Zó maak je een website die voldoet aan de AVG vereisten

Als je een eigen website beheert, is de kans groot dat je persoonsgegevens van EU-bewoners verzamelt. Zodra je bezoekers bijvoorbeeld de kans geeft om zich in te schrijven voor je nieuwsbrief, verzamel je automatisch hun namen en e-mailadressen. Het kan ook zijn dat je betaalgegevens en adressen binnenkrijgt als je een webshop beheert, of cookies gebruikt om de gewoonten van bezoekers bij te houden. Wat de reden ook is, je bent automatisch onderworpen aan de algemene verordening gegevensbescherming (AVG) – internationaal bekend als de General Data Protection Regulation (GDPR) – van de EU, de nieuwe wet die bedoeld is om persoonsgegevens van EU-bewoners te beveiligen en hun gegevensbeschermingsrechten te verbeteren.

Op 25 mei 2018 gaat de AVG in werking. Voor de vele organisaties die nog niet aan alle regels voldoen, zal er na deze nalevingsdeadline nog veel werk aan de winkel zijn. Mocht jouw organisatie nog niet volledig voorbereid zijn, raden wij aan dat je ervoor zorgt dat je toezichthoudende autoriteiten kunt laten zien dat er hard aan gewerkt wordt.

Er zijn veel elementen waar je rekening mee moet houden tijdens de voorbereidingen op de AVG voor je eigen website. In deze blog zetten we de drie belangrijkste vragen uiteen.

1. Waarom verzamel je persoonsgegevens?

De achterliggende gedachte van de AVG is dat hoe minder persoonsgegevens een organisatie verzamelt, des te minder kans er bestaat dat er misbruik van wordt gemaakt. Het is aannemelijk dat met de komst van de AVG gegevens die verzameld worden om uiteindelijk in een database te belanden minder vaak zal voorkomen. Organisaties moeten nu een rechtvaardige reden hebben om persoonsgegevens te verzamelen en deze kunnen verklaren aan de hand van een van de zes wettige gronden.

De meest gebruikte wettige grond is toestemming. De AVG bevat echter aangescherpte regels voor het verkrijgen en behouden van gegevens, waardoor organisaties alleen deze regel mogen toepassen als geen van de overige vijf regels gebruikt kan worden. Er zijn uitgebreide regels voor het verkrijgen van toestemming, afhankelijk van het soort informatie en van wie je de informatie wilt verkrijgen. Gevoelige gegevens vereisen bijvoorbeeld uitdrukkelijke toestemming, wanneer het niet noodzakelijk is deze te verwerken. Daarnaast zijn er afzonderlijke vereisten voor het verkrijgen van toestemming van kinderen.

2. Heb je je privacybeleid bijgewerkt?

Zodra je weet welke gegevens je verzamelt en om welke reden, moet je deze informatie delen met betrokkenen via je privacybeleid. Een beleid moet in duidelijke taal worden geschreven. Het moet voor betrokkenen makkelijk te lezen zijn hoe hun gegevens verzamelt worden, waar ze worden opgeslagen, hoe lang ze bewaard zullen worden (de AVG stelt dat persoonsgegevens “niet langer worden bewaard dan noodzakelijk is”) en hoe individuen hun rechten met betrekking tot hun gegevens kunnen uitoefenen.

Deze rechten omvatten onder andere:

  • Het recht op inzage: iedere EU-burger heeft het fundamentele recht om te weten door wie, waarom en hoe zijn/haar gegevens zullenl en zijn verwerkt.
  • Het recht op rectificatie: als de informatie die door een organisatie bewaard wordt onjuist of onvolledig is, hebben individuen het recht om een verzoek in te dienen om deze bij te werken.
  • Het recht op gegevenswissing: dit wordt ook wel het ‘recht op vergetelheid’genoemd. In sommige gevallen kunnen individuen verzoeken dat de organisatie hun persoonsgegevens volledig verwijdert.
  • Het recht van bezwaar: iedere EU-burger heeft het recht om bezwaar te maken tegen de verwerking van zijn of haar gegevens.

Individuen hebben in totaal acht rechten, die in meer detail uiteen gezet zijn in de AVG.

3. Welke cookies gebruik je?

Cookies zijn alleen onderworpen aan de AVG als ze persoonlijke gegevens bevatten. Dit is echter vaak het geval bij cookies, aangezien ze gebruikt worden voor analyse, reclame en functionele doeleinden (zoals enquêtes en chat-functies).

Organisaties moeten zich verantwoorden voor alle cookies die persoonlijke gegevens bevatten en beslissen of er een specifieke en legitieme reden is om deze te verzamelen. Als er geen gerechtvaardigde reden is, mogen die cookies – gezien ze in dat geval een overtreding maken – niet meer gebruikt worden. Als er wél een reden voor is, moet dit duidelijk gemaakt worden op de desbetreffende website.

De zogenaamde ‘cookie law’ raadt organisaties aan om dit te doen door middel van toestemming via de ‘soft opt-in’: “This means giving an opportunity to act before cookies are set on a first visit to a site. If there is then a fair notice, continuing to browse can in most circumstances be valid consent via affirmative action.”

Documenteer je naleving

Voor hulp bij het vastleggen van ’zulke documentatie, neem een kijkje naar onze EU General Data Protection Regulation (GDPR) Documentation Toolkit.

Deze toolkit bestaat uit handige templates, beleidsadvies en deskundige begeleiding. Het zal je helpen om:

  • Risico’s voor persoonsgegevens te identificeren en de nodige controles uit te voeren om deze problemen op te lossen;
  • De documentatie voor je organisatie snel en gemakkelijk uit te voeren; en
  • De AVG-documentatie te integreren in je informatiebeveiligingsbeheersysteem (ISMS).

Probeer de toolkit hier gratis uit >>

 

Leave a Reply

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.