Stappenplan AVG / GPDR voor websites en webshops

De Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywet die op 25 mei 2018 de huidige Wet Bescherming Persoonsgegevens (WBP) vervangt. In het Engels beter bekend als General Data Protection Regulation (GDPR). De AVG is in vergelijking met de WBP een stuk strenger voor organisaties. Ook zijn de boetes hoger. Die kunnen oplopen tot 20 miljoen of 4% van de omzet.

De nieuwe wet is onmogelijk in een paar zinnen samen te vatten. Dit zijn de belangrijkste veranderingen:

• Wees transparant waarom u (persoons)gegevens vastlegt
• Burgers dienen actief en ondubbelzinnig toestemming te geven voor de vastlegging
• Burgers hebben de mogelijkheid tot inzage, wijzigen, overdragen en verwijderen (zie ydenti.nl)
• Alle persoonsgegevens dienen met toestemming vastgelegd te zijn
• Organisaties mogen alleen gegevens vastleggen en bewaren die actief nodig zijn
• De informatiebeveiliging moet up-to-date zijn én blijven
• Actieve interne communicatie (met personeel) over de omgang met persoonsgegevens is van belang
• Wanneer externe partijen persoonsgegevens verwerken waar u verantwoordelijk voor bent moet dat worden vastgelegd in een verwerkersovereenkomst

Download de PDF met volledige uitleg over AVG.

Posted in: Vragen over AVG / GDPR

Door de algemene verordening gegevensbescherming (AVG) krijgen personen(zoals jij en ik) meer recht op de verwerking van hun persoonsgegevens. De privacyrechten worden namelijk versterkt en uitgebreid.

Toestemming
In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken.

Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven. Nieuwe privacyrechten Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten.

Recht van vergeten
Personen hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Daarnaast kunnen zij eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

Recht op dataportabiliteit
Jij als persoon hebt straks (onder bepaalde voorwaarden) het recht om van de organisatie de persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit. Zo kun jij je gegevens eenvoudig overhevelen naar een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als jij jezelf wilt uitschrijven bij het ene sociale netwerksite en inschrijven bij een andere. Jij kunt zelfs eisen dat de organisatie persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, indien technisch mogelijk.

Posted in: Vragen over AVG / GDPR

Als je Privacy by design letterlijk vertaald staat er gegevensbescherming door ontwerp. Privacy by design is bedoeld om in het voorstadium zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegegevens af te dwingen. Bij ontwikkeling van een product of dienst moet er nagedacht zijn over het veilig verwerken van persoonsgegevens. Bij ICT-producten en -diensten is het van belang dat in het ontwikkelproces gebruik gemaakt wordt van privacy-verhogende maatregelen. Dit wordt ook wel privacy enchaning technologies genoemd.

Daarnaast houdt u rekening met dataminimalisatie: u verwerkt zo min mogelijk persoonsgegevens, dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking. Verschillende aspecten zijn hierbij van belang. Stel jezelf de vraag of het voor het product of de dienst echt nodig is om persoonsgegevens te verwerken of dat het ook mogelijk is om met volledig anonieme gegevens te werken. Als toch blijkt dat er met persoonsgegevens gewerkt moet gaan worden dan is het belangrijk om een passende oplossing aan te meten voor de beveiliging van deze gegevens. Voorbeelden zijn pseudonimiseren, encryptie of aan de hand van acces control.

Ook dient rekening gehouden te worden met bewaartermijnen en het kunnen opvolgen van verzoeken van betrokkenen in het kader van hun rechten. Deze verzoeken moeten ten alle tijden volledig te worden gehonoreerd.

Posted in: Vragen over AVG / GDPR

Privacy by default is in principe onderdeel van privacy by design. Privacy by default vereist dat de standaardinstellingen altijd zo privacy-vriendelijk mogelijk zijn en de persoon de instellingen eenvoudig zou kunnen wijzigen.

Voorbeeld
In de nieuwe wet mogen persoonsgegevens nooit standaard openbaar zichtbaar zijn. Neem bijvoorbeeld een Facebook of Instagram profiel. Dit mag wel openbaar zijn, maar slechts als een gebruiker daar eerst zélf actief voor kiest. De social media-toepassing zal in de standaardinstellingen de gebruikersprofielen zoveel mogelijk moeten afschermen om gebruikers bewust de keuze te laten maken.

