Wat is de GDPR en is uw bedrijf er klaar voor?
Op 25 mei 2018 gaat de nieuwe Europese privacywetgeving van start. De General Data Protection Regulations (GDPR) of in het Nederland de Algemene Verordening Gegevensbescherming (AVG). Deze wetgeving staat in het teken van het beschermen van de privacy en persoonsgegevens van iedere Europese burger. Maar wat houdt dit in? En wat verandert er ten opzichte van de huidige wetgeving?
Is uw organisatie klaar voor de GDPR? Bekijk de checklist hieronder
Het doel van de nieuwe wetgeving is om Europese burgers meer controle te geven over hun persoonsgegevens maar ook meer mogelijkheden om voor zichzelf op te komen bij de verwerking van deze gegevens. Persoonsgegevens zijn “Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Hieronder staat in hoofdlijnen wat de nieuwe wetgeving inhoudt en wat dit voor bedrijven kan betekenen.
Transparantie
De nieuwe wetgeving vereist dat bedrijven openheid geven over hoe persoonsgegevens verwerkt worden. Deze informatie moeten bedrijven plaatsen onder de privacyverklaring die vaak op de website staat. Daarnaast moeten bedrijven medewerkers die werken met persoonsgegevens bewust maken van de nieuwe wetgeving. Bij transparantie horen ook de rechten van de betrokkenen. Denk hierbij aan de bestaande rechten zoals het recht op inzage en het recht op correctie en verwijdering van persoonsgegevens. En nieuwe rechten zoals het recht op dataportabiliteit. Dit is het gemakkelijk verkrijgen van eigen gegevens om ze vervolgens te kunnen doorgeven aan andere organisaties.
Toestemming (rechtsgrond)
Bedrijven moeten binnenkort toestemming vragen voor het vergaren van gegevens. Dit betekent dat er een specifieke reden nodig is voor het verzamelen van persoonsgegevens. Voor deze specifieke reden moet men toestemming geven. De persoonsgegevens mogen dan niet voor andere doeleinden worden gebruikt. Bijvoorbeeld bij het versturen van een online aankoop heb je een bepaalde set gegevens nodig zoals naam en adresgegevens. Wordt er in deze set gegevens iets gevraagd wat niet noodzakelijk is dan moet de reden voor het vragen van dit stuk data erbij vermeld worden en mag het veld niet verplicht zijn. Het vragen van een dataset voor een bepaalde reden noemt men rechtsgrond.
Aansprakelijkheid
Werk je binnen jouw organisatie met persoonsgegevens? Dan ben je verantwoordelijk voor de verwerking hiervan. Werk je samen met partners of externe bedrijven die de persoonsgegevens voor je verwerken? Dan ben je hier ook verantwoordelijk voor tenzij dit anders is geregeld in de verwerkingsovereenkomst. In deze overeenkomst leg je de aansprakelijkheid en de verantwoordelijkheden vast, zorg er dus voor dat de overeenkomsten GDPR proof zijn. Laat desnoods een jurist checken of dit het geval is.
Privacy by default & privacy by design
Omdat het voor bedrijven niet is toegestaan meer persoonsgegevens te verwerken dan noodzakelijk (dataminimalisatie), zijn hier twee wettelijke verplichten voor in het leven geroepen, privacy by design en privacy by default. Privacy by design betekent dat men al rekening houdt met persoonsgegevens bij het ontwerpen van producten en diensten. Dit gaat met name om dataminimalisatie. Privacy by default wil zeggen dat de standaard instellingen van een systeem of website altijd op de meest privacy vriendelijke stand moet staan. Het is aan de gebruiker om zelf zijn privacy setting aan te passen. Een voorbeeld hiervan is dat opt-in boxjes bij formulieren niet standaard aangevinkt mogen staan.
