Posted in: Vragen over AVG / GDPR
Wat wordt onder persoonsgegevens verstaan?
Een “persoonsgegeven” is ieder soort informatie over een persoon waardoor deze te identificeren of te herleiden is. Het gaat bij persoonsgegevens altijd om gegevens van een natuurlijk persoon. Dit houdt in dat de gegevens van overleden personen of organisaties geen persoonsgegevens zijn.
Voorbeelden van persoonsgegevens:
- NAW-gegevens (naam, adres en woonplaats)
- Telefoonnummers
- Postcode en huisnummer
- Geboortedatum
- E-mailadres
- Pasfoto’s en paspoort kopieën (indien bijzondere gegevens zijn afgeschermd)
- Vingerafdrukken
- IP-adressen
- etc.
Hier een voorbeeld van welke persoonsgegevens een organisatie als Facebook voor ieder profiel opslaat.
Posted in: Vragen over AVG / GDPR
Wat zijn bijzondere persoonsgegevens?
Er wordt onderscheid gemaakt tussen bijzondere en gewone persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens welke gevoelig zijn voor voor privacy bij verwerking van deze gegevens. Dergelijke gegevens mogen alleen onder zeer strenge voorwaarden worden verwerkt.
Voorbeelden van bijzondere persoonsgegevens:
- Gezondheid en medisch dossier
- Godsdienst
- Ras
- Politieke voorkeur
- Strafrechtelijke verleden
- BSN (burger service nummer)
- etc.
Bijzondere persoonsgegevens mogen door organisaties alleen verwerkt worden wanneer de betreffende organisaties een uitzondering op de wet kunnen aantonen. Zo mogen instellingen binnen de gezondheidszorg alleen medische informatie verwerken en geen politieke voorkeur of godsdienst achtergrond. Op de website van Autoriteit Persoonsgegevens vind je meer informatie over allerlei soorten persoonsgegevens en de regels met betrekking tot verzamelen, bewaren, verstrekken en beveiligen.
Posted in: Vragen over AVG / GDPR
Wat is een privacy officer / functionaris gegevensbescherming?
Een Functionaris Gegevensbescherming, ook wel “FG” genoemd, is de persoon die is aangewezen om intern toezicht te houden op het verwerken van de persoonsgegevens door een organisatie. De FG neemt een groot deel van het toezicht binnen de organisatie over van de nationale toezichthouder, de Autoriteit Persoonsgegevens (AP).
Wanneer is het verplicht om een FG te benoemen?
Met de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG) komt voor sommige organisaties een verplichting om een functionaris gegevensbescherming te benoemen. Dit staat in artikel 37 van de AVG.
Die verplichting geldt voor zowel “verantwoordelijken” als voor “verwerkers”. In de volgende gevallen is er op grond van de AVG een verplichting om een FG te benoemen:
- Overheidsinstanties en overheidsorganen zijn verplicht een FG te benoemen (behalve gerechtelijke organisaties bij de uitoefening van hun gerechtelijke taken);
- Als de kernactiviteiten draaien om het gebruik van “bijzondere persoonsgegevens” op grote schaal, denk hierbij bijvoorbeeld aan ziekenhuizen of bedrijven die medische onderzoeken uitvoeren;
- Als de kernactiviteiten draaien om het gebruik van persoonsgegevens dat door de aard van dat gebruik, de omvang daarvan en/of de doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokken personen eisen.
Hieronder vallen bijvoorbeeld:
- het tracken en opbouwen van profielen van mensen via het internet;
- het opbouwen van profielen en scores, bijvoorbeeld voor kredietchecks, het aangaan van verzekeringen of voorkoming van fraude;
- locatiegegevens bijhouden;
- behavioral advertising;
- het bijhouden van gegevens via draagbare apparaten.
Verder zal voor Nederland nog kunnen worden bepaald dat een FG verplicht is voor bepaalde verenigingen of andere organen die verantwoordelijken of bewerkers vertegenwoordigen (artikel 37 lid 4 AVG). Op het moment van schrijven, is dit nog niet bekend voor Nederland.
Posted in: Vragen over AVG / GDPR
Wat is een verwerkersovereenkomst?
Download het voorbeeld van een verwerkersovereenkomst.