Dit principe van het afschermen van persoonsgegevens geldt voor alle ICT-toepassingen: van browser-instellingen tot een bedrijfs-app.

Voorbeeld van nieuwsbrieven
Tegenwoordig vereist de Telecommunicatiewet dat sprake is van een ‘opt-in’ voor nieuwsbrieven; je moet je actief voor een nieuwsbrief aanmelden en deze mag dus niet standaard aangevinkt staan. Zo is het ook met privacy: deze moet standaard zo hoog mogelijk zijn en je moet mensen actief laten kiezen voor het breder laten delen van hun gegevens.

Posted in: Vragen over AVG / GDPR

Een “persoonsgegeven” is ieder soort informatie over een persoon waardoor deze te identificeren of te herleiden is. Het gaat bij persoonsgegevens altijd om gegevens van een natuurlijk persoon. Dit houdt in dat de gegevens van overleden personen of organisaties geen persoonsgegevens zijn.

Voorbeelden van persoonsgegevens:

• NAW-gegevens (naam, adres en woonplaats)
• Telefoonnummers
• Postcode en huisnummer
• Geboortedatum
• E-mailadres
• Pasfoto’s en paspoort kopieën (indien bijzondere gegevens zijn afgeschermd)
• Vingerafdrukken
• IP-adressen
• etc.

Hier een voorbeeld van welke persoonsgegevens een organisatie als Facebook voor ieder profiel opslaat.

Posted in: Vragen over AVG / GDPR

Er wordt onderscheid gemaakt tussen bijzondere en gewone persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens welke gevoelig zijn voor voor privacy bij verwerking van deze gegevens. Dergelijke gegevens mogen alleen onder zeer strenge voorwaarden worden verwerkt.

Voorbeelden van bijzondere persoonsgegevens:

• Gezondheid en medisch dossier
• Godsdienst
• Ras
• Politieke voorkeur
• Strafrechtelijke verleden
• BSN (burger service nummer)
• etc.

Bijzondere persoonsgegevens mogen door organisaties alleen verwerkt worden wanneer de betreffende organisaties een uitzondering op de wet kunnen aantonen. Zo mogen instellingen binnen de gezondheidszorg alleen medische informatie verwerken en geen politieke voorkeur of godsdienst achtergrond. Op de website van Autoriteit Persoonsgegevens vind je meer informatie over allerlei soorten persoonsgegevens en de regels met betrekking tot verzamelen, bewaren, verstrekken en beveiligen.

Posted in: Vragen over AVG / GDPR

Een Functionaris Gegevensbescherming, ook wel “FG” genoemd, is de persoon die is aangewezen om intern toezicht te houden op het verwerken van de persoonsgegevens door een organisatie. De FG neemt een groot deel van het toezicht binnen de organisatie over van de nationale toezichthouder, de Autoriteit Persoonsgegevens (AP).

Wanneer is het verplicht om een FG te benoemen?

Met de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG) komt voor sommige organisaties een verplichting om een functionaris gegevensbescherming te benoemen. Dit staat in artikel 37 van de AVG.

Die verplichting geldt voor zowel “verantwoordelijken” als voor “verwerkers”. In de volgende gevallen is er op grond van de AVG een verplichting om een FG te benoemen:

• Overheidsinstanties en overheidsorganen zijn verplicht een FG te benoemen (behalve gerechtelijke organisaties bij de uitoefening van hun gerechtelijke taken);
• Als de kernactiviteiten draaien om het gebruik van “bijzondere persoonsgegevens” op grote schaal, denk hierbij bijvoorbeeld aan ziekenhuizen of bedrijven die medische onderzoeken uitvoeren;
• Als de kernactiviteiten draaien om het gebruik van persoonsgegevens dat door de aard van dat gebruik, de omvang daarvan en/of de doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokken personen eisen.

Hieronder vallen bijvoorbeeld:

1. het tracken en opbouwen van profielen van mensen via het internet;
2. het opbouwen van profielen en scores, bijvoorbeeld voor kredietchecks, het aangaan van verzekeringen of voorkoming van fraude;
3. locatiegegevens bijhouden;
4. behavioral advertising;
5. het bijhouden van gegevens via draagbare apparaten.

