De AVG is een geschenk uit de hemel
Als gebruiker / klant / websurfer heb ik eindelijk en
weerwoord tegen bedrijven en websites die ongevraagd en ongebreideld gegevens van
me verzamelen en die dan ge- of misbruiken zonder dat ik het doorheb.
Als kleine ondernemer of als websitebeheerder is het een
mooie aanleiding om eens na te denken hoe ik eigenlijk omga met (de gegevens over)
mijn klanten.
Als ik dat slim doe, is het nauwelijks extra werk om mijn
zaakjes goed voor elkaar te hebben.
Waarom deze blog
Veel blogs en websites herhalen slechts de informatie van
de AP en de KvK over de stappen die je moet zetten, maar gaan niet in op het
praktische hóe en wát. Ik wel.
Ik behandel relatief eenvoudige situaties:
·
Je onderneming gebruikt geen "bijzondere"
persoonsgegevens (=gevoelig, bv religieus, medisch, strafrechtelijk)
·
Je onderneming doet niet aan "profiling" van klanten (=verwerken van persoonsgegevens is je core business)
·
Je website is niet interactief (=webwinkels, etc)
Als je geen ondernemer bent, maar wel een website hebt, bv
over je hobby, dan kun je stap #1 waarschijnlijk overslaan.
AVG in een notendop
AVG (of GDPR) is de nieuwe Europese wet voor privacy
bescherming. De wet is op 25 mei 2016 ingegaan en je hebt twee jaar de tijd
gehad om er aan te gaan voldoen. Als kleine eenmanszaak zul je niet zo snel
beboet worden wanneer je dat niet doet, maar als ondernemer wil je je gewoon
aan de wet houden - en zeker aan zo'n wet waar je het helemaal mee eens bent.
In Nederland ziet de Autoriteit Persoonsgegevens (AP)
toe op naleving.
De AVG stelt dat je privacybeleid
moet hebben (ook wel gegevensbeschermingsbeleid genoemd). Hiermee toon je aan
hoe je voldoet aan de AVG, het is je verantwoordingsplicht. Voor een klein
bedrijf zijn de twee belangrijkste elementen van dat beleid: het register
persoonsgegevens en de
privacy verklaring.
De wet gaat over "Persoonsgegevens", dat
is alles wat "tot een persoon herleidbaar is". Bijvoorbeeld naam,
adres, telefoonnummer maar ook een IP-adres en locatie-gegevens. Soms denk je
dat een enkel gegeven níet tot een persoon herleidbaar is, maar dan kan de
combinatie van gegevens dat onverwacht toch zijn. Bv het bedrijf waar iemand
werkt en iemands functie.
In de wet is sprake van "expliciete toestemming".
De cookie-banners die we sinds een paar jaar kennen, met teksten als "Als
u verder gaat op onze site, nemen we aan dat u akkoord gaat" voldoen daar
dus absoluut niet aan. Dat is zoiets als: "als je bij de AH winkelt, mogen
ze je pincode weten".
Als je een deel van je werkzaamheden uitbesteedt aan een
ander, bv je boekhouder, en die ander heeft inzicht in persoonsgegevens, bv de
facturen, dan moet je met die ander een verwerkings-overeenkomst (of
verwerkers-overeenkomst) afsluiten. Dat kan op papier of per email.
Het stappenplan
1. Register persoonsgegevens: Denk na over wat
je hebt en documenteer dat
Welke persoonsgegevens bewaar je eigenlijk? Zowel op
papier, op je computer als op je website.
Denk aan adreslijsten, facturen maar misschien ook de
gegevens die je inhoudelijk gebruikt om de opdracht uit te voeren. Bv de
vooropleiding van een cursist, de plattegrond van het huis waar je de badkamer
gaat renoveren, etc.
Schrijf per categorie, ofwel gegevensgroep op:
·
Welke gegevens zijn het precies (bv naam, adres,
diploma's)
·
Waar heb je ze voor nodig
· Wat is de grondslag om de gegevens te verwerken
(bv wettelijke verplichting, noodzakelijk om de werkzaamheden uit
te voeren, toestemming verkregen, ...)
·
Waar en hoe sla je ze op (bv computer, cloud, externe
disk, papier)
·
Hoe is dat beveiligd (wachtwoorden, sleutels, ...)
·
Wie heeft er toegang, aan wie geef je de gegevens door?
(Bv je boekhouder)
Heb je met diegene een verwerkings-overeenkomst? (*)
·
Hoe lang wil/moet je het bewaren (denk aan de wettelijke
bewaartermijn voor bv de belasting, 7 jaar)
·
Hoe kunnen klanten vragen om inzage / verwijdering /
downloads
 |
| voorbeeld register persoonsgegevens |
==> Pas aan wat je gezonde verstand je ingeeft:
·
Gooi weg wat je niet meer nodig hebt!
·
Heb je je backup-bestand op een externe harde schijf
staan? Versleutel het dan.
