Hoe je als organisatie AVG-proof wordt

In deze blog stip ik graag de (digitale) consequenties van de AVG aan. De volledige wetteksten zijn onderaan deze pagina te downloaden. Als je dieper de 'kleine lettertjes' van de wet in wil duiken, raad ik je aan om met een jurist om tafel te gaan. Ieder zijn vak zullen we maar zeggen ?

Check-up

De AVG heeft gevolgen voor de gehele bedrijfsvoering van een organisatie. Zo ook op het digitale vlak. Maar wat zijn eigenlijk de concrete gevolgen hiervan? En moet ik zelf ook iets doen? Om je digitale platformen AVG-proof te maken, zou je moeten beginnen met jezelf onderstaande vragen te stellen: 

1. Heeft je website een SSL-certificaat?
2. Heeft je website een correcte cookiemelding?
3. Staat er een privacy policy op je website?
4. Staan er algemene voorwaarden op je website?
5. Hoe ga je om met persoonsgegevens?
6. Voldoen je nieuwsbrieven aan de privacy-regelgeving?
7. Respecteer je de privacy van gebruikers op je social media kanalen?
8. Heb je verwerkersovereenkomsten afgesloten?

Voor de duidelijkheid; bovenstaande punten dekken nog niet de hele lading, het zijn de belangrijkste vraagstellingen op het digitale vlak van de AVG.

1. Heeft je website een SSL-certificaat?

Een wat voor certificaat? Een SSL-certificaat is een certificaat dat de beveiligingsgraad van je webplatform aangeeft. SSL is herkenbaar aan 'https' voorafgaand aan een url. Met een SSL-beveiliging is het verkeer op je webplatform beveiligd aan de hand van zeer sterke encryptie. Data wordt versleuteld verzonden, waardoor gegevens niet door derden 'meegelezen' of aangepast kunnen worden. 

Tegenwoordig geven platformen zoals Facebook en Google, maar ook browsers zoals Google Chrome en Mozilla Firefox waarschuwingen wanneer je een website zonder SSL-certificaat bezoekt. Een dergelijke waarschuwing kan natuurlijk enorm afschrikken, waardoor een potentiële bezoeker wellicht al vertrokken is voordat hij of zij überhaupt je website heeft gezien. Een SSL-certificaat is dus een echte must-have!

2. Heeft je website een correcte cookiemelding?

Een cookiemelding informeert de websitebezoeker dat een website gebruikt maakt van cookies. Maar waar moet een cookiemelding eigenlijk aan voldoen?

• Allereerst moet de melding helder en ondubbelzinnig zijn. Gebruik dus geen vage bewoordingen die bezoekers kunnen verwarren (of zelfs om de tuin leiden). Wees concreet én eerlijk over welke cookies je plaatst en waarom.
• Een ander cruciaal punt is dat er voor sommige cookies expliciete toestemming van de gebruiker nodig is. Cookies zijn grofweg op te delen in drie verschillende soorten: functionele cookies, analytische cookies en tracking cookies.

Functionele cookies

Functionele cookies zijn nodig om de website, de naam zegt het al, goed te laten functioneren. Sommige functionaliteiten op een website kunnen namelijk niet functioneren zonder cookies. Denk bijvoorbeeld aan het opslaan van producten in je winkelmand bij webshops. Maar denk bijvoorbeeld ook aan het opslaan van gebruikersvoorkeuren, het automatisch ingelogd blijven of het correct tonen van lettertypes. Functionele cookies dragen direct bij aan de gebruikerservaring van de website. Erg prettig dus.

Voor het plaatsen van functionele cookies hoef je geen toestemming te vragen aan de bezoeker.

Analytische cookies

Analytische cookies maken het mogelijk om het gebruik en prestaties van een website te meten en te analyseren. De meest voorkomende analytische cookies zijn die van Google Analytics. Bijna elke website maakt gebruik van analytische cookies. Logisch, want ze geven enorm veel inzichten. Inzichten die gebruikt worden om de website te verbeteren en meer aan te laten sluiten op de wensen en behoeften van de doelgroep. 