Verder zal voor Nederland nog kunnen worden bepaald dat een FG verplicht is voor bepaalde verenigingen of andere organen die verantwoordelijken of bewerkers vertegenwoordigen (artikel 37 lid 4 AVG). Op het moment van schrijven, is dit nog niet bekend voor Nederland.

Posted in: Vragen over AVG / GDPR

Download het voorbeeld van een verwerkersovereenkomst.

Een verwerkersovereenkomst is een contract ondertekend door twee partijen welke (persoonlijke)data delen:

Hierbij heb je:

1. De verantwoordelijke: De organisatie die verantwoordelijk wordt gehouden voor wat er met de persoonsgegevens gebeurt.
2. De verwerker: De verwerker is de ‘derde partij’ die een deel van deze gegevens of de gehele verwerking uit handen neemt van de verantwoordelijke organisatie.

Is een verwerkersovereenkomst altijd verplicht?

Een verwerkersovereenkomst is alleen van toepassing wanneer de verantwoordelijke persoonsgegevens bij een externe partij, de verwerker, laat verwerken. Is dat het geval, dan moet deze externe partij een door de verantwoordelijke partij opgestelde verwerkersovereenkomst ondertekenen. (Niet andersom, zie punt ‘Mijn verwerker heeft een verwerkersovereenkomst opgesteld. Kan dat?’)

Wat moet een verwerkersovereenkomst bevatten?

De verwerkersovereenkomst bevat vaak de volgende punten:

Het doel van de verwerking en waarvoor de gegevens gebruikt worden

Hoe worden de (persoons)gegevens verwerkt 
De verantwoordelijke partij (dus niet de verwerkende partij) moet duidelijk formuleren op welke manier de verwerking moet plaatsvinden. Op die manier wordt voorkomen dat een externe partij de persoonsgegevens op een manier gaat verwerken die niet met de betrokkenen is afgesproken.

Geheimhoudingsverklaring
De verwerker moet de gevoelige data die zij onder ogen krijgt uiteraard geheimhouden. De verwerkersovereenkomst bevat daarom doorgaans een geheimhoudingsverklaring. Daarmee verklaart de verwerkende partij de gegevens niet openbaar te maken of aan anderen te verstrekken.

Afspraken over eventuele onderaannemers
Soms komt het voor dat een externe verwerker een deel van de activiteiten weer uitbesteed aan een andere partij. Is dat het geval, dan moeten ook daar duidelijke afspraken over worden gemaakt.

Securitymaatregelen
De verantwoordelijke partij spreekt met de verwerkende partij af welke beveiligingsmaatregelen de laatstgenoemde maakt. Zo verzekert de verantwoordelijke paritj zich ervan dat de persoonsgegevens niet door nalatigheid op het gebied van security in verkeerde handen terechtkomen.

Duur van de verwerking
De verwerkersovereenkomst moet duidelijkheid verschaffen over de duur van de verwerking. Met andere woorden: wanneer is de verwerking niet meer nodig en moet de externe partij hiermee stoppen en de persoonsgegevens wissen?

Ik heb geen verwerkersovereenkomst afgesloten, maar laat wel persoonsgegevens verwerken door een derde partij. Wat zijn de consequenties? Zonder verwerkersovereenkomst heeft u geen grip op de manier waarop een externe partij data verwerkt waarvoor u verantwoordelijk bent. U bent hiermee mogelijk in overtreding met de privacywetgeving. Het is verstandig alsnog een verwerkersovereenkomst op te stellen.

Posted in: Vragen over AVG / GDPR

Per 25 mei 2018 kunnen organisaties verplicht worden een Data Protection Impact Assessment (DPIA) uit te voeren. Dit instrument bepaalt vooraf de privacyrisico’s en brengt de gegevensverwerking in kaart. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen.

Welke type organisaties verplicht zijn om een DPIA uit te voeren:

• systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
• op grote schaal bijzondere persoonsgegevens verwerkt;
• op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Lees meer over DPIA op Autoriteit Persoonsgegevens.

Posted in: Vragen over AVG / GDPR

Rechtmatigheid van gebruik en transparantie
Organisaties moeten gegevens verwerken op een wijze die rechtmatig, volgens de standaarden en transparant is.

