De impact van AVG voor het MKB

De impact van AVG voor het MKB

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU).
Een lastig, maar belangrijk onderwerp. Boetes kunnen namelijk oplopen tot wel 4% van jouw jaaromzet. De hoogste tijd om hier dus écht voor te gaan zitten. Vandaag leg ik je uit wat impact van de nieuwe wetgeving is én waar je op moet letten.

Wat is de AVG precies?

De Europese algemene verordening gegevensbescherming, kortweg AVG is een Europese privacywet . Deze privacy verordening gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’.

In essentie moet de AVG er voor zorgen dat bedrijven de privacy rechten van de individuele consument respecteren. Hiermee is de AVG relevant voor alle bedrijven en organisaties die persoonlijke gegevens van inwoners binnen de EU verzamelen, verwerken en gebruiken.

Is de AVG ook op mijn bedrijf van toepassing?

Ja, zoals gezegd geldt deze wetgeving voor ieder bedrijf binnen de Europese Unie. Heb jij bijvoorbeeld een contactformulier op uw website, Google Analytics of een mailprogramma? Dan ben in feite al persoonsgegevens aan het verzamelen. Denk hierbij aan:
  • Voor- en achternaam
  • E-mailadres
  • IP-adres (analytics)
  • Etc.
Een belangrijk onderdeel van de AVG is de cookie consent. Dit gaat over het verzamelen van persoonsgegevens en het delen van deze gegevens met 3e partijen: Denk hierbij aan Google, Facebook, Mailchimp of bijvoorbeeld een reserveringssysteem voor je hotel, restaurant of bed & breakfast.

Wat moet ik aanpassen op mijn website voor de AVG?

Ik leg je kort de 7 meest belangrijke stappen uit.

  • Stap 1. Privacy- en cookieverklaring
  • Stap 2. Beveiliging van persoonsgegevens
  • Stap 3. Formulieren en accounts
  • Stap 4. Opt-in & opt-out
  • Stap 5. Verwerkersovereenkomsten
  • Stap 6. Bewaartermijn van persoonsgegevens
  • Stap 7. Klantenservice

Stap 1. Privacy en cookieverklaring

Volgens de AVG moet het duidelijk zijn wat een bedrijf met zijn persoonsgegevens doet. Als website eigenaar ben je daarom dan ook wettelijk verplicht om bezoekers te informeren over welke persoonsgegevens je verzamelt en met welk doel. Dit omschrijf je in een privacy– en cookiemelding.

Het is daarom van belang dat iedere bezoeker de privacy- en cookie verklaring eenvoudig op de website kan vinden! De meest gebruikte methode is om deze pagina´s te verwerken in de footer. Zie op onze website, onderaan onze pagina onze policy en disclaimer.

In een privacyverklaring vertel je in een begrijpelijke taal welke persoonsgegevens je verzamelt en waarom je dit doet. Beschrijf ook hoe lang je de gegevens bewaart en welke maatregelen je hebt genomen om de persoonsgegevens te beveiligen. Tot slot wijs je bezoekers van de website in een privacyverklaring op de privacyrechten die ze hebben en hoe ze een verzoek tot inzage, correctie, dataportabiliteit of verwijdering kunnen indienen.

In een cookieverklaring beschrijf je wat cookies zijn, welke cookies je gebruikt, voor welk doel ze dienen en hoe bezoekers van de website cookies in en uit kunnen schakelen. Bepaalde cookies mag je pas plaatsen nadat een bezoeker hier toestemming voor heeft gegeven.

Indien je zaken doet met Google (AdWords) en bijvoorbeeld Facebook, dien je de bezoeker de mogelijkheid te geven om deze niet-functionele cookies niet in te laden.

