Op 25 mei 2018 trad de Algemene verordening gegevensbescherming (AVG) in werking in de hele Europese Unie. Die wet heeft vergaande gevolgen voor iedereen die met persoonsgegevens werkt. Als ondernemer geldt dat voor je hele organisatie, dus ook voor de gegevens die je met je website verzamelt.
Die wet is zo uitgebreid dat de Autoriteit Persoonsgegevens er een hele sectie van hun site voor heeft ingericht: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving
In het kort
Heel eenvoudig gesteld gaat de AVG over hoe je als organisatie om dient te gaan met persoonsgegevens. Die regels worden flink strenger.
Zo mag je na 25 mei 2018 op geen enkele manier persoonsgegevens bewaren als je niet aannemelijk kunt maken dat dat persé nodig is. Of als deze persoon daar zelf expliciet toestemming voor heeft gegeven.
Daarnaast hebben klanten het recht de informatie die je over ze hebt in te zien en mogen ze je verzoeken die gegevens te verwijderen.
Niet alleen je website
De nieuwe regels hebben niet alleen betrekking op je website, maar over alle mogelijke manieren waarop je met persoonsgegevens omgaat. Dus over hoe je je klantgegevens bewaart in je webwinkel, maar ook wat je doet met e-mailadressen van klanten die je mailen, klantkaarten die je in een kaartenbak bewaart of de gegevens van je personeel.
En de nieuwe privacywet geldt voor alle organisaties die persoonsgegevens verwerken. Dus ook als je zzp’ers bent of een kleine MKB’er en je verwerkt gegevens.
Wanneer mag je persoonsgegevens bewaren en gebruiken?
Als organisatie mag je niet zomaar persoonsgegevens verwerken. Je moet daarvoor een geldige reden hebben, een wettelijke grondslag. Er zijn 6 mogelijke grondslagen:
- Toestemming van de betrokken persoon.
- De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
- De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
- De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
- De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
- De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Voldoe je niet aan minstens één van deze grondslagen, dan mag je persoonsgegevens niet bewaren en gebruiken. En het is aan jou om aan te tonen dat je aan de regels voldoet.
Toestemming moet altijd expliciet zijn. Dus als een klant je zijn adresgegevens doorgeeft zodat jij een bestelling kunt bezorgen (“noodzakelijk voor de uitvoering van een overeenkomst”), mag je die adresgegevens niet voor iets anders gebruiken.
Privacy statement
Een goede manier om je klanten en/of bezoekers van je website te informeren over hoe je omgaat met hun persoonsgegevens is een privacyverklaring. Daarin geef je aan:
- welke persoonsgegevens je verzamelt
- waarom je die persoonsgegevens verzamelt
- hoe je persoonsgegevens bewaart
- hoe je die persoonsgegevens beveiligt
- wie toegang heeft tot die persoonsgegevens
- hoe ze inzage kunnen krijgen in hun eigen gegevens
- hoe ze een verzoek tot verwijdering kunnen indienen
Leg het allemaal zo goed en duidelijk mogelijk uit. Er is geen noodzaak voor moeilijke woorden. Dat kun je zelf doen, maar er zijn ook professionele partijen die je daarbij kunnen helpen. Zoals JuriDox van juridisch adviesbureau ICTRecht (zijn wij fan van!) of Rocket Lawyer. Op veiliginternetten.nl staat een gratis tool om je Privacyverklaring samen te stellen.
In beide gevallen geldt: de uitleg kun je pas geven als je deze vragen voor jezelf en voor je hele organisatie hebt gesteld. En er bestaat geen standaard voor, het gaat immers over hoe jíj omgaat met persoonsgegevens.
Nog iets over cookies?
Binnen de AVG bestaan er geen (aparte) regels voor cookies. Dat klinkt misschien vreemd, maar dat is het eigenlijk niet. Dat zit zo: cookies kúnnen worden gebruikt voor het verzamelen van persoonsgegevens. En dan vallen ze onder precies dezelfde regels als alle andere middelen, zoals e-mail, contactformulieren, telemarketing, etc.
Die regels zijn vastgelegd in de “ePrivacy Verordening”, die waarschijnlijk ergens in 2019 ingaat. En dat is weer een heel ander verhaal 🙂
Oef, het klinkt als een boel werk. Is het echt nodig? Ook als je een kleine site hebt?
Hoi Raymond,
Officieel wel ja. Het is de bedoeling dat de Autoriteit Persoonsgegevens (AP) vanaf 25 mei streng gaat toezien op het naleven van de privacyregels die 2 jaar geleden zijn ingevoerd. Die gelden voor iedereen, dus ook voor “kleine sites”, maar de AP heeft veel te weinig middelen om iedereen te controleren. Onze verwachting is dan ook dat ze zich – in ieder geval in eerste instantie – vooral zullen richten op de grote partijen, zoals Google, Facebook en Microsoft. Vandaar dat die organisaties als een flinke tijd heel druk zijn om te zorgen dat zij voldoen aan de regels. Zeker omdat de boetes daar flink op kunnen lopen.
En voor jou zijn de belangrijkste acties nu het maken van een privacyverklaring en (indien van toepassing) het aanpassen van je Google Analytics trackingcode.
Privacyverklaring
Je privacyverklaring is niets anders dan een document waarin je aangeeft welke gegevens je verzamelt, met welk doel, hoe lang en hoe mensen hun gegevens in kunnen zien of verwijderen. Hier vind je een gratis generator om zo’n verklaring te maken: https://veiliginternetten.nl/privacyverklaring-generator/start/
Google Analytics
Bij het volgen van je bezoekers met de trackingcode van Google Analytics wordt normaal gesproken het IP adres van die bezoekers opgeslagen. Door de trackingcode aan te passen, wordt het laatste deel niet doorgegeven aan Google. De Autoriteit persoonsgegevens vindt dat voorlopig voldoende. De trackingcode ziet er daardoor zo uit:
Let op: vervang de xxxxxxx-x door je eigen ID.
Zie je het niet zitten om deze aanpassing zelf te doen? Neem dan even contact op via support@mooiesite.nl.
Met vriendelijke groet,
Tim de Jong
Mooiesite.nl
Hoi,
Ik vind het een enorm ingewikkeld gedoe. Kan ik niet gewoon jullie privacyverklaring kopiëren en aanpassen naar mijn bedrijf?
Groet,
Arnold
Hoi Arnold,
Hmm, heb je ook een hostingbedrijf? 😉
Ik ben het met je eens dat de nieuwe regelgeving complex is, maar uiteindelijk is het helemaal niet zo ondoorzichtig als het misschien lijkt. Zoals je ook in ons blogartikel kunt lezen, gaat het erom dat je geen persoonsgegevens mag bewaren als daar geen basis voor is. En is die basis er wel, dan dien dat zelf aannemelijk te maken. Vervolgens leg je in je privacyverklaring uit welke gegevens je opslaat, waarom je dat doet, hoe mensen die gegevens in kunnen zien en hoe ze een verzoek tot verwijdering in kunnen dienen.
De privacyverklaring is dus feitelijk het sluitstuk van de AVG. Want die verordening gaat primair over hoe jouw onderneming omgaat met persoonsgegevens. Met andere woorden: de AVG gaat niet over je website, maar over je bedrijf. Onze privacy verklaring is opgesteld door JuriDox en speciaal afgestemd op onze dienstverlening. Zij bieden een online tool waarmee je zelf zo’n document samen kunt stellen.
Met vriendelijke groet,
Tim de Jong
Mooiesite.nl