Doelbinding
Organizations may process data only for the purpose for which it was collected and communicated to a data subject.

Minimale gegevensverwerking
Bij de verwerking moeten niet meer gegevens worden verzameld dan strikt nodig voor de genoemde doeleinden.

Juistheid
Verzamelde gegevens moeten juist blijven zolang ze onder het beheer van de verwerkingsverantwoordelijke vallen en onjuiste gegevens moeten worden verwijderd of gecorrigeerd.

Opslagbeperking
Organisaties moeten gegevens niet langer dan noodzakelijk bewaren.

Integriteit en vertrouwelijkheid
Gegevens moeten op een dusdanige manier worden verwerkt dat een passende beveiliging ervan door technische of organisatorische maatregelen gewaarborgd is, en dat zij beschermd zijn tegen ongeoorloofde of onopzettelijk openbaarmaking of aantasting.

Verantwoordingsplicht
De verwerkingsverantwoordelijke blijft primair verantwoordelijk voor de voldoening aan deze beginselen, ook wanneer ze zijn gedelegeerd aan een verwerker.

Posted in: Vragen over AVG / GDPR

Een dubbele opt-in is niet verplicht, maar kan zeker handig zijn om vals opgegeven e-mailadressen te tackelen. Echter is het wel verplicht om bij opt-ins aan de volgende voorwaarden te voldoen:

• In de AVG wet staat dat de e-mail opt-in een duidelijke en bevestigende actie moet zijn
• De e-mail opt-in heeft duidelijke algemene voorwaarden en het mag geen voorwaarde zijn
• E-mail opt-in checkboxes staan NIET automatisch aangevinkt
• Je hebt gescheiden e-mail opt-in’s nodig als je de data op verschillende manieren verwerkt. Bijvoorbeeld als er na het inschrijven voor een nieuwsbrief de data wordt doorgestuurd naar een derde partij
• Als partij dien je aan te tonen dat er toestemming gegeven is om de gegevens te mogen gebruiken
• Europese burgers hebben het recht om de e-mail opt-in in te trekken. Zo dient een eenvoudige uitschrijflink aanwezig te zijn

Posted in: Vragen over AVG / GDPR

Sinds de komst van de cookiewet, enkele jaren geleden, is er veel verwarring over of je nu wél of niet toestemming hoeft te vragen voor het plaatsen van cookies. Verwarring alom, mede in de hand gespeeld door de overheid die nogal vaag was over het grijze gebied van tracking cookies, de wet versoepelde en vervolgens nog een keer bijstelde. Per 25 mei 2018 komt er een duidelijke richtlijn voor wat betreft tracking cookies (zoals van Analytics).

Als je geen…

• advertentiefuncties
• ip-adressen verzamelt
• of gegevens deelt met derden

…dan kun je Google Analytics ongestraft gebruiken om je website te optimaliseren. Echter zijn er nog wel een paar voorwaarden waar aan voldaan moet worden. Google Analytics schakelt namelijk niet vanzelf het bovenstaande uit.

1. Sluit een vewerkersovereenkomst af met Google
   Google analytics → Beheerder → Accountinstellingen → onderaan accepteren
2. Zorg dat je geen gegevens met Google deelt
   Onder Accountinstellingen de vinkjes uitschakelen onder “instellingen voor gegevens delen”
3. Zet gegevensverzameling voor advertentiefuncties uit
   Beheerder → Property → Trackinginfo → Gegevensverzameling → Zet Remarketing en Rapportagefuncties uit → Opslaan
4. Zorg dat IP-adressen anoniem verzameld worden
   Bij gebruik Analytics code voeg je , { ‘anonymize_ip’: true } achter de tweede UA-code
   Via Beheerder → Property → Trackinginfo → Trackingcode zie je de huidige analytics code

   <!-- Global Site Tag (gtag.js) - Google Analytics -->
   <script async src="https://www.googletagmanager.com/gtag/js?id=GA_TRACKING_ID"></script>
   <script>
    window.dataLayer = window.dataLayer || [];
    function gtag(){dataLayer.push(arguments)};
    gtag('js', new Date());
    gtag('config', 'UA-xxxxxxxx-x', { 'anonymize_ip': true });
   </script>

   Bij gebruik van de Google Tagmanager werkt het anders.