Datalekken
Het kan door omstandigheden altijd gebeuren dat er een datalek plaatsvindt. De GDPR stelt dat wanneer er een lek geconstateerd wordt het bedrijf dat verplicht binnen 72 uur moet melden bij de autoriteit persoonsgegevens. In dit opzicht is niets veranderd ten opzichte van de wet datalekken.
DPO en DPIA
Het kan zijn dat je organisatie een Data Protection Officer (DPO) moet aanstellen. Een DPO ofwel een functionaris voor de gegevensbescherming is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de GDPR. Hier kan je kijken of uw organisatie verplicht is een DPO aan te stellen. Of je nu wel of niet verplicht bent een DPO aan te stellen, is het slim om iemand binnen uw organisatie verantwoordelijk te maken voor het dataveiligheidsbeleid. Onder de GDPR kan je verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Bekijk hier of je organisatie verplicht is een DPIA uit te voeren.
Wat betekenen deze hoofdlijnen nu concreet voor bedrijven? Hieronder hebben we een aantal concrete acties opgesteld waar je als bedrijf rekening mee kan houden.
Dit blogitem inclusief praktische tips is een mooi startpunt om je bewust te maken wat de nieuwe privacywetgeving inhoudt. Maar aangezien iedere organisatie anders is ben je zelf verantwoordelijk om uit te zoeken wat voor jouw organisatie van toepassing is. Voor meer gedetailleerde informatie verwijzen we je door naar de website van de Autoriteit Persoonsgegevens.
Wilt u zeker weten dat uw privacybeleid in overeenstemming is met de nieuwe wetgeving GDPR / AVG? Neem een kijkje op www.privacyminds.nl. PrivacyMinds helpt om grip te krijgen op de GDPR / AVG regelgeving.
Zijn er zaken die wij voor uw website kunnen implementeren? Wij helpen u graag verder.
De GDPR in hoofdlijnen
Transparantie
De nieuwe wetgeving vereist dat bedrijven openheid geven over hoe persoonsgegevens verwerkt worden. Deze informatie moeten bedrijven plaatsen onder de privacyverklaring die vaak op de website staat. Daarnaast moeten bedrijven medewerkers die werken met persoonsgegevens bewust maken van de nieuwe wetgeving. Bij transparantie horen ook de rechten van de betrokkenen. Denk hierbij aan de bestaande rechten zoals het recht op inzage en het recht op correctie en verwijdering van persoonsgegevens. En nieuwe rechten zoals het recht op dataportabiliteit. Dit is het gemakkelijk verkrijgen van eigen gegevens om ze vervolgens te kunnen doorgeven aan andere organisaties.
Toestemming (rechtsgrond)
Bedrijven moeten binnenkort toestemming vragen voor het vergaren van gegevens. Dit betekent dat er een specifieke reden nodig is voor het verzamelen van persoonsgegevens. Voor deze specifieke reden moet men toestemming geven. De persoonsgegevens mogen dan niet voor andere doeleinden worden gebruikt. Bijvoorbeeld bij het versturen van een online aankoop heb je een bepaalde set gegevens nodig zoals naam en adresgegevens. Wordt er in deze set gegevens iets gevraagd wat niet noodzakelijk is dan moet de reden voor het vragen van dit stuk data erbij vermeld worden en mag het veld niet verplicht zijn. Het vragen van een dataset voor een bepaalde reden noemt men rechtsgrond.
Aansprakelijkheid
Werk je binnen jouw organisatie met persoonsgegevens? Dan ben je verantwoordelijk voor de verwerking hiervan. Werk je samen met partners of externe bedrijven die de persoonsgegevens voor je verwerken? Dan ben je hier ook verantwoordelijk voor tenzij dit anders is geregeld in de verwerkingsovereenkomst. In deze overeenkomst leg je de aansprakelijkheid en de verantwoordelijkheden vast, zorg er dus voor dat de overeenkomsten GDPR proof zijn. Laat desnoods een jurist checken of dit het geval is.