Een verwerkersovereenkomst is een contract ondertekend door twee partijen welke (persoonlijke)data delen:
Hierbij heb je:
- De verantwoordelijke: De organisatie die verantwoordelijk wordt gehouden voor wat er met de persoonsgegevens gebeurt.
- De verwerker: De verwerker is de ‘derde partij’ die een deel van deze gegevens of de gehele verwerking uit handen neemt van de verantwoordelijke organisatie.
Is een verwerkersovereenkomst altijd verplicht?
Een verwerkersovereenkomst is alleen van toepassing wanneer de verantwoordelijke persoonsgegevens bij een externe partij, de verwerker, laat verwerken. Is dat het geval, dan moet deze externe partij een door de verantwoordelijke partij opgestelde verwerkersovereenkomst ondertekenen. (Niet andersom, zie punt ‘Mijn verwerker heeft een verwerkersovereenkomst opgesteld. Kan dat?’)
Wat moet een verwerkersovereenkomst bevatten?
De verwerkersovereenkomst bevat vaak de volgende punten:
Het doel van de verwerking en waarvoor de gegevens gebruikt worden
Hoe worden de (persoons)gegevens verwerkt
De verantwoordelijke partij (dus niet de verwerkende partij) moet duidelijk formuleren op welke manier de verwerking moet plaatsvinden. Op die manier wordt voorkomen dat een externe partij de persoonsgegevens op een manier gaat verwerken die niet met de betrokkenen is afgesproken.
Geheimhoudingsverklaring
De verwerker moet de gevoelige data die zij onder ogen krijgt uiteraard geheimhouden. De verwerkersovereenkomst bevat daarom doorgaans een geheimhoudingsverklaring. Daarmee verklaart de verwerkende partij de gegevens niet openbaar te maken of aan anderen te verstrekken.
Afspraken over eventuele onderaannemers
Soms komt het voor dat een externe verwerker een deel van de activiteiten weer uitbesteed aan een andere partij. Is dat het geval, dan moeten ook daar duidelijke afspraken over worden gemaakt.
Securitymaatregelen
De verantwoordelijke partij spreekt met de verwerkende partij af welke beveiligingsmaatregelen de laatstgenoemde maakt. Zo verzekert de verantwoordelijke paritj zich ervan dat de persoonsgegevens niet door nalatigheid op het gebied van security in verkeerde handen terechtkomen.
Duur van de verwerking
De verwerkersovereenkomst moet duidelijkheid verschaffen over de duur van de verwerking. Met andere woorden: wanneer is de verwerking niet meer nodig en moet de externe partij hiermee stoppen en de persoonsgegevens wissen?
Ik heb geen verwerkersovereenkomst afgesloten, maar laat wel persoonsgegevens verwerken door een derde partij. Wat zijn de consequenties? Zonder verwerkersovereenkomst heeft u geen grip op de manier waarop een externe partij data verwerkt waarvoor u verantwoordelijk bent. U bent hiermee mogelijk in overtreding met de privacywetgeving. Het is verstandig alsnog een verwerkersovereenkomst op te stellen.
Posted in: Vragen over AVG / GDPR
Wat is DPIA (data protection impact assessment)?
Per 25 mei 2018 kunnen organisaties verplicht worden een Data Protection Impact Assessment (DPIA) uit te voeren. Dit instrument bepaalt vooraf de privacyrisico’s en brengt de gegevensverwerking in kaart. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen.
Welke type organisaties verplicht zijn om een DPIA uit te voeren:
- systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
- op grote schaal bijzondere persoonsgegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Lees meer over DPIA op Autoriteit Persoonsgegevens.
Posted in: Vragen over AVG / GDPR
Wat zijn de belangrijkste AVG verplichtingen?
Rechtmatigheid van gebruik en transparantie
Organisaties moeten gegevens verwerken op een wijze die rechtmatig, volgens de standaarden en transparant is.
Doelbinding
Organizations may process data only for the purpose for which it was collected and communicated to a data subject.
Minimale gegevensverwerking
Bij de verwerking moeten niet meer gegevens worden verzameld dan strikt nodig voor de genoemde doeleinden.
Juistheid
Verzamelde gegevens moeten juist blijven zolang ze onder het beheer van de verwerkingsverantwoordelijke vallen en onjuiste gegevens moeten worden verwijderd of gecorrigeerd.