De privacy van de bezoeker blijft bij deze cookies gewaarborgd, want de data wordt namelijk geanonimiseerd. De uitgevoerde acties zijn dus niet te herleiden naar een persoon. Voor analytische cookies die enkel worden gebruikt om het website-verkeer te analyseren, hoef je geen toestemming te vragen aan de bezoeker. Wel moet je de bezoekers hierover duidelijk informeren in een cookie- of privacyverklaring.

Over analytische cookies moet je bezoekers informeren. Er is echter geen expliciete toestemming nodig.

Tracking cookies

Tracking cookies worden gebruikt om het gedrag van de bezoekers binnen een domein of meerdere domeinen vast te leggen. Marketeers kunnen deze cookies gebruiken om mensen te benaderen met gerichte content en/of advertenties.  Denk bijvoorbeeld aan remarketing, waarbij geïnteresseerde bezoekers (opnieuw) benaderd worden met advertenties die aansluiten bij hun interesses. Heb je bijvoorbeeld een paar nieuwe Nike sneakers bekeken, dan is de kans groot dat je enkele minuten, uren of dagen later advertenties van deze of vergelijkbare sneakers te zien krijgt op bijvoorbeeld Facebook of Nu.nl. Let op; voor het plaatsen van tracking cookies is expliciete toestemming van de bezoeker nodig. Pas nadat de bezoeker deze toestemming heeft gegeven mogen de cookies geplaatst worden.

Voor tracking cookies moet je expliciet toestemming vragen aan de bezoeker.

3. Staat er een privacy policy op je website?

Een privacy policy is een document dat vermeldt hoe jouw organisatie omgaat met verzamelde persoonsgegevens, bijvoorbeeld op een website of in een app. Het is verplicht om een correcte privacy policy op je website te hebben staan, zodat bezoekers weten welke persoonsgegevens voor welke doeleinden worden opgeslagen. Een privacy policy moet minimaal de volgende punten bevatten:

• De identiteit van de verantwoordelijke.
• De doeleinden van de verwerking.
• Het cookiebeleid.
• In hoeverre het verplicht is om gegevens te verstrekken.
• Wie de ontvangers zijn van de gegevens.
• Vermelding van eventueel gebruik van geautomatiseerde gegevensverzameling.
• De rechten van de betrokkenen.
• Het beveiligingsniveau.
• Een vermelding van de contactpersoon.

Een privacy policy is dus een belangrijk juridisch onderdeel van je website. Veel bedrijven denken dit wel even te kunnen 'copy-pasten' van andere websites, maar door de organisatie-specifieke inhoud is dat dus niet zomaar mogelijk. Aangezien een privacy policy van juridisch belang is adviseren we om dit niet zomaar even in elkaar te knutselen, maar om dit zorgvuldig op te laten stellen door een jurist. 

4. Staan er algemene voorwaarden op je website?

Worden er directe sales op je webplatform gedaan (bijvoorbeeld in een webshop) dan moeten ook de algemene voorwaarden online te vinden zijn. Het is echter geen plek om alle soorten toestemmingen en kleine lettertjes in weg te moffelen. Indien er ergens toestemming van de bezoeker nodig is, zul je hier expliciet om moeten vragen. Zie hiervoor artikel 7 lid 2 uit de AVG: 

Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.

Heb je een webshop? Dan is het verplicht om algemene voorwaarden op de website te plaatsen.