Privacy by default & privacy by design
Omdat het voor bedrijven niet is toegestaan meer persoonsgegevens te verwerken dan noodzakelijk (dataminimalisatie), zijn hier twee wettelijke verplichten voor in het leven geroepen, privacy by design en privacy by default. Privacy by design betekent dat men al rekening houdt met persoonsgegevens bij het ontwerpen van producten en diensten. Dit gaat met name om dataminimalisatie. Privacy by default wil zeggen dat de standaard instellingen van een systeem of website altijd op de meest privacy vriendelijke stand moet staan. Het is aan de gebruiker om zelf zijn privacy setting aan te passen. Een voorbeeld hiervan is dat opt-in boxjes bij formulieren niet standaard aangevinkt mogen staan.
Datalekken
Het kan door omstandigheden altijd gebeuren dat er een datalek plaatsvindt. De GDPR stelt dat wanneer er een lek geconstateerd wordt het bedrijf dat verplicht binnen 72 uur moet melden bij de autoriteit persoonsgegevens. In dit opzicht is niets veranderd ten opzichte van de wet datalekken.
DPO en DPIA
Het kan zijn dat je organisatie een Data Protection Officer (DPO) moet aanstellen. Een DPO ofwel een functionaris voor de gegevensbescherming is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de GDPR. Hier kan je kijken of uw organisatie verplicht is een DPO aan te stellen. Of je nu wel of niet verplicht bent een DPO aan te stellen, is het slim om iemand binnen uw organisatie verantwoordelijk te maken voor het dataveiligheidsbeleid. Onder de GDPR kan je verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Bekijk hier of je organisatie verplicht is een DPIA uit te voeren.
Waar moet je als bedrijf op letten? (checklist)
Wat betekenen deze hoofdlijnen nu concreet voor bedrijven? Hieronder hebben we een aantal concrete acties opgesteld waar je als bedrijf rekening mee kan houden.
- Identificeer welke persoonsgegevens je verwerkt
Als een soort van 0-meting kan je als bedrijf starten met te identificeren welke persoonsgegevens je verwerkt binnen je organisatie. Dit kan resulteren in een document welke laat zien hoe data binnenkomt, opgeslagen wordt, met wie het is gedeeld en het bedrijf weer verlaat.
- Welke formulieren gebruik je en heb je rechtsgrond (toestemming) om deze gegevens te verwerken?
Ga na of de gegevens die je vraagt in de formulieren op je website het doel nastreven. Worden er overbodige gegevens gevraagd? Wordt er vermeld waarom de gegevens gevraagd worden? Zijn de opt-in boxjes voor het aanmelden van nieuwsbrieven en/of acties standaard uit? Hier dient rekening mee gehouden te worden.
- Heb je een duidelijke privacyverklaring op je website?
Is er een privacyverklaring aanwezig? Zo ja, probeer in deze tekst op een begrijpelijke manier uit te leggen wat je privacy statement is. Heb je deze nog niet, dan kan je via deze handige Privacy Verklaring Generator van veiliginternetten.nl je eigen privacyverklaring maken.
- Maak je gebruik van Google Analytics als trackingsoftware? Volg dan de 4 stappen!
Wanneer je gebruikt maakt van Google Analytics dan moet je een overeenkomst sluiten met Google. Google is de dataverwerker maar degene die gebruikt maakt van Analytics is de eindverantwoordelijke. Deze overeenkomst afsluiten is een simpele handeling die onder accountinstellingen te vinden is.
Vervolgens is het zaak om IP-adressen te anonimiseren. Google biedt de mogelijkheid om het laatste gedeelte van het IP-adres anoniem te maken.