Stap 2. Beveiliging van persoonsgegevens

  1. Met de komst van de AVG ligt er dus een stuk meer verantwoordelijk bij jou als bedrijf zijnde. Om de veiligheid van persoonsgegevens te waarborgen is het verplicht om te werken met een zogenaamde ‘beveiligde’ verbinding. Dit doe je door je data tussen browser en server te versleutelen. Zie in het voorbeeld van onze website het groene slotje.

avg ssl

Uw web bouwer of hostingpartij kan u hierbij helpen.

2. De software en de plugins op je website dienen up-to-date te zijn. Extensies die niet ge-update zijn, bieden kansen voor hackers. Zorg er dus voor dat uw website ten alle tijde ge-update is

3. Denk goed na over de toegang tot uw CRM systeem. Geef niet iedere persoon toegang en ga goed na of deze persoon écht toegang nodig heeft tot uw CRM systeem. Maak inzichtelijk wie deze toegang heeft en verwijder deze persoon na zijn dienstverband uit het systeem.

4. Stel een beleid met betrekking tot datalekken, dit is verplicht. Als bedrijf ben je wettelijk verplicht om ernstige datalekken binnen 72 uur te melden bij de Autoriteit Persoonsgegevens.

Stap 3. Formulieren en accounts

Tijdens de nieuwe AVG-wetgeving is het niet meer toegestaan om informatie te vragen die niet noodzakelijk is. Zo mag je bijvoorbeeld bij de aanmelding voor een nieuwsbrief niet meer om een telefoonnummer of woonadres vragen, mits je er duidelijk bij vermeld wat je met de gegeven informatie gaat doen.

Zorg er dus voor dat alle informatie die je vraagt, ook bijdraagt aan het hogere doel.

Stap 4: Opt-in en Opt-out

Dit houdt simpelweg in dat een gebruiker het recht heeft om ‘vergeten’ te worden. Wanneer een gebruiker aangeeft dat hij of zij niet meer zichtbaar wilt zijn met zijn of haar gegevens binnen jouw organisatie, CRM of andere tools, moet je deze persoonsgegevens kunnen verwijderen.

Dit houdt in dat het net zo gemakkelijk moet zijn om je af te melden voor een nieuwsbrief, als om je uit te schrijven hiervoor. Biedt deze mogelijkheid dus altijd aan. Dit proces moet je tevens duidelijk en helder uitschrijven, zodat dit voor iedereen duidelijk is.

Zoals al eerder aangegeven in dit blog mag je niet zomaar cookies plaatsen. Deze cookies mogen was worden ingeladen nadat een bezoeker hier toestemming voor heeft gegeven.

cookiemelding yourfellow avg wetgeving mkb

Er zijn een grofweg een 4-tal soorten cookies:

  1. Noodzakelijke cookies (noodzakelijk)

Noodzakelijke cookies helpen een website bruikbaar te maken. Denk hierbij aan basisfuncties als paginanavigatie en toegang tot beveiligde gedeelten van de website mogelijk te maken. Zonder deze noodzakelijke cookies kan jouw website niet naar behoren functioneren.

2. Voorkeurscookies (optioneel)

Voorkeurscookies zorgen ervoor dat een website informatie onthoudt die van invloed is op het gedrag en de vormgeving van de website. Een voorbeeld hiervan zijn de taalinstellingen van een website en de regio waar u woont. Je komt natuurlijk liever direct op de Nederlandse pagina uit van Zalando.

3. Statistische cookies (optioneel)

Statistische cookies helpen eigenaren van websites begrijpen hoe bezoekers hun website gebruiken, door anoniem gegevens te verzamelen en te rapporteren. Met behulp van deze data kunnen websites worden aangepast om de website zo gebruiksvriendelijk mogelijk te maken. Denk hierbij bijvoorbeeld aan een pagina in het menu verwerken, wanneer blijkt dat een groot gedeelte van de bezoekers op jouw website op zoek is naar die pagina.