5. Hoe ga je om met persoonsgegevens?

Waar blijf je met alle gegevens die je verzamelt. En hoe lang bewaar je ze? In mijn vorige blog vertelde ik al dat het belangrijk is om onder andere te inventariseren:

• Welke persoonlijke data je opslaat.
• Hoe lang je deze opslaat. 
• Of je deze data eerlijk hebt verkregen.
• Of je toestemming gevraagd hebt.
• Of je ervoor zorgt dat de data niet langer opgeslagen wordt dan noodzakelijk.
• Of mensen meteen uit de database verwijderd worden als zij hierom vragen.
• Of je gevoelige data zoals genetische gegevens, religieuze gegevens enzovoorts verzamelt of verwerkt. En zo ja, of je voldoet aan de normen om deze data te verzamelen, te verwerken en op te slaan (zie hiervoor artikel 9 van de AVG).

Wellicht bewaar je persoonsgegevens van sollicitanten. Deze gegevens mogen maximaal vier weken na einde van de sollicitatieperiode bewaard blijven. Zie artikel 5 lid 1 & 2 van de AVG voor een uitgebreide opsomming waaraan de verwerking van persoonsgegevens moet voldoen:

1. Persoonsgegevens moeten:

a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);

c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);

d) juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”); 4.5.2016 NL Publicatieblad van de Europese Unie L 119/35 ( 1 ) Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij.

e) worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”);

f) door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”).

2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).

6. Voldoen je nieuwsbrieven aan de privacy-regelgeving?

Mag ik mijn klanten nog wel mailen? Ja; wees niet bang. Bestaande klanten mogen gewoon gemaild worden. Er zijn echter wel een paar richtlijnen waar je aan moet voldoen. Denk bijvoorbeeld aan een uitschrijf-mogelijkheid die er altijd en bij elke mail moet zijn. Denk er wel aan dat je 'niet-klanten' niet zomaar mag mailen. Zij moeten je expliciet toestemming geven voordat je ze nieuwsbrieven of reclame mag sturen. 

7. Respecteer je de privacy van gebruikers op je social media kanalen?

Het klakkeloos plaatsen van trackingcookies is verboden onder de AVG. Je moet expliciet toestemming aan de gebruiker vragen. Dit geldt ook voor het delen van e-mailadressen met Facebook & Google voor bijvoorbeeld zogenaamde 'aangepaste doelgroepen'. Advertentiefuncties als remarketing zijn gebaseerd op dit soort cookies, waarvoor je onder de AVG een duidelijke opt-in (toestemming) nodig hebt. Bovendien moet de gebruiker zijn of haar toestemming ook weer net zo makkelijk kunnen intrekken met een opt-out. Zie hiervoor artikel 7 lid 3 uit de AVG:

De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.

Andere targeting-mogelijkheden op social media (zoals de interesses op Facebook, of bedrijfsbranche op LinkedIn) mag je wel gewoon gebruiken zonder expliciet toestemming te vragen van je bezoekers. De verantwoordelijkheid hiervoor ligt namelijk bij het social media kanaal. Zij dienen deze toestemmingen met hun bezoekers te regelen, niet jij.

8. Heb je verwerkersovereenkomsten afgesloten?

Als andere partijen toegang hebben tot jouw systemen en persoonsgegevens kunnen inzien of bewerken, dan moet je als verwerkingsverantwoordelijke (wat voorheen bekend stond als 'verantwoordelijke') en verwerker (wat voorheen bekend stond als 'bewerker') een verwerkersovereenkomst afsluiten. Dit is echter niet nieuw en moest onder de WBP (Wet Bescherming Persoonsgegevens) ook al. Zie hiervoor artikel 28 lid 1 van de AVG:

Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.

Nog niet volledig? Of volledig de weg kwijt?

Het is slechts een greep uit de vragen die je jezelf moet stellen om te kunnen voldoen aan de digitale AVG-richtlijnen. Wij kunnen ons echter voorstellen dat jouw organisatie hier niet zomaar pasklare antwoorden op heeft. Daarom helpen wij je graag om deze antwoorden te verzamelen en om eventuele digitale tekortkomingen te verhelpen. Neem gerust contact op.