5. Informeer bezoekers dat je tracking cookies plaatst
   In de privacy verklaring op de website moet duidelijk staan vermeld welke gegevens worden verzamelt en met welke partijen deze gegevens worden gedeeld:
   – dat een bewerkersovereenkomst met Google is afgesloten
   – dat in geen geval gegevens gedeeld worden met Google dat de gegevens anoniem worden verwerkt
   – dat je de verzamelde gegevens niet gebruikt voor advertentiedoeleinden, zoals retargeting via social media of het Google Display Network
   – welke Analytics cookies geplaatst worden, met welk doel en wanneer deze verwijderd worden

*Wil je wel gebruik maken van Retargeting of andere marketing functies van Google Analytics dan zul je bezoekers expliciet toestemming moeten vragen.

Posted in: Vragen over AVG / GDPR

Jazeker! Alle organisaties en personen hebben meldplicht bij datalekken als het om persoonsgegevens gaat. Er wordt gesproken over een datalek als inbreuk op privacy van personen plaatsvind. Bijvoorbeeld door onbedoeld toegang te bieden tot persoonsgegevens of als sprake is van hacken, vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie.  Om het incident te kunnen kwalificeren als een datalek, moet het beveilingingsincident geconstateerd kunnen worden. Voorbeelden zijn: inbraak in een databestand (hacken), kwijtgeraakte usb-sticks, gestolen laptop, laptop die uit een auto is gestolen.

Datalekken en Algemene verordening gegevensbescherming (AVG)
Onder de AVG worden de eisen strenger. Samengevat geldt het volgende:

• Als een verwerkingsverantwoordelijke zich bewust is geworden van een datalek moet hij dit meteen, waar mogelijk binnen 72 uur, melden aan de Autoriteit Persoonsgegevens. Lukt dat niet,  dan zal een verklaring gegeven moeten worden voor de vertraging. De meldplicht is niet van toepassing als het onwaarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (artikel 33 AVG).
• Betrokkene moet ook worden geïnformeerd over de inbreuk, wanneer het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor zijn rechten en vrijheden zodat hij eventueel voorzorgsmaatregelen kan treffen. Zowel de aard van de inbreuk als aanbevelingen over hoe hij mogelijke negatieve gevolgen kan beperken, moet hem gemeld worden (artikel 34 AVG).
• Een melding aan betrokkene is niet nodig wanneer er maatregelen conform de AVG zijn getroffen en deze zijn toegepast op de betreffende persoonsgegevens. De gegevens zijn bijvoorbeeld gepseudonimiseerd, zodat degene die de gegevens in handen krijgt niet kan achterhalen welke personen de gegevens betreffen. Een melding kan eveneens achterwege gelaten worden als achteraf maatregelen zijn genomen door de verwerkingsverantwoordelijke om te zorgen dat de hoge risico’s voor de rechten en vrijheden van betrokkene zich waarschijnlijk niet meer voor zullen doen of de mededeling onevenredige inspanning vergt. In het laatste geval moeten betrokkenen op een andere, even doeltreffende manier, worden geïnformeerd, bijvoorbeeld door een openbare mededeling (artikel 34 AVG).
• In de AVG is vastgelegd wat in de melding aan de Autoriteit Persoonsgegevens en aan eventuele betrokkenen in ieder geval omschreven moet worden. Het zou kunnen zijn dat niet alle informatie gelijktijdig verstrekt kan worden. In dat geval is het mogelijk de informatie in stappen te verstrekken (artikel 33 AVG).
• Een verwerkingsverantwoordelijke is ook onder de AVG verplicht alle inbreuken te documenteren, met inbegrip van de feiten omtrent de inbreuk, de gevolgen en de genomen corrigerende maatregelen (artikel 33, vijfde lid AVG). Hierdoor is de Autoriteit Persoonsgegevens in staat naleving van de AVG te controleren.

Boetes
Onder de Wbp kan de Autoriteit Persoonsgegevens boetes tot en met € 820.000,- opleggen indien niet wordt voldaan aan de meldplicht datalekken. Dit bedrag wordt onder de AVG een stuk hoger. Boetes kunnen dan namelijk oplopen tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet per overtreding.

Bron: Vijverberg Juristen

Posted in: Vragen over AVG / GDPR