De afgelopen maanden is er vrijwel dagelijks wel een artikel verschenen over de AVG of GDPR. In deze blog leg ik de AVG in een notendop uit. En niet geheel onbelangrijk om te melden: De nieuwe privacywet geldt voor álle ondernemers!

Met de nieuwe wetgeving AVG worden privacy rechten van consumenten uitgebreid en ondernemers krijgen meer verantwoordelijkheden en administratieve lasten. Maar wat zijn volgens de AVG nu eigenlijk persoonsgegevens? Persoonsgegevens zijn alle gegevens die informatie bevatten over een persoon en herleidbaar zijn naar een natuurlijk persoon. Denk daarbij aan b.v. NAW gegevens, persoonlijke email adressen, medische gegevens, religieuze gegevens, foto’s en camerabeelden. Om deze gegevens goed te beschermen zijn binnen de nieuwe wetgeving de bevoegdheden van de Autoriteit Persoonsgegevens (vroeger college bescherming persoonsgegevens) ook meer uitgebreid.

Als je als ondernemer persoonsgegevens verzamelt, bewaart, bijwerkt, kunt opvragen, gebruiken, verstrekken of vernietigen, dan ben je bezig met het verwerken van persoonsgegevens en dien je te voldoen aan de AVG. Je bent dan de zgn. verwerkersverantwoordelijke. Je mag dit alleen doen op basis van één van de zes grondslagen.

Veel MKB-ers zijn nog lang niet klaar en weten vaak ook niet goed waar ze moeten beginnen. Vragen als “Wat betekent dit voor mijn onderneming, “mag ik nog email nieuwsbrieven versturen naar mijn relaties”, “kan ik Google Analytics nog ongestraft gebruiken” en meer van dat soort vragen blijven vaak onbeantwoord.

Transparantie
Toch biedt de AVG ook kansen aan ondernemers, maar er is nog veel werk aan de winkel. Maar de AVG is niet alleen een last, het biedt ook een mooie kans om kaf van het koren te scheiden. Verzamel alleen gegevens die echt relevant zijn voor jouw business. Die je écht nodig hebt. Maakt het echt uit of iemand een man of een vrouw is? Wat hun locatie is? Wat hun schoenmaat is? Vertel gewoon wat je met de persoonsgegevens gaat doen en wees eerlijk en transparant.

Rechten
Personen mogen precies weten welke gegevens je over hen verzamelt en met welk doel. Ze hebben hierbij het recht om hun persoonsgegevens in te zien, te wijzigingen, te verwijderen of de verwerking hiervan stop te zetten. Ook mogen ze vragen om deze overdraagbaar te maken, ook wel data portatie genoemd.

Nulmeting
Om te beginnen is het belangrijk om te weten welke persoonsgegevens je binnen je onderneming verwerkt? Het is handig om te weten wat de wet precies bedoelt met die ‘persoonsgegevens’ waar je zorgvuldig mee om moet gaan, en wat daar juist niet onder valt. Kort gezegd is dit alle informatie die herleidbaar is naar een natuurlijk persoon.

Als voorbeeld: NAW gegevens, telefoonnummers, e-mailadressen, IP adressen, geboortedata, iemands schoenmaat, maar ook bijzondere persoonsgegevens zoals BSN nummer, seksuele geaardheid, godsdienstige overtuiging en geslacht. Dit geldt ook voor persoonsgegevens van je personeel, maar in dit artikel beperk ik me even tot de relatie bedrijf/klant.

Maar ook KlantID’s, OrderID’s en gepersonaliseerde data uit Google Analytics vallen hieronder. Of je moet Google Analytics geanonimiseerd gegevens laten verzamelen.

Welke persoonsgegevens verwerk je?
Het is nu belangrijk om duidelijk in kaart te brengen welke persoonsgegevens je verzamelt, hoe je dit doet, waarom je deze verzamelt, hoelang je deze gegevens bewaard en wie er allemaal toegang heeft tot deze data.

