AVG, wat moet ik er mee?
En met alleen SSL, red ik het dan wel?
De AVG is een Europese wet die per 25 mei 2018 is ingegaan en staat voor Algemene Verordening Gegevensbescherming. Hierin staat onder andere dat bedrijven de persoonsgegevens van klanten (en personeel) goed beveiligd dienen te bewaren en niet voor andere doeleinden dienen te gebruiken dan opgegeven of bedoeld is. Het komt neer op fatsoenlijk omgaan met de persoonsgegevens van mensen.
Hieronder een overzicht van de eisen op een rij:
- Het is verplicht een Privacy Beleid op je site te hebben. Met de nieuwe wet moet deze iets uitgebreider zijn dan het eerdere Privacy Beleid volgens de toen geldende Nederlandse wet ‘Wet bescherming persoonsgegevens’. Lees er hier meer over.
- Ga na of je een Verwerker of Verwerkingsverantwoordelijke bent. Bij het eerste geval moet je Verwerkersovereenkomsten met je klanten (die dan Verwerkersverantwoordelijk is) afsluiten. De Verwerker verwerkt de gegevens van de klanten van de Verwerkersverantwoordelijke. Bijvoorbeeld een boekhouder die de zakelijk administratie van een timmerbedrijf doet, verwerkt de bankgegevens van de klanten van de Verwerkersverantwoordelijke. (Alleen al het inzien, is al “verwerken”.) In de Verwerkersovereenkomst staat o.a. welke gegevens de Verwerker verwerkt, waarvoor, hoe lang, wie er bij kunnen, aan wie / welke bedrijven dit wordt gedeeld (subverwerkers) en wat de acties zijn bij datalekken. Verwerkersverantwoordelijken hoeven geen Verwerkersovereenkomsten met zijn/haar klanten af te sluiten.
- Wanneer de Autoriteit Persoonsgegevens erom vraagt, moet je een Verwerkingenregister, Datalek procedure en Datalek register paraat hebben en kunnen overhandigen.
- In het Verwerkingenregister neem je op wat je verwerkt, waarom, waar en hoe je het verwerkt en voor hoe lang en wat je aan organisatorische en technische maatregelen hebt gedaan om dit beveiligd te doen. Wanneer je gegevens met een land of internationale organisatie buiten de EU deelt, moet je dit ook hierin aangeven. Lees er hier meer over.
- In de Datalek procedure en het Datalek register moet je o.a. opnemen wat een datalek is en wanneer je wat bij welk soort datalek doet. Wanneer een datalek voorkomt, geef je in het register aan wanneer het was met een beschrijving ervan en wat je hebt gedaan om het in de toekomst te voorkomen. Daarnaast is het per situatie afhankelijk of je het moet melden (binnen 72 uur) bij de Autoriteit Persoonsgegevens.
- Check qua technische maatregelen welke cookies je website plaatst. Vraag een IT-specialist hierover om advies. Tracking-cookies zijn verboden om met je site te plaatsen zonder expliciete toestemming van de bezoeker. Tracking cookies volgen de bezoeker over het internet om een profiel van de persoon te maken en / of om gerichte advertenties te laten zien. Enkel bij functionele cookies volstaat een cookie melding waarin je verwijst naar je Privacy- en Cookiebeleid en die je kunt wegklikken met een OK-knop. Functionele cookies zijn cookies om een website goed te laten werken. Bij het plaatsen van analytische cookies waarbij een bovengenoemde cookie-melding ook volstaat, moet je wel je Google Analytics account zó hebben ingesteld dat er geen profielen worden gemaakt op basis van bijvoorbeeld interesses of leeftijd, het IP-adres anoniem wordt gemaakt zodat het niet is te herleiden naar een persoon, de informatie niet met anderen gedeeld wordt en de meest recente Verwerkersovereenkomst (zoals het bij Google heet ‘Amendement gegevensverwerking’) is afgesloten met Google. Qua organisatorische maatregelen moet je o.a. de apparatuur waar je persoonsgegevens op verwerkt of waarop je een back-up maakt, goed hebben beveiligd.
- Op de contactformulieren moet je hebben aangegeven welke velden verplicht zijn om in te vullen om de dienst te kunnen uitvoeren. Dit moet worden aangegeven bij de velden door er ‘Verplicht’ bij te zetten. Daarnaast is dit de beste plek om te verwijzen naar je Privacy Policy.
- Deze wet benadruk maar weer dat je niet zomaar iedereen een nieuwsbrief mag versturen. Ook huidige klanten moeten zich hebben aangemeld of akkoord hebben gegeven om jouw nieuwsbrief te ontvangen. Een reeds aangevinkt vakje voor het ontvangen van de nieuwsbrief bij een contactformulier is niet toegestaan. Mensen moeten actief akkoord hebben gegeven hierop. En uitschrijven moet net zo makkelijk zijn als inschrijven. Zorg dus dat je altijd een uitschrijf-link in je nieuwsbrief hebt, meestal is dit onderaan.
Heb je bovenstaande toegepast binnen jouw bedrijf? Laat het door een privacy-expert controleren. Ook raad ik je de Cyber Risico Scan van Veilig Zakelijk Internetten aan. Fijn voor jou als ondernemer om inzicht te krijgen.
Verder blijft het logisch nadenken en je gezonde verstand gebruiken door bijvoorbeeld niet overal hetzelfde wachtwoord voor te gebruiken en door niet op een open wifi netwerk je boekhouding te doen.
SSL
Een technische maatregel voor de veiligheid van de gegevens van je klanten is o.a. het installeren van een SSL-certificaat op de website. Dit zorgt voor een beveiligde verbindingen tussen een webserver en een browser. De gegevens worden dan versleuteld verstuurd. Ook Google en internetbrowsers letten hier steeds strenger op en waarschuwen de internetbezoeker voor onveilige websites.
Dit betekent dat sommige browsers websites zonder SSL-certificaat als onveilig bestempelen, de bezoekers mogelijk een beveiligingswaarschuwing ontvangen en de website laag zal scoren in de zoekresultaten van bijvoorbeeld Google.
Instellen Google Analytics account
Check hier een handige uitleg betreffende het AVG-proof instellen van je Google Analytics account.
Aansprakelijkheid
Hoewel aan de inhoud van deze pagina grote zorg is besteed, aanvaardt ZZP Zutphen geen aansprakelijkheid voor de gevolgen van onvolledigheid of onjuistheden daarvan.
Er kunnen geen rechten aan deze informatie worden ontleend.
Handige links op een rij:
www.autoriteitpersoonsgegevens.nl
www.kvk.nl
www.veiligzakelijkinternetten.nl