AVG: wat moet je regelen?

Sinds 25 mei 2018 geldt in Nederland de Algemene Verordening Gegevensbescherming (AVG). Daarmee worden de privacyrechten van burgers – gebruikers van je website, of klanten – uitgebreid. Wat betekent de AVG voor jou als eigenaar van een website? Je leest het in deze blog.

De AVG geldt voor alle bedrijven en organisaties (ook verenigingen en stichtingen) die persoonsgegevens van EU-burgers verwerken. Persoonsgegevens zijn alle gegevens die zijn te herleiden tot een persoon. Denk bijvoorbeeld aan naam en e-mailadres. Verstuur je nieuwsbrieven, facturen of offertes? Heeft je site een of meer (contact)formulieren, of hou je op een andere manier informatie bij op je website (bijvoorbeeld via Google Analytics)? Dan geldt de AVG ook voor jou.

Wat houdt de AVG in

De AVG vervangt de Wet bescherming persoonsgegevens en is de Nederlandse uitwerking van de Europese General Data Protection Regulation (GDPR). Met de invoering van de AVG heb je als gebruiker meer invloed op wat er met je gegevens gebeurt. Je kunt bijvoorbeeld je toestemming voor het gebruik intrekken, inzage vragen in je gegevens of je gegevens laten verwijderen.

Heb je een website?

Als eigenaar van een website heb je een verantwoordingsplicht. Je moet kunnen bewijzen dat je je aan de wet houdt. Dat houdt bijvoorbeeld in dat je de juiste beveiligingsmaatregelen hebt genomen, technisch en organisatorisch. En dat je kunt aantonen dat je de persoonsgegevens mag verwerken.

Je moet vastleggen welke persoonsgegevens op je website worden verwerkt, met welk doel, op welke grondslag (er zijn er zes), wat ermee gebeurt en hoe lang ze bewaard worden. Die informatie zet je in een document. Daarnaast moet het ook op de website staan, in een privacyverklaring. Die is verplicht voor elke website waarop persoonsgegevens worden verzameld.

Beheert iemand anders je website?

Doet je webbouwer het onderhoud van je site, of kan er nog iemand anders bij de persoonsgegevens? Dan moet je met je webbouwer (of die andere persoon) een verwerkersovereenkomst afsluiten. Daarin leg je vast welke soort gegevens bewaard worden, waar ze bewaard worden en wie waarvoor verantwoordelijk is, bijvoorbeeld welke procedure gevolgd wordt als er een (risico op een) datalek is of wat er moet gebeuren als iemand verzoekt om inzage in de persoonsgegevens.

Het afsluiten van zo’n verwerkersovereenkomst is wettelijk verplicht als iemand anders dan jij bij de gegevens kan. Sluit je geen verwerkersovereenkomst af, dan handel je in strijd met de wet en kun je dus een boete krijgen.

In veel gevallen zal je webbouwer je kunnen helpen met het opstellen van zo’n verwerkersovereenkomst. Waarschijnlijk is je hij of zij ook de aangewezen persoon om te inventariseren welke persoonsgegevens worden verwerkt. Je webbouwer weet vaak precies wat waarmee gebeurt.

Sommige webbouwers volstaan met een collectieve verwerkersovereenkomst. Wij doen dat ook, als jouw site nauwelijks persoonsgegevens verwerkt. Voor klanten die intensief en veel persoonsgegevens verwerken, maken we een eigen overeenkomst. Daarbij maken we een Overzicht beveiliging en persoonsgegevens, één document waarin we zowel de beveiligingsmaatregelen als de verwerkte persoonsgegevens vastleggen.

Als je zo’n overzicht eenmaal hebt, kun je zelf een privacyverklaring opstellen, al dan niet met de hulp van de handige privacyverklaring generator op veiliginternetten.nl.

Samenvatting

Om te voldoen aan de AVG moet je als website eigenaar:

• Kunnen aantonen dat je de juiste beveiligingsmaatregelen hebt genomen
• Kunnen aantonen dat je persoonsgegevens op de juiste manier verwerkt
• Een privacyverklaring op je website hebben staan
• Eventueel een verwerkersovereenkomst afsluiten met je webbouwer (en/of iedereen die bij de gegevens kan)

Nieuwsbrief ontvangen?

Meld je aan voor de WebLab42 nieuwsbrief en ontvang regelmatig nieuws, tips en interessante informatie in je mailbox! Je kunt je op elk moment weer afmelden of je gegevens laten verwijderen.