Als voorbeeld: tijdens een online aankoop vult je klant het online formulier in tijdens het afrekenen (hoe), hij of zij vult hier zijn of haar NAW gegevens in (welke), deze zijn nodig om de bestelling naar het huisadres te verzenden en om de factuur op te stellen (doel). Hierbij mag om een telefoonnummer gevraagd worden mits deze ergens voor gebruikt wordt. (b.v. een sms-je als de bezorger onderweg is). De factuur gegevens deel je met de boekhouder (wie heeft toegang) en bewaar je 7 jaar vanwege de fiscale bewaarplicht (grondslag: wettelijke verplichting).

Noodzakelijke gegevens
Nu je weet welke persoonsgegevens je verzamelt en waarom je deze verzamelt kun je de ‘waarom’ toetsen aan ‘privacy by default’. Waarom zou je het geslacht of de geboortedatum van iemand moeten weten om een bestelling te kunnen bezorgen?

Note: Veel bedrijven vragen nog veel te vaak om dit soort‘ onnodige gegevens’

Natuurlijk zijn er genoeg (marketingtechnische) redenen te bedenken waarom je toch graag iemands geslacht, geboortedatum, locatie, of schoenmaat wilt weten. Je mag hier dan ook op vrijwillige basis naar vragen, maar geef duidelijk aan waarvoor je deze gegevens wilt gaan gebruiken. Als voorbeeld: als je op iemands verjaardag een speciale korting of een cadeau wil aanbieden…

Bewaartermijn persoonsgegevens
Als je eenmaal toestemming hebt voor het gebruiken van persoonsgegevens betekent dit nog niet dat je deze eindeloos mag bewaren. Al is het maar omdat je gevoelige gegevens daarmee onnodig blootstelt aan een verhoogd risico op een mogelijke datalek. Bewaar niet langer dan nodig is en vermeld de bewaartermijn in je verwerkingsregister.

Wat is in ieder geval belangrijk om vast te leggen in een verwerkingsregister (een Excel bestandje volstaat al):

  • Hoe lang je persoonsgegevens bewaard en wat het doel is
  • Hoe de gegevens na de bewaarperiode verwijderd worden
  • Hoe derde partijen deze gegevens gaan verwijderen
  • Hoe deze gegevens uit een back-up worden verwijderd
  • Wie er allemaal inzage hebben in deze gegevens
  • En of je met externe partijen een verwerkersovereenkomst hebt afgesloten

Cookies
Wil je persoonsgegevens van iemand verwerken? Dan moet je doen op basis van één van de zes grondslagen. In principe moet je expliciet om toestemming vragen. Dit geldt natuurlijk ook voor de meeste cookies (en dan met name de statistiek-cookies en marketing-cookies) van je website. Voor sommige cookies hoef je geen toestemming te vragen, dit zijn de zgn. noodzakelijke cookies, deze zijn nodig om de essentiële onderdelen van je website goed te laten functioneren. Ze onthouden bijvoorbeeld wat er in een winkelwagentje zit of wanneer je bent ingelogd. Ook cookies die anonieme gebruikersstatistieken meten mag je zonder expliciete toestemming gebruiken. Ook moet een website bezoeker deze instellingen naderhand eenvoudig kunnen wijzigen.
Als je b.v. een remarketing-pixel op je website hebt staan en iemand geeft géén toestemming voor marketing-cookies dan mag je deze persoon niet ‘volgen’.

Deze toestemming is maximaal 12 maanden geldig (of tot de gebruiker deze intrekt). Daarna moet je weer opnieuw om toestemming vragen. Tot nu toe gooien veel sites alle cookies op een hoop en daarmee gaan veel bedrijven in Nederland nog steeds de fout in.

Je bent ook verplicht om toegang tot je website te bieden voor wie geen marketing-cookies toestaat. Ook is een ‘standaardinstelling’ met alle cookies al aangevinkt niet meer toegestaan.