·
Enzovoorts
==> Kijk, je hebt het wettelijk verplichte register
persoonsgegevens (ook wel register van verwerkingsactiviteiten genoemd) al bijna af, en een eerste stap gezet om je privacy beleid te
maken. Cruciaal is dat je je daarna ook aan je eigen beleid houdt!!
2. Website: minder is beter
Als je website persoonsgegevens verzamelt, moet je daar
vooraf en expliciet toestemming voor vragen, en die toestemming documenteren /
vastleggen. "Als u verder gaat op onze site nemen we aan dat u akkoord
gaat" is absoluut onvoldoende.
Bovendien moet je website ook nog werken als de toestemming geweigerd
is.
Mijn uitgangspunt is dat zo'n toestemmings-ronde voor de klant vervelend is en
voor jezelf te veel werk is. De eenvoudigste oplossing is dus om je website zo
in te richten, dat die geen persoonsgegevens verzamelt. Dat betekent dat je
geen diensten van derden kunt gebruiken die aan tracking doen.
·
Geen embedded content, bv youtube-filmpjes of google-maps.
Want "embedded" valt onder jouw website dus onder jouw
verantwoording. Wat kan wel: Plaatje + link naar site, die is dan
verantwoordelijk.
·
Geen contactformulier. Wat kan wel: Email-adres, dat is
zo-wie-zo prettiger voor de klant dan die nare invulschermen.
·
Geen website-statistieken die tot een persoon te
herleiden zijn. Enkele populaire pakketten hiervoor bewaren gegevens op zulk
gedetailleerd nivo, dat je kunt achterhalen wie je bezoeker was.
Wat kan wel: Google
Analytics voldoet mits op de juiste wijze ingesteld (**)
StatCounter kun je zo instellen dat het geen cookies plaatst en het IP-adres "maskeert".
·
Geen sociale media deel- en volg-knoppen die door derden (bv AddThis) gehost worden.
· Geen commentaar-boxen of discussie-fora die door derden (bv facebook) gehost worden.
·
Geen advertenties (***)
Als je het zo doet, hoef je geen cookie
info/toestemming banner te tonen. Als iedereen het goed doet, gaan we die vanaf
25 mei nauwelijks nog zien. Waar ze nog wel getoond worden om toestemming voor
"tracking cookies" te vragen, kun je bijna altijd weigeren, en toch
de website gebruiken.
3.
Stel een
"privacy verklaring" op.
Vorm:
Een nieuwe pagina op je website, waar je in iedere footer naar verwijst. De wet vereist dat
dit beknopt en begrijpelijk is.
Inhoud:
(A) Omschrijf voor je klant wie je bent en welke gegevens je van hem/haar
verzamelt: wat, waarom, voor wie, etc etc. Gebruik het register dat je in stap #1
gemaakt hebt.
(B) Noem de technische diensten die door je website gebruikt worden met naam en toenaam; vertel of je evt
functionele en statistische cookies gebruikt; wijs er op dat de gebruiker die
cookies kan weigeren mbv de browser-instellingen.
==> Kijk, je hebt alweer aan een wettelijke verplichting voldaan.
4. Nieuwsbrieven
Ook voor nieuwsbrieven geldt dat je er expliciet
toestemming voor moet vragen, en die toestemming moet documenteren /
vastleggen. Een vooraf aangevinkt vakje mag dus niet, en het gebruik van een emailadres dat je voor een ander doel gekregen hebt, al helemaal niet. Ook moet je zeggen wat
voor soort nieuwsbrief het is (hoe vaak, waarover), en of je de verzamelde
(adres)gegevens met anderen deelt. Dat laatste doe je natuurlijk nooit. Dat zeg
je dan ook.
Onder de nieuwsbrief moet een duidelijke afmeld-knop
staan, en als iemand zich afmeldt moet je zijn/haar gegevens ook daadwerkelijk
verwijderen.
Een veelgestelde vraag is of je iedereen opnieuw toestemming moet vragen als je
al langer een nieuwsbrief verstuurt, maar in het verleden de toestemming niet
hebt vastgelegd. Dit is een omslachtige operatie waarbij je gegarandeerd een
aantal abonnees kwijtraakt. Een pragmatische aanpak is: loop zelf de
verzendlijst na en verwijder iedereen waarbij je vermoedt dat die niet (meer) geïnteresseerd
is. Als je dit combineert met niet-opdringerige, inhoudelijk relevante
nieuwsbrieven waar een duidelijke afmeldknop onder staat, zit je wel goed.
Voetnoten
(*) Ik ga hier niet nader in op de verwerkings-overeenkomst.
Wanneer heb je die wel of niet nodig en hoe ziet die er uit? Voorbeelden van
een eenvoudige standaard-overeenkomst in jouw branche zijn online te vinden. Zie ook vervolgblog.
(**) De AP geeft richtlijnen hoe Google Analytics in te
stellen. Maar waarschut tegelijk dat GA binnenkort wellicht helemaal niet meer zal mogen, omdat de data toch door de Amrikaanse overheid in te zien is.
(***) Als je wel advertenties wilt plaatsen, gelden wat
extra regels en voorwaarden. Zie vervolgblog.