Opslagbeperking
Organisaties moeten gegevens niet langer dan noodzakelijk bewaren.
Integriteit en vertrouwelijkheid
Gegevens moeten op een dusdanige manier worden verwerkt dat een passende beveiliging ervan door technische of organisatorische maatregelen gewaarborgd is, en dat zij beschermd zijn tegen ongeoorloofde of onopzettelijk openbaarmaking of aantasting.
Verantwoordingsplicht
De verwerkingsverantwoordelijke blijft primair verantwoordelijk voor de voldoening aan deze beginselen, ook wanneer ze zijn gedelegeerd aan een verwerker.
Posted in: Vragen over AVG / GDPR
Is een dubbele opt-in verplicht?
Een dubbele opt-in is niet verplicht, maar kan zeker handig zijn om vals opgegeven e-mailadressen te tackelen. Echter is het wel verplicht om bij opt-ins aan de volgende voorwaarden te voldoen:
- In de AVG wet staat dat de e-mail opt-in een duidelijke en bevestigende actie moet zijn
- De e-mail opt-in heeft duidelijke algemene voorwaarden en het mag geen voorwaarde zijn
- E-mail opt-in checkboxes staan NIET automatisch aangevinkt
- Je hebt gescheiden e-mail opt-in’s nodig als je de data op verschillende manieren verwerkt. Bijvoorbeeld als er na het inschrijven voor een nieuwsbrief de data wordt doorgestuurd naar een derde partij
- Als partij dien je aan te tonen dat er toestemming gegeven is om de gegevens te mogen gebruiken
- Europese burgers hebben het recht om de e-mail opt-in in te trekken. Zo dient een eenvoudige uitschrijflink aanwezig te zijn
Posted in: Vragen over AVG / GDPR
Kan ik Google Analytics nog ongestraft gebruiken?
Sinds de komst van de cookiewet, enkele jaren geleden, is er veel verwarring over of je nu wél of niet toestemming hoeft te vragen voor het plaatsen van cookies. Verwarring alom, mede in de hand gespeeld door de overheid die nogal vaag was over het grijze gebied van tracking cookies, de wet versoepelde en vervolgens nog een keer bijstelde. Per 25 mei 2018 komt er een duidelijke richtlijn voor wat betreft tracking cookies (zoals van Analytics).
Als je geen…
- advertentiefuncties
- ip-adressen verzamelt
- of gegevens deelt met derden
…dan kun je Google Analytics ongestraft gebruiken om je website te optimaliseren. Echter zijn er nog wel een paar voorwaarden waar aan voldaan moet worden. Google Analytics schakelt namelijk niet vanzelf het bovenstaande uit.
- Sluit een vewerkersovereenkomst af met Google
Google analytics → Beheerder → Accountinstellingen → onderaan accepteren - Zorg dat je geen gegevens met Google deelt
Onder Accountinstellingen de vinkjes uitschakelen onder “instellingen voor gegevens delen” - Zet gegevensverzameling voor advertentiefuncties uit
Beheerder → Property → Trackinginfo → Gegevensverzameling → Zet Remarketing en Rapportagefuncties uit → Opslaan - Zorg dat IP-adressen anoniem verzameld worden
Bij gebruik Analytics code voeg je , { ‘anonymize_ip’: true } achter de tweede UA-code
Via Beheerder → Property → Trackinginfo → Trackingcode zie je de huidige analytics code<!-- Global Site Tag (gtag.js) - Google Analytics --> <script async src="https://www.googletagmanager.com/gtag/js?id=GA_TRACKING_ID"></script> <script> window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments)}; gtag('js', new Date()); gtag('config', 'UA-xxxxxxxx-x', { 'anonymize_ip': true }); </script>
Bij gebruik van de Google Tagmanager werkt het anders.
- Informeer bezoekers dat je tracking cookies plaatst
In de privacy verklaring op de website moet duidelijk staan vermeld welke gegevens worden verzamelt en met welke partijen deze gegevens worden gedeeld:
– dat een bewerkersovereenkomst met Google is afgesloten
– dat in geen geval gegevens gedeeld worden met Google dat de gegevens anoniem worden verwerkt
– dat je de verzamelde gegevens niet gebruikt voor advertentiedoeleinden, zoals retargeting via social media of het Google Display Network
– welke Analytics cookies geplaatst worden, met welk doel en wanneer deze verwijderd worden
*Wil je wel gebruik maken van Retargeting of andere marketing functies van Google Analytics dan zul je bezoekers expliciet toestemming moeten vragen.