4. Marketingcookies (optioneel)

Marketingcookies worden gebruikt om bezoekers te achtervolgen wanneer zij een andere website bezoeken. Hun doel hiervan is om advertenties weer te geven die relevant zijn voor de individuele gebruiker. Deze advertenties worden zo waardevoller voor uitgevers en externe adverteerders.

Hoe verzamel ik deze cookies op de juiste manier?

  • Plaats cookies pas nadat de bezoeker hier ‘actief’ akkoord mee is gegaan. Het vakje ‘Ja, ik ga akkoord met de cookies’ mag niet langer vooraf aangevinkt zijn en de gebruiker moet een optie hebben om deze cookies te kunnen negeren.
  • Bezoekers moeten de cookie-instellingen op een eenvoudige manier kunnen vinden en aan kunnen passen.
  • De website moet ook goed kunnen functioneren als een bezoeker niet akkoord gaat met het plaatsen van de optionele cookies.

Stap 5: Verwerkersovereenkomst

Sommige grotere bedrijven (zoals Google met zijn Analytics pakket) hebben zelf een verwerkers overeenkomst die je kunt tekenen. In het geval dat je werkt met een marketingbureau, kunnen zij deze overeenkomst voor je accepteren.

Ga je ook met kleinere partijen in zee? Neem contact met ze op en vraag er naar! Hebben ze er geen? Stel er dan zelf een op (of laat het doen) en laat deze overeenkomst tekenen door alle partijen die gegevens voor je verwerken.

avg wetgeving 2018

Stap 6. Bewaartermijn van gegevens

Daarnaast zul je met de nieuwe wetgeving moeten nadenken over de bewaartermijn van alle gegevens die je verzameld. Er is geen bewaartermijn die goed of slecht is. Je mag zelf beslissen hoe lang je bepaalde gegevens wilt bewaren, mits het duidelijk is waarom je voor deze periode hebt gekozen.

Hieronder ziej e een aantal voorbeelden van persoonsgegevens waarvan je de bewaartermijn moet vaststellen volgens de AVG-wetgeving:

  • Account van een medewerker of klant;
  • Een sollicitant die niet is aangenomen;
  • Bestel- en NAW-gegevens van een klant;

Stap 7. Klantenservice

Iedereen binnen je organisatie moet op de hoogte zijn van de privacyrechten van de klant. Vertel medewerkers het protocol van datalekken. Een slecht imago kan schade toebrengen aan uw bedrijf. Voorkomen is daarom beter dan genezen.

Toevoeging op dit blog:

Dit blog is bedoelt om organisaties extra handvatten te bieden voor de nieuwe AVG-wetgeving. Bovenstaande informatie in dit blog is niet bedoeld als juridisch advies en hieraan kunnen rechten worden ontleend.

Hoe kan ik dit allemaal regelen?

Een heleboel informatie en acties die ondernomen moeten worden. YourFellow helpt je graag bij het volgende:

  • HTTPS verbinding met je website (alle websites, gebouwd door YourFellow zullen per 25-05-2018 over zijn op een veilige verbinding)
  • Cookie consent op je website. (Geef de gebruiker de keuze wat voor kruimels hij achterlaat)
  • Advies rondom Privacy Policy en Disclaimer.
  • Google Analytics & Google Tag Manager up-to-date voor privacyverzameling.

Waar moet jij achteraan?

  • Verwerkingsovereenkomsten met 3e partijen.
  • Intern behandelen van de AVG
  • Plan van aanpak na een datalek

Tot slot wil ik je meegeven dat het ontzettend belangrijk is om met de AVG bezig te zijn. Ik raad je dan ook aan om aantoonbare bewijzen (bijv. verzoekschrift verwerkers overeenkomst) op te slaan. Zo kun jij ten alle tijden aantonen dat jouw bedrijf er alles aan doet om de persoonsgegevens van jouw klanten te respecteren.

Vraag hier vrijblijvend een scan aan of jouw website aan de AVG voldoet.

 

Leave a Reply

Your email address will not be published.