Nieuwsbrieven versturen, mag dat nog wel?
Onder de AVG moet een ontvanger expliciet toestemming geven voor het krijgen van nieuwsbrieven of andere commerciële mailings. Maar dit is niks nieuws, je moest al langer om een dubbele opt-in vragen en men moest zich te allen tijde kunnen afmelden onderaan de nieuwsbrief. Toch mag je ook met als grondslag ‘de overeenkomst’ je bestaande klanten zonder toestemming een nieuwsbrief sturen, mits dit relevant is met het geen wat je verkoopt.

Dit mag dus niet meer:

  • Vooraf aangevinkte nieuwsbrief inschrijving
  • D.m.v. het accepteren van de algemene voorwaarden
  • Mail sturen om te controleren of de adresgegevens nog kloppen

Je moet, als er naar gevraagd wordt, kunnen aantonen wanneer iemand toestemming heeft gegeven. Maak daarom altijd gebruik van een e-mail marketing programma zoals bv. Mailchimp, Mailplus of YMLP (deze bieden vaak AVG proof inschrijfformulieren aan).

Privacyverklaring en cookie-statement
Tot zover is het vooral over toestemming en focus gegaan, maar transparantie is, zoals we al eerder vermelde, ook een belangrijk onderdeel van deze nieuwe wetgeving. Je privacyverklaring en cookie-statement op je website zijn een prima manier om transparant en open te communiceren wie je bent en hoe je met de persoonsgegevens van je klanten omgaat.

Je moet je privacyverklaring op een eenvoudige en voor iedereen begrijpelijke taal schrijven zonder al te veel juridische termen. Wees kort en bondig, verplaats u in de lezer.

Wat moet er in de privacyverklaring staan?
De Autoriteit Persoonsgegevens (AP) heeft een aantal specifieke eisen gesteld aan wat er in ieder geval in een privacyverklaring moet staan:

  • De identiteit en de contactgegevens van de onderneming (dus niet de handelsnaam)
  • Wie de verantwoordelijke persoon is binnen je onderneming in het kader van de AVG
  • Welke persoonsgegevens je verwerkt
  • Met welk doel je dit doet en op basis van welke grondslag
  • Wat de bewaartermijn is van deze gegevens
  • Met welke partijen je deze persoonsgegevens deelt
  • Welke rechten een persoon allemaal heeft (recht op inzage, recht van verwijderen, recht om vergeten te worden, recht van data portatie

Kleinere ondernemingen kunnen volstaan om de rechten te noemen in hun privacyverklaring en consumenten de mogelijkheid te geven met specifieke verzoeken een email te sturen. Grotere ondernemingen zullen het lastig gaan krijgen om alle verzoeken handmatig te beantwoorden.

Beveiliging
Verantwoord omgaan met persoonsgegevens valt of staat met een adequate beveiliging van deze gegevens. Slechte beveiliging kan bijvoorbeeld leiden tot een datalek, met alle gevolgen van dien. Bescherm je onderneming tegen hackers en virussen van buitenaf die mogelijk toegang bieden tot persoonsgegevens. Begin met een stukje bewustwording en instrueer ook je personeel. Zorg dat je computers up-to-date zijn en ook voorzien zijn van een toegangswachtwoord. De meeste computers bieden ook encryptie aan zodat alle dat versleuteld bewaard wordt en data onbruikbaar wordt zonder wachtwoord. Ben je in het bezit van een smartphone met vingerafdruk scanner, dan is je data standaard versleuteld. Ook WhatsApp biedt standaard end-to-end encryptie aan.

Ga je even van je computer vandaan, zet hem dan in de slaapstand. Zorg dat deze alleen met een wachtwoord weer ontgrendeld kan worden. Stel een wachtwoord protocol op en verander regelmatig alle wachtwoorden. Maak waar mogelijk gebruik van two-factor authentication. Mijd onbeveiligde Wi-Fi netwerken, maak liever gebruik van een 4G verbinding.

