Artikelen

Uw website gereed maken voor de AVG

Uw website gereed maken voor de AVG!

Publicatiedatum: 19 maart 2018
Laatste update: 10 mei 2018


Per 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (ook wel de AVG-wet) van kracht.

Vanaf 28 mei geldt dezelfde privacywetgeving in de gehele Europese Unie. De WbP-wet (Wet Bescherming Persoonsgegevens) vervalt dan.


Omdat de wet in de gehele Europese Unie geldt, wordt deze ook wel de GDPR-wet genoemdt. GDPR staat voor General Data Protection Regulation.


De AVG-wet zorgt ervoor dat onder andere:

  • privacyrechten worden uitgebreid en versterkt
  • organisaties meer verantwoordelijkheden krijgen
  • toezichthouders dankzij deze nieuwe wet hogere boetes kunnen opleggen, tot wel 20 miljoen.

Waarom de nieuwe wet?

De nieuwe wet is opgesteld omdat we steeds meer leven in een digitaaltijdperk. De oude wet komt nog uit een tijd dat internet in de kinderschoenen stond. Door deze wet worden organisaties gedwongen zorgvuldig met persoonsgegevens om te gaan.


Verwerkersovereenkomst

Wanneer u een website of communicatiekanaal beheert en samenwerkt met een hostingpartij of een web- of systeemontwikkelaar, zult u een verwerkersovereenkomst moeten afsluiten. Deze partijen hebben namelijk ook toegang tot gegevens van uw website.


Wat moet er o.a. in de verwerkersovereenkomst staan?

- Verwerkingsduur;
- Verwerkingsdoel van de privacy gevoelige gegevens;
- Welke gegevens verwerkt worden;
- De manier waarop de waarborging geregeld is;
- Welke verplichtingen er gelden met betrekking tot veiligheid en controle.
- Omschrijf ook duidelijk in de overeenkomst welke taken en aan welke verantwoordelijkheden het bedrijf moet voldoen in verband met de rechten en bevoegdheden van de betrokkenen.


Privacyverklaring

Op de website die u beheert moet een duidelijke privacyverklaring staan. Hierin staat welke gegevens er worden verzameld en waar deze gegevens voor gebruikt worden.


Wat kunt u zelf doen?

Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.

Onderin dit artikel vindt u diverse checklisten en handleidingen die u op weg kunnen helpen. Loopt u ergens tegenaan, of heeft u hulp nodig dan kunnen wij voor uw website een Quickscan AVG doen, let op hier zijn kosten aan verbonden.

Quickscan AVG

Om uw website AVG proof te maken kunnen wij de volgende punten voor u nalopen.
1. Inventarisatie van het type gegevens welke op uw website worden verwerkt en verzameld;
2. Vaststellen van een Risico Classificatie van deze gegevens;
3. Inventarisatie waar de data wordt opgeslagen? Zo zullen we o.a. controleren of er ook gegevens Buiten de EU worden opgeslagen, want dit is niet toegestaan voor sommige risico classificaties;
4. Inventarisatie van partijen die toegang hebben tot deze gegevens. Denk hierbij bijv. aan Mailchimp of Google indien u diensten van deze en andere bedrijven afneemt;
5. Inventarisatie van personen die toegang hebben tot deze gegevens. Denk hierbij bijv. aan stagiaires, vrijwilligers maar ook freelancers en/of personen of bedrijven;
6. Opstellen lijst met wie er verwerkersovereenkomsten en/of geheimhoudingsovereenkomsten afgesloten dienen te worden;
7. Opstellen lijst t.b.v. de te nemen technische- en/of organisatorische beveiligingsmaatregelen;
Wist u bijv. dat zeer gevoelige informatie versleuteld in een database opgeslagen dient te worden?
8. Het controleren en/of opstellen van een Privacy verklaring;
9. Nalopen website pagina's, om te controleren of hier privacy gevoelige informatie (bijv. van uw eigen medewerkers) in staan, hier toestemming voor is en hoe deze verwerkt wordt;
10. Nalopen website foto's, om te controleren of hier privacy gevoelige informatie in staan, hier toestemming voor is en hoe deze verwerkt wordt;
11. Nalopen website formulieren, om te controleren of uw rekening houdt met Data minimalisatie (vraagt u bijv. alleen gegevens welke
nodig zijn), ook dient er een link naar de privacy verklaring (bij bestelformulieren ook een link naar de A.V.) opgenomen te zijn;
12. Opstellen procedure voor het melden van datalekken;
13. Opstellen procedure voor inzage-, correctie-, portabiliteit- en verwijderingsverzoeken;
14. Indien u geen hostingdiensten bij ons afneemt, kunnen wij ook de hosting omgeving en database structuur controleren;
15. Is er een cookie melding en voldoet deze aan de AVG-wet.
Privacy by Default betekend dat u pas cookies mag plaatsen na expliciete toestemming van de bezoeker. Worden er al cookies geplaatst bij het bezoeken van de website, dan bent u dus in overtreding.
16. Veilige (versleutelde) overdracht van informatie.
Indien gebruikers informatie via de website versturen, bijv. bij een bestelling, een contactverzoek, een vraag etc. Dan dient dit 'veilig' te gebeuren. Hiervoor heeft uw website een SSL-Certificaat nodig.