In de standaardinstellingen van Google Analytics is aangevinkt dat je gegevens deelt met Google voor 4 doelen, namelijk:
- Uitsluitend bij andere Google producten
- Anoniem met Google en anderen
- Technische ondersteuning
- (toegang voor Google-) accountspecialisten
Wanneer deze instellingen niet worden gewijzigd gaat u automatisch akkoord met het feit dat Google de verzamelde persoonsgegevens van uw bezoekers voor eigen doeleinden gebruikt, bijvoorbeeld voor het maken van benchmarks van de prestaties van vergelijkbare websites en verbetering van de Analytics-dienst. Bij accountinstellingen kunt u de gewenste opties selecteren.
Als laatste is het verplicht om bezoekers van je website te informeren over de Google Analytics tracking cookies en het privacy beleid. Dit alles in het kader van transparantie. Zorg voor een duidelijke cookiemelding en een begrijpelijke privacyverklaring. Hier vindt je de gedetailleerde handleiding van Google met uitleg over de privacyinstellingen.
- Er zijn nieuwe eisen aan de cookiemelding, is jouw website al up-to-date
De tekst “Doordat je deze website bezoekt, gaan we ervan uit dat je akkoord gaat met cookies” mag straks niet meer onder de GDPR. Voor iedere cookie die een bezoeker apart kan identificeren, moet toestemming worden gegeven. Een cookiewall, waarmee je gebruikers verplicht cookies te accepteren voordat ze de site mogen bekijken, mag je straks niet meer gebruiken. Zorg er dus voor dat je cookiemelding gebruiksvriendelijk en duidelijk is.
- Heeft jouw website al een HTTPS verbinding (SSL)
Onder de GDPR ben je verplicht om te zorgen voor een optimale beveiliging van persoonsgegevens. Sla je formulieren of nieuwsbriefaanmeldingen op via je site? Dan is HTTPS verplicht. Heeft u nog geen SSL certificaat? Wij installeren deze graag voor u. Meer informatie over SSL certificaten vindt u hier.
Ook een SSL certificaat op je website?
- Zijn de verwerkingsovereenkomsten goed geregeld?
Worden er zaken uitbesteed omtrent het verwerken van persoonsgegevens? Zorg er dan voor dat je verwerkingsovereenkomsten up-to-date zijn volgens de GDPR. Een verwerkersovereenkomst wordt gesloten tussen een verwerkingsverantwoordelijke en een verwerker. Dit zijn begrippen die in de AVG (GDPR) worden gedefinieerd. Hierbij kan je denken aan hostingpartijen.
- Heeft je bedrijf al een databeveiligingsbeleid?
Als bedrijf kan je ter voorbereiding op de GDPR al een databeveiligingsbeleid opstellen. Hierin maak je duidelijk hoe de data die binnenkomt opgeslagen en beveiligd wordt. Hieronder vind je een aantal punten die terugkomen in een databeveiligingsbeleid:
- Toegangscontrole, met gebruik van sterke wachtwoorden.
- Logging van handelingen rondom de persoonsgegevens
- Fysieke maatregelen voor toegangsbeveiliging
- Encryptie van bestanden met persoonsgegevens
- Steekproefsgewijze controle op naleving van het beleid
- Beheer van kopieën en back-ups
- Beveiliging van netwerkverbindingen
- Aanstellen van een data protection officer (functionaris voor de gegevensbescherming) indien nodig
Dit blogitem inclusief praktische tips is een mooi startpunt om je bewust te maken wat de nieuwe privacywetgeving inhoudt. Maar aangezien iedere organisatie anders is ben je zelf verantwoordelijk om uit te zoeken wat voor jouw organisatie van toepassing is. Voor meer gedetailleerde informatie verwijzen we je door naar de website van de Autoriteit Persoonsgegevens.
Wilt u zeker weten dat uw privacybeleid in overeenstemming is met de nieuwe wetgeving GDPR / AVG? Neem een kijkje op www.privacyminds.nl. PrivacyMinds helpt om grip te krijgen op de GDPR / AVG regelgeving.
Zijn er zaken die wij voor uw website kunnen implementeren? Wij helpen u graag verder.