Wat houdt de GDPR / AVG wet precies in voor jouw website?
Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing, als vervanging van de Wet bescherming persoonsgegevens (Wpb). Vanaf die datum geldt in de hele Europese Unie (EU) dezelfde privacywetgeving. Dankzij de AVG is in alle landen van de EU de bescherming van persoonsgegevens op dezelfde manier geregeld en gelden in elke lidstaat dezelfde regels. In het Engels staat de AVG ook wel bekend onder GDPR (General Data Protection Regulation). Is jouw website al AVG up-to-date of moet je nog aan de slag? Wij helpen je graag op weg.
De eerste stap is om een goede plan van aanpak te maken. Doordat de AVG betrekking heeft op meerdere aspecten van je bedrijf moet je meerdere afdelingen erbij betrekken. Samen met je collega’s van marketing, juridische zaken en IT kan je vervolgens een goede plan van aanpak maken. Wij helpen je hierbij een handje door je de belangrijkste veranderingen en tips aan te reiken.
1. Privacy statement
Pas je privacy statement zo aan dat je doelgroep begrijpt wat er staat. De tone of voice die je op je website gebruikt moet je ook doorvoeren in je privacy statement. Gebruik duidelijke taal zodat de tekst goed leesbaar is voor iedereen. Ook moet de privacy statement makkelijk te vinden zijn en moet er naar de privacy statement verwezen worden op de pagina’s waar er om persoonsgegevens wordt gevraagd.
2. Vraag om toestemming
Vanaf 28 mei moeten bezoekers specifiek toestemming geven voor het gebruik van hun persoonsgegevens. Ook moet het voor je bezoekers net zo makkelijk zijn om hun gegevens aan te melden als aftemelden. Wanneer een bezoeker zijn persoonsgegevens toch niet meer met jou wilt delen dan ben je verplicht zijn/haar gegevens te verwijderen uit je database. Ook heeft een bezoeker recht om zijn gegevens bij je op te vragen. Dit moet in een standaardschema, ook wel de modelbepaling genoemd. Vergeet daarnaast niet om je cookie opt-in aan te passen aan de nieuwe eisen.
3. Privacy by design
Met de AVG moet je website zo privacy-vriendelijk mogelijk zijn (privacy by default). Dit omdat de persoonlijke gegevens van je bezoekers nooit standaard openbaar zichtbaar mogen zijn. Je bezoeker moet eerst toestemming geven voordat de gegevens geïndexeerd mogen worden door Google. Bij het ontwerpen van je (nieuwe) website moet je vanaf 28 mei meer rekening gaan houden met privacy. Dit heet privacy by design. Je houdt dan vanaf de ontwerpfase al rekening met de privacy van je bezoekers en daardoor zal de privacy gebruikerservaring van je bezoekers verbeteren.
4. DPIA
Als jouw bedrijf bijzondere persoonsgegevens verwerkt dan kan de AVG je verplichten een DPIA (Data Protection Impact Assesment) uit te voeren. DPIA is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen en vervolgens actie te kunnen ondernemen om die risico’s te verkleinen. Bijzondere persoonsgegevens omvatten o.a. informatie over gezondheid, ras, godsdienst en crimineel verleden. Bedrijven die een DPIA moeten uitvoeren zijn o.a. ziekenhuizen, verzekeringsmaatschappijen, banken en providers. Als jouw bedrijf een DPIA moet uitvoeren: check dan eerst op welke manier je dit gaat uitvoeren.
Naast bovenstaande veranderingen moet je met de AVG een verwerkingsovereenkomst hebben, een gegevensbescherming functionaris aanstellen en heb je documentatieplicht. Op https://autoriteitpersoonsgegevens.nl/ kan je hier meer informatie over vinden.
E-Privacy Verordening
De AVG is nog niet up-to-date m.b.t. elektronische communicatie. De Europese Commissie is op dit moment bezig om nieuwe regels in te stellen m.b.t. deze kanalen (social media, e-mail, etc). Het is nog niet bekend wanneer deze verordening ingaat maar zodra wij daar meer over weten zullen wij je hierover informeren.