Posted in: Vragen over AVG / GDPR
Heb ik een meldplicht bij datalekken?
Jazeker! Alle organisaties en personen hebben meldplicht bij datalekken als het om persoonsgegevens gaat. Er wordt gesproken over een datalek als inbreuk op privacy van personen plaatsvind. Bijvoorbeeld door onbedoeld toegang te bieden tot persoonsgegevens of als sprake is van hacken, vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie. Om het incident te kunnen kwalificeren als een datalek, moet het beveilingingsincident geconstateerd kunnen worden. Voorbeelden zijn: inbraak in een databestand (hacken), kwijtgeraakte usb-sticks, gestolen laptop, laptop die uit een auto is gestolen.
Datalekken en Algemene verordening gegevensbescherming (AVG)
Onder de AVG worden de eisen strenger. Samengevat geldt het volgende:
- Als een verwerkingsverantwoordelijke zich bewust is geworden van een datalek moet hij dit meteen, waar mogelijk binnen 72 uur, melden aan de Autoriteit Persoonsgegevens. Lukt dat niet, dan zal een verklaring gegeven moeten worden voor de vertraging. De meldplicht is niet van toepassing als het onwaarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (artikel 33 AVG).
- Betrokkene moet ook worden geïnformeerd over de inbreuk, wanneer het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor zijn rechten en vrijheden zodat hij eventueel voorzorgsmaatregelen kan treffen. Zowel de aard van de inbreuk als aanbevelingen over hoe hij mogelijke negatieve gevolgen kan beperken, moet hem gemeld worden (artikel 34 AVG).
- Een melding aan betrokkene is niet nodig wanneer er maatregelen conform de AVG zijn getroffen en deze zijn toegepast op de betreffende persoonsgegevens. De gegevens zijn bijvoorbeeld gepseudonimiseerd, zodat degene die de gegevens in handen krijgt niet kan achterhalen welke personen de gegevens betreffen. Een melding kan eveneens achterwege gelaten worden als achteraf maatregelen zijn genomen door de verwerkingsverantwoordelijke om te zorgen dat de hoge risico’s voor de rechten en vrijheden van betrokkene zich waarschijnlijk niet meer voor zullen doen of de mededeling onevenredige inspanning vergt. In het laatste geval moeten betrokkenen op een andere, even doeltreffende manier, worden geïnformeerd, bijvoorbeeld door een openbare mededeling (artikel 34 AVG).
- In de AVG is vastgelegd wat in de melding aan de Autoriteit Persoonsgegevens en aan eventuele betrokkenen in ieder geval omschreven moet worden. Het zou kunnen zijn dat niet alle informatie gelijktijdig verstrekt kan worden. In dat geval is het mogelijk de informatie in stappen te verstrekken (artikel 33 AVG).
- Een verwerkingsverantwoordelijke is ook onder de AVG verplicht alle inbreuken te documenteren, met inbegrip van de feiten omtrent de inbreuk, de gevolgen en de genomen corrigerende maatregelen (artikel 33, vijfde lid AVG). Hierdoor is de Autoriteit Persoonsgegevens in staat naleving van de AVG te controleren.
Boetes
Onder de Wbp kan de Autoriteit Persoonsgegevens boetes tot en met € 820.000,- opleggen indien niet wordt voldaan aan de meldplicht datalekken. Dit bedrag wordt onder de AVG een stuk hoger. Boetes kunnen dan namelijk oplopen tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet per overtreding.
Bron: Vijverberg Juristen
Posted in: Vragen over AVG / GDPR
AVG / GDPR downloads & bronnen
- Volledige uitleg AVG
- AVG in een notendop
- Voorbeeld verwerkersovereenkomst door Privacy Company
- AVG website/webshop checklist
- De 6 grondslagen van de AVG
- Factsheet bijzondere persoonsgegevens
- Factsheet Datalekken
- Factsheet Google Analytics
- Factsheet verwerkers
- Factsheet PIA
- Factsheet functionaris gegevensbescherming
- Factsheet verzoeken