Wat betekent de nieuwe privacywetgeving AVG voor jouw organisatie?

Op vrijdag 25 mei 2018 wordt de nieuwe privacywetgeving van kracht. Deze Algemene Verordening Gegevensbescherming – afgekort AVG – vervangt de huidige Wet Bescherming Persoonsgegevens. Een belangrijke aanleiding voor de invoering van deze nieuwe wet is de huidige uiteenlopende wetgeving op het gebied van privacy in de landen van de Europese Unie. Dit leidt tot verschillende rechten van burgers en tot verschillende plichten van bedrijven & organisaties in deze landen. En dat gaat voorbij aan 1 van de doelstellingen van de Europese Unie om alle burgers en bedrijven dezelfde rechten en plichten te geven. De Engelse naam van deze wetgeving is GDPR – de General Data Protection Regulation en kom je ook regelmatig tegen.

Op wie is de AVG van toepassing?
De AVG is van toepassing op alle organisaties die op één of andere manier persoonsgegevens verzamelen en verwerken. Een concreet voorbeeld: een afspraak met een klant of het noteren van een telefoonnummer van een klant valt hier ook onder. Jouw bedrijf valt dus al heel snel onder de AVG. Het geldt bovendien niet alleen voor grote multinationals maar ook voor kleine zelfstandigen. Ook geldt het niet alleen voor bedrijven maar ook voor bijvoorbeeld scholen en sportverenigingen. Enkel en alleen het verzamelen en verwerken van persoonsgegevens zorgt ervoor dat je onder de strekking van de wet valt. Voldoe je niet aan de wetgeving dan loop je het risico op een boete van maximaal € 20 miljoen of 4% van de wereldwijde omzet. Hierbij gaat het om de hoogste van deze 2 bedragen.

Algemene consequenties van de AVG
Iedere organisatie zal meer verplichtingen krijgen bij het verwerken van persoonsgegevens. Je moet – met documenten - kunnen laten zien dat je voldoende organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen. Organisaties kunnen verplicht worden om een soort impactonderzoek uit te voeren of zelfs iemand in dienst te hebben voor het controleren van de gegevensbescherming. Bovendien moeten organisaties toestemming vragen – de zogenoemde geldige toestemming - aan burgers om hun gegevens te mogen verwerken. En dat moet ook aangetoond kunnen worden.

Burgers krijgen bijvoorbeeld het recht om inzage te krijgen in de gegevens die verwerkt zijn. Daarnaast krijgen burgers het recht om hun gegevens te laten verwijderen – het recht om vergeten te worden - of om een bedrijf te verplichten om hun gegevens door te geven aan de concurrent als de burger wil overstappen.

Consequenties voor je website/webshop
De volgende punten zal je voor je website/webshop minimaal moeten regelen:

  • Een duidelijke privacy verklaring: welke persoonsgegevens verzamel je en hoe verwerk/gebruik je deze gegevens.
  • Een cookie verklaring: welke cookies gebruik je en hoe ga je hier verder mee om.
  • Implementeren van een SSL certificaat om persoonsgegevens versleuteld te kunnen verwerken.
  • Informeren van de bezoeker van je site over het doel van de verzameling van persoonsgegevens. Ook moet je toestemming vragen voor het verzamelen van de persoonsgegevens.
  • Je moet de bezoeker de mogelijkheid geven om alle verzamelde gegevens op te vragen. Ook als deze op verschillende plaatsen in de organisatie verzameld worden. Denk aan gegevens in de webshop, je CRM maar ook losse formulierreacties.
  • Als iemand gebruik wil maken van zijn recht om vergeten te worden dan zal je alle persoonsgegevens moeten wissen. Denk hierbij bijvoorbeeld aan nieuwsbriefaanmeldingen, accountgegevens of geplaatste orders die vaak op verschillende plekken in de organisatie bijgehouden worden.
  • Zorg dat iedere gebruiker van het CMS op maat gemaakte rechten Houd bovendien de acties bij die iedere gebruiker uitvoert.
  • Om te voorkomen dat iemand een account aanmaakt onder de naam van iemand anders is het nodig om accountverificatie toe te passen.
  • Om te voorkomen dat iemand een wachtwoord kan resetten namens een ander is het nodig om een verificatiestap in te bouwen zodat je zeker weet dat de juiste persoon het wachtwoord wil resetten.
  • Wachtwoordsterkte waarborgen door het integreren van een wachtwoord policy. Op deze manier kan de privacy beter beschermd worden.

 

Meer weten?
Zoals je ziet, heeft de nieuwe privacywetgeving vergaande consequenties voor jouw manier van omgaan met persoonsgegevens. Vaak zullen die gegevens op dit moment op verschillende plekken in jouw bedrijf bijgehouden worden waardoor de kans dat het niet goed gaat groter wordt. Een centrale database met alle gegevens daarin is dan een mogelijke oplossing. Verder kun je een aantal zaken prima zelf regelen.

Wil je echter zeker weten dat jij de persoonsgegevens op een juiste manier verwerkt en dat je voldoet aan de AVG, neem dan contact met ons op. Door onze ruime ervaring met deze materie kunnen wij je goed en snel helpen zodat jouw website klaar is voor 25 mei aanstaande.