Indien u gebruik wilt maken van onze Quickscan AVG, stuurt u een e-mail naar avg.support (at) neshmedia.com met in het onderwerp Quickscan AVG. Vermeldt hierbij ook de diensten welke u bij ons afneemt en welke van bovenstaande punten door ons gedaan moeten worden.

Offline

Let op. Slaat uw organisatie ook privacy gevoelige gegevens offline op; facturen, order data etc. etc. Dan zult u ook hiervoor stappen moeten ondernemen. Als ICT partij kunnen wij u enkel van dienst zijn voor online gegevens, waaronder uw website, webshop etc.

Wist u dat u bijv. privacy gevoelige gegevens via een speciale vernietigingsmachine dient te vernietigen en niet elke vernietigingsmachine hier zonder meer geschikt voor is?

Ook als u gebruik maakt van onze Quickscan AVG, dan zult u toch in ieder geval altijd zelf de volgende actiepunten moeten uitvoeren:
- Inventarisatie van (overige) privacy gegevens;
- Wie heeft (nog meer) toegang tot deze gegevens (derden maar ook eigen medewerkers).
Denk hierbij aan bijv. toekomstige medewerkers, want hiervoor zullen ook geheimhoudingsovereenkomsten opgesteld voor moeten worden;
- Zijn er verwerkersovereenkomsten en/of geheimhoudingsovereenkomsten met deze partijen en personen?;
- Welke technische- en/of organisatorische beveiligingsmaatregelen heeft u zelf getroffen?
Denk hierbij aan een up to date antivirus, maar ook een verwerkersovereenkomst met bijv. een externe boekhouder;
- Is er een protocol voor het melden van een datalek?;
- Is er voor uw organisatie een DPIA, Leidende toezichthouder en/of Functionaris voor de gegevensbescherming vereist?;
- Dient u een verwerkingsregister aan te leggen?;
- Voldoet uw privacy verklaring?;
- Voldoet u aan de overige voorwaarden van de AVG?


Bent u klant bij ons? Dan hebben wij goed nieuws. Uw Verwerkersovereenkomst wacht namelijk up u.

Als klant van Nesh Media bent u, ook als u de Quickscan AVG doet zelf verantwoordelijk voor de correcte naleving van de AVG. Neemt u een onderhouds-, webdesign-, hosting-, domein en/of andere dienst af, dan verzoeken wij u direct contact met ons op te nemen voor het opstellen van een Verwerkersovereenkomst.
- Bedrijfsnaam
- Adres
- Contactpersoon
- Diensten welke u bij ons afneemt
Let op: Deze informatie komt in de Verwerkingsovereenkomst. Hou hier a.u.b. rekening mee.

Tot slot

Met de komst van de AVG zullen de belangen van burgers veel beter beschermd worden, maar voor u als website eigenaar komt hier nogal wat bij kijken. Schakel daarom tijdig een consultant in, of begin ruim op tijd met de voorbereidingen voor de AVG!
De Autoriteit Persoonsgegevens ziet er op toe dat bedrijven die gegevens verzamelen volgens de wet werken. Bedrijven die dit nalaten kunnen boetes tegemoet zien, welke kunnen oplopen tot maar liefst 20 miljoen euro.



Meer informatie:

Bereid u voor op de AVG in tien stappen
Voldoet jouw website aan de AVG?
Zo is je privacyverklaring AVG/GDPR-proof


Let op. Aan dit artikel kunnen geen rechten ontleend worden.






10-stappenplan Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens heeft een 10-stappenplan ontwikkeld om organisaties voor te bereiden op de nieuwe AVG-wet.

Bekijk het origineel via deze link

  • Stap 1: Bewustwording
    Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels.
  • Stap 2: Rechten van betrokken Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten.
  • Stap 3: Overzicht verwerkingen
    Breng uw gegevensverwerkingen in kaart.
  • Stap 4: Data protection impact assessment Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren.
  • Stap 5: Privacy bij design & privacy by default Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.
  • Stap 6: Functionaris voor de gegevensberscherming Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen.
  • Stap 7: Meldplicht datalekken De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde.
  • Stap 8: Verwerkersovereenkomsten Heeft u uw gegevensverwerking uitbesteed aan een verwerker? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw verwerkers nog steeds toereikend zijn.
  • Stap 9: Leidende toezichthouder
    Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen.
  • Stap 10: Toestemming
    Voor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming.