Alles wat je moet weten over de AVG-wet

Alles wat je moet weten over de AVG-wet

Met de explosieve groei van het internet is de wetgeving de afgelopen jaren achtergebleven. Het gevolg is dat bedrijven zoveel mogelijk data van je proberen te verzamelen zodat ze geld aan je kunnen verdienen (lees deze blogpost over Google om een inzicht te krijgen wat Google o.a. over je verzamelt). Juridisch gezien was er dan nog weinig wat je er als betrokkene tegen kon doen. De Europese Unie probeert nu met de nieuwe AVG wet de betrokkene meer macht te geven over zijn of haar privacy. Met deze blog geven wij jou een totaal beeld over wat je als consument en als organisatie allemaal moet weten over de nieuwe wetgeving.

Onderwerpen:

  1. Wat is de AVG?
  2. Wanneer mogen organisaties mijn persoonsgegevens bewaren?
  3. Wat heb ik aan de AVG-wet?
  4. Wat gebeurd er als organisaties zich niet aan de AVG houden?
  5. Wat verandert er voor organisaties met websites, online applicaties en apps?
  6. Welke veranderingen moet ik maken om aan de AVG-wet te voldoen?
  7. Wat moet er in de nieuwe privacyverklaring beschreven staan?
  8. Hoe moet ik mijn cookiemelding aanpassen op de AVG-wet?
  9. Wanneer wordt de wet van kracht?

Wat is de AVG?
De AVG, ofwel Algemene verordening gegevensbescherming, is wet die ervoor zorgt dat er eenzelfde privacywetgeving geldt in de hele Europese Unie. Hiermee volgt de AVG de huidige Nederlandse Wet bescherming persoonsgegevens (Wbp) op. De AVG moet zorgen voor een versterking en uitbreiding van privacyrechten en meer verantwoordelijkheid voor organisaties. Aan deze wetgevingen moeten alle organisaties zich houden op de politie en justitie na. Voor deze overheidsorganisaties geldt een versoepelde regelgeving.

Wanneer mogen organisaties mijn persoonsgegevens bewaren?
Volgens de AVG mogen bedrijven niet zomaar persoonsgegevens bewaren. Onder persoonsgegevens werden tot voor kort alleen namen, adressen en dergelijke gezien. Met de AVG wordt dit uitgebreid met IP-adressen, MAC-adressen, cookies, CV’s en video sollicitaties. De organisatie moet aan één van de hierna zes genoemde voorwaarde voldoen voordat zij jouw persoonsgegevens mogen verwerken of bewaren:

  • Toestemming: De betrokkene zijn ondubbelzinnige toestemming gegeven voor de verwerking van haar of zijn gegevens.
  • Uitvoering overeenkomst: Het is noodzakelijk voor de uitvoering van een overeenkomst dat de betrokkene partij haar of zijn gegevens verstrekt.
  • Wettelijke verplichting: Het is om een wettelijke verplichting na te komen van belang dat de betrokken partij haar of zijn gegevens verstrekt.
  • Vitaal belang: Om ernstige bedreigingen aan de gezondheid van de betrokken te bestrijden is het van belang dat de gegevens van de betrokkene verstrekt wordt.
  • Publiekrechtelijke taak: Het is voor de vervulling van een publieke taak van belang dat de gegevens van de betrokkene verstrekt worden.
  • Gerechtvaardigd belang: Het kan gerechtvaardigd worden dat de verstrekte gegevens van de betrokkene noodzakelijk is voor het behartigen van een gerechtvaardigd belang.

Wat heb ik aan de AVG-wet?
Met de nieuwe wet krijg je verschillende rechten als kandidaat over je privacy. Deze rechten geven je als kandidaat meer inzage en controle over je gegevens bij organisaties.
De belangrijkste verschillende rechten die je krijgt als gebruiker:

  • Als kandidaat heb je het recht op inzage. Voor de kandidaat betekent dit dat zij het recht heeft om zijn of haar gegevens in te zien die door een organisatie verwerkt of bewaart zijn.
  • Het recht op rectificatie en aanvulling betekent dat je als kandidaat het recht hebt om persoonsgegevens die je als kandidaat verwerkt te wijzigen
  • Met het recht recht op vergetelheid kan de kandidaat zijn of haar gegevens op elk moment laten vernietigen wanneer de kandidaat hierom vraagt. Het gaat hier om gegevens die een organisatie verwerkt of bewaard van een kandidaat.  
  • Recht op dataportabiliteit maakt het voor de kandidaat mogelijk om gegevens van een ene organisatie naar een andere te kunnen doorgeven.
  • Als kandidaat heb je het recht op informatie. Dit betekent voor de kandidaat dat zij het recht heeft op informatie van wat er met zijn of haar gegevens gebeurt.
  • Het recht op beperking van de verwerking geeft de kandidaat het recht om minder gegevens te laten verwerken.

Wat gebeurd er als organisaties zich niet aan de AVG houden?
Als de AVG overtreden wordt, kunnen organisaties hogere boetes verwachten. Deze boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Dit is een beduidend hoger maximaal bedrag dan bij de huidige Wbp. Bij de Wbp is de maximale boete 900.000 euro.

Wat verandert er voor organisaties met websites, online applicaties en apps?
Voor organisaties met websites, online applicaties en apps brengt de nieuwe wet nog de meeste veranderingen mee. De belangrijkste veranderingen voor organisaties:

  • Persoonsgegevens: zoals al eerder in het artikel beschreven staat, wordt met de nieuwe wet IP-adressen, MAC-adressen, cookies, CV’s en video sollicitaties ook als persoonsgegevens gezien. Dit betekent dat jouw organisatie al snel privacygevoelige informatie heeft van de gemiddelde bezoeker. Daarnaast brengt de wet mee dat persoonsgegevens die opgeslagen worden, ook tot een minimum wordt gebracht. Als organisatie moet je daardoor jouw processen over hoe je data verzamelt en gebruikt, compleet gaan heroverwegen en indien nodig, aanpassen. Op websites zal door deze verandering ook vaker gevraagd worden of data verzameld mag worden door de organisatie. Als de klant zijn persoonsgegevens wilt laten verwijderen moet de organisatie dit binnen één maand uitvoeren. Het probleem hiervan is dat de backoffice van lang niet alle bedrijven hierop ingericht is. Als laatst moet er intern een privacybeleid komen waarin staat wie welke rol heeft bij de omgang van persoonsgegevens waar naar werknemers ook getraind moeten worden. Dit zal extra kosten voor organisaties meebrengen.
  • Transparantie: Transparantie wordt belangrijker in de nieuwe wet en dit brengt mee dat organisaties daarop hun privacyverklaring moet aanpassen. Het moet dus voor vrijwel elke individu mogelijk zijn om door middel van de privacyverklaring te lezen, er achter te komen wat er met zijn of haar gegevens gebeurd.
  • Datalekken: Datalekken moeten constant bijgehouden worden. Gedeputeerde moeten volgens de nieuwe wet ook over het datalek geïnformeerd worden. Dit zorgt voor meer werk voor organisaties en, in het geval van een lek, voor een grotere imagoschade van de organisatie.
  • Gegevens verspreiding: Als je organisatie voortaan met bedrijven samenwerkt dan kan je ook op extra werk rekenen. Zo moet er bij het van kracht gaan van de nieuwe wet tussen de partijen een verwerkersovereenkomst getekend worden als er een uitwisseling van gegevens plaatsvindt. Bij een uitbesteding moet hierdoor elke persoon, waarvan zijn gegevens uitgewisseld wordt, hiervoor expliciet toestemming geven. Als de gegevens naar een organisatie buiten de EU uitgewisseld wordt, die niet aan de strikte regelgeving voldoet; dan kan de persoon dit op voorhand al volledig weigeren.
  • Persoonlijke informatie: De gebruiker moet de mogelijkheid hebben om persoonlijke informatie, die zij op een site heeft gezet, in een standaard formaat te downloaden. Op deze manier kan zij zelf de informatie overdragen aan een andere partij. Als organisatie moet je er dus voor zorgen dat deze opties beschikbaar komen op jouw site. Dit zal extra kosten meebrengen.
  • Beveiliging: Met de nieuwe wet moeten persoonsgegevens ook beter beschermd zijn. Dit betekent dat organisaties betere beveiligingen op haar devices en diensten moet doorvoeren. Dit moet ook van de wet onderhouden worden waardoor organisaties haar ICT-systemen regelmatig moet laten onderzoeken op nieuwe risico’s. Nieuwe devices en diensten moeten ook met het oogpunt op een goed beschermde privacy, opgezet worden. Dit zal voor startende en huidige organisaties hogere kosten met zich mee brengen.

Welke veranderingen moet ik maken om aan de AVG-wet te voldoen?
Gezien elke organisatie anders is, zijn de verschillen van welke veranderingen jij als organisatie moet doorvoeren ook groot. De AVG-wet brengt echter wel veranderingen mee die bijna elke organisatie moet maken. Een aantal voorbeelden van veranderingen die voor de meeste organisaties van toepassing zijn:

  • Google Analytics: Google Analytics verzameld altijd enige gegevens van jouw klanten. Voor de AVG-wet betekent dit dat je een vewerkersovereenkomst met Google moet afsluiten. Dit kan je als organisatie doen door naar de accountinstellingen te gaan en op ‘aanpassing bekijken’ te klikken. Hier kan vervolgens de verwerkings- overeenkomst bekeken en getekend worden. Gezien IP-adressen volgens de nieuwe wet ook onder persoonsgegevens vallen, is het van belang om deze gegevens beter te beschermen. Dit kan gedaan worden door je trackingcode zo te laten aanpassen zodat deze versleuteld naar Google verzonden worden. Als dit niet gebeurd dan zal expliciet aan de gebruiker gevraagd moeten worden of de gegevens gebruikt mogen worden. In de volgende kopjes zal verder toegelicht worden waarbij je bij gebruik van Google Analytics nog meer rekening moet houden.                                                                       
  • Contactformulier: Volgens de AVG-wet mag je niet meer zomaar informatie vragen. Hierdoor mag je in het contactformulier alleen de informatie van bezoekers vragen die je echt nodig hebt. Daarnaast moet je als organisatie expliciet verantwoorden waarvoor je deze gegevens gebruikt. Als laatst moet je in het contactformulier toestemming vragen voor de verwerking en eventuele opslag van de gegevens.
  • Aanmelden e-mail marketing: Voor een aanmeldingsformulier voor e-mail marketing gelden met de nieuwe wet dezelfde regels als een contactformulier. Bij een aanmeldingsformulier mag ook alleen gevraagd worden om de gegevens die echt nodig zijn, moet vermeld worden waarvoor deze gebruikt worden en moet er toestemming gevraagd worden om de verwerking en eventuele opslag van de gegevens. Daarnaast gelden met de neiuwe wet ook zaken uit de vorige wet zoals dat de betrokenne zich moet kunnen afmelden van de mail lijst en dat zij apart toestemming moet geven op elk doel.
  • Account maken en bestellen: Dezelfde wetten die gelden bij het contact- en aanmeldingsformulier gelden ook voor het aanmaken van een account op een website. Het verschil met bestellen op een website is dat klanten zijn gegevens ook moeten kunnen inzien, aanpassen en verwijderen volgens de nieuwe wet. Dit is op de meeste sites al mogelijk als de klant een account heeft.
  • Overig: Bij de nieuwe wet ben je ook altijd verplicht om voor een SSL verbinding te verzorgen op je website. Een SSL verbinding zorgt ervoor dat de verbinding tussen de server en de bezoeker gecodeerd is. Eventuele afluisteraars kunnen hierdoor niks met de data die ze binnenhalen. Daarnaast moet de privacyverklaring en de cookiemelding opnieuw beoordeeld worden of deze aan de nieuwe wet voldoet. Omdat deze twee punten uitgebreider zijn, staan deze apart onder de volgende kopjes benoemd.

Wat moet er in de nieuwe privacyverklaring beschreven staan?
De privacyverklaring van vrijwel elke organisatie moet met de nieuwe AVG-wet op de schop. Er zijn hierin enkele punten waarmee rekening gehouden moet worden:

  • Transparant: De privacyverklaring moet in duidelijke en eenvoudige taal geschreven worden. Dit kan het beste bereikt worden om naar jouw doelgroep te kijken. Als het een website voor jongeren is dan moet het eenvoudig beschreven staan zodat het voor hun te begrijpen is. Zo kan er bijvoorbeeld het beste in het Nederlands geschreven worden en er geen juridische termen gebruikt worden.
  • Algemene informatie: De algemene informatie die in de privacyverklaring vermeld moet worden komt overeen met hetgeen waaraan organisaties zijn website aan moet aanpassen. Zo moeten de bezoeker of klant weten met welke doeleinden en rechtsgronden zijn gegevens verwerkt worden. Hierin moet ook beschreven staan hoe lang de gegevens bewaard worden en wat er gebeurd als deze gegevens niet verzameld worden. Daarnaast moet de bezoeker of klant in de privacyverklaring geïnformeerd worden op het recht van inzage, rectificatie en wissen van de persoonsgegevens. De bezoeker moet ook geïnformeerd worden op het recht om een klacht in te dienen bij de Autoriteit persoonsgegevens en moet de bedrijfsnaam en contactgegevens van de organisatie duidelijk beschreven staan.
  • Overige informatie: In de meeste gevallen moeten er ook extra informatie gegeven worden. Zo moeten de contactgegevens van de Functionaris Gegevensbescherming beschreven staan als die er is, moeten de ontvangers van persoonsgegevens vermeld worden wanneer deze aan derde verstrekt worden en moet de klant of bezoeker geïnformeerd worden als er gegevens aan een land verstrekt worden die niet adequaat is verklaard. Daarnaast moet de klant of bezoeker geïnformeerd worden dat zij een reeds gegeven toestemming kan intrekken en moet zij via de privacyverklaring geïnformeerd worden als er binnen de organisatie sprake is van geautomatiseerde besluitvorming.

Een tool die gebruikt kan worden voor het generen van een juiste privacyverklaring is https://veiliginternetten.nl/privacyverklaring/

Hoe moet ik mijn cookiemelding aanpassen op de AVG-wet?
Cookies zijn kleine bestanden die op een apparaat opgeslagen worden om persoonlijke gegevens te bewaren. De AVG-wet gaat ook op deze cookies in. De wet onderscheid cookies in drie verschillende soorten:

  • Functionele cookies: Deze cookies zorgen ervoor dat de website goed kan functioneren of dat de bezoeker van je website deze makkelijker kan gebruiken. Hierbij kan gedacht worden aan het opslaan van inloggegevens of van een winkelmandje. Voor deze cookies hoeft geen expliciet toestemming gevraagd te worden. Het is wel handig om deze cookies op de site te vermelden met wat ze doen maar dit is niet wettelijk verplicht.
  • Analytische cookies: Deze cookies worden gebruikt het gedrag van bezoekers te meten en te achterhalen. Dit geeft informatie zoals welke pagina’s er bezocht worden en hoe lang zij op een pagina blijven. Vaak wordt er gebruik gemaakt van Google Analytics om deze gegevens te achterhalen. Wanneer er met een derde partij zoals Google Analytics persoonsgegevens gedeeld worden dan moet de bezoeker hier expliciet toestemming voor geven. Als bijvoorbeeld de persoonlijke gegevens versleuteld worden voordat ze gedeeld worden dan hoeft er geen toestemming gevraagd te worden bij de bezoeker. Bij deze cookies is het wel wettelijk verplicht om ze te vermelden in een cookie- of privacyverklaring.
  • Tracking cookies: Deze cookies worden gebruikt om op één of meerdere domeinen jouw surfgedrag volgen. Door deze cookies kan een profiel van de bezoeker gemaakt worden. Wanneer je gebruikt maakt van tracking cookies dan moet een website altijd expliciet toestemming vragen aan de gebruiker voordat ze geplaatst mogen worden. Het is bij Google Analytics ook mogelijk om gebruik te maken van deze cookies. Bij Google Analytics kan je deze cookies aanpassen door naar de accountinstellingen te gaan en alle opties voor gegevens delen uit te zetten. Wanneer de persoonlijke gegevens ook versleuteld worden dan hoeven ze niet meer expliciet vermeld te worden.

Met de nieuwe wet moet het daarnaast net zo makkelijk worden voor de bezoeker om zijn toestemming in te trekken als dat hij zijn toestemming geeft. Ook de zogeheten 'cookiewall' moet met de nieuwe wet verdwijnen. Zo moet het voor de bezoeker ook mogelijk zijn om de website te zien zonder dat hij toestemming voor de cookies geeft.

Wanneer wordt de wet van kracht?
Op 25 mei 2018 gaat de nieuwe wet van kracht in Europa. Vanaf dat moment is het dus als consument mogelijk om van je rechten gebruik te maken en moet je als organisatie alles volgens de wet op orde hebben. Op 4 mei 2016 was de wet al in werking getreden zodat organisaties en toezichthouders zich konden laten voorbereiden op de AVG.