Note: Je wachtwoord op een Post-it briefje bewaren kan anno 2018 echt niet meer…

Verwerkersovereenkomsten
Bij het opslaan of verwerken van persoonsgegevens is de kans groot dat je gebruikmaakt van derde partijen. In de AVG noem je dit verwerkers. Een betrokkene (data subject) moet altijd toestemming geven voor het gebruik van persoonsgegevens door deze verwerkers. Dit dient dus ook vermeld te worden in je privacystatement. Met elke partij die namens jou persoonsgegevens verwerkt, moet je een verwerkersovereenkomst afsluiten (in de WBP heette dit een ‘bewerkersovereenkomst’. Dit geldt zeker voor partijen die buiten de EU gevestigd zijn en gegevens verwerken binnen de EU. Denk hierbij aan b.v. Facebook en Mailchimp. Maar ook met je boekhouder, Payment Service Provider (als je webshop hebt), bedrijven die namens jou beoordelingsgegevens verzamelen voor reviews zoals Trustpilot of Feedback Company. Het is ook toegestaan de verwerkersovereenkomst toe te voegen aan je algemene voorwaarden.

Meldplicht datalekken
Er is sprake van een datalek als er een inbreuk plaatsvindt op de beveiliging van persoonsgegevens. Dat is bijvoorbeeld het geval wanneer onbedoeld toegang wordt geboden tot persoonsgegevens of als sprake is van vernietiging, wijziging of vrijkomen van persoonsgegevens bij een onderneming. Niet alleen het vrijkomen of lekken van gegevens resulteert in een datalek, ook wanneer onrechtmatig gegevens worden verwerkt is hiervan sprake. Om een voorval te kunnen kwalificeren als een datalek, moet sprake zijn van een daadwerkelijk beveilingingsincident. Denk hierbij aan een gestolen laptop, verloren USB stick of als je computer, website of server gehacked is. Als er sprake is van een datalek dan ben je verplicht dit binnen 72 uur te melden aan de autoriteit persoonsgegevens en aan de betrokkene (artikel 34 van de AVG).

Een verwerkingverantwoordelijke is verplicht alle inbreuken vast te leggen, met inbegrip van de feiten, de gevolgen en de genomen maatregelen om dit in de toekomst te voorkomen. Door dit te registreren is de Autoriteit Persoonsgegevens in staat naleving van de AVG te controleren.

Samenvatting
In deze blog las je een uitgebreide checklist over hoe je als ondernemer je bedrijf AVG proof kunt maken. In het kort:

  • Doe een nulmeting. Welke gegevens verwerk je nu al?
  • Verwerk alleen noodzakelijk gegevens, privacy by design
  • Bewaar persoonlijke gegevens niet te lang
  • Cookies? Vraag eerst netjes om toestemming
  • Nieuwsbrief sturen? Vraag weer netjes om toestemming
  • Plaats een privacyverklaring op je website en pas je cookie-statement aan
  • Sluit verwerkersovereenkomsten af
  • Stel een verwerkingsregister op
  • Zorg dat je toestemming hebt van betrokkene
  • Zorg voor recht op inzage, wijzigen, data-portabiliteit en recht op vergetenheid
  • Scherp je (data)beveiliging aan, maak een wachtwoorden protocol

Conclusie
Mkb’ers die ter goeder trouw aan de slag gaan met de AVG zullen niet gelijk met megaboetes van de Autoriteit Persoonsgegevens worden geconfronteerd. In de regel krijg je eerst een waarschuwing. Er worden alleen boetes uitgedeeld als er opzet in het spel is. De wet moet nog in de praktijk vorm krijgen middels jurisprudentie en rechtelijke uitspraken, aldus minister Dekker over de AVG. De autoriteit persoonsgegevens zal zich het eerste jaar vooral bezig houden met verdere voorlichting en bijsturing.

Vragen over de AVG of hulp nodig?
Heb je vragen over de AVG of hulp nodig met jouw onderneming AVG proof te maken? Wij kunnen je daarbij helpen. Bel of mail ons!

Wij zijn benieuwd wat jouw grootste AVG-uitdaging is? Of wat juist jouw grootste kans is? Laat je reactie achter in de comments…