De Algemene Verordening Gegevensbescherming
Bedrijven moeten klantgegevens goed beschermen, ook online!
De Algemene Verordening Gegevensbescherming (AVG) is een forse uitbreiding in de privacybescherming. En vanaf 25 mei 2018 moet je daar rekening mee houden als je voor zakelijke activiteiten persoonsgegevens verwerkt, verzamelt, opslaat, raadpleegt enzovoort. Ook de gegevens die je op je website verzamelt vallen hieronder.
Dit geldt voor alle gegevens die op natuurlijke personen betrekking hebben. Denk hierbij aan bijvoorbeeld:
telefoonnummers van klanten
email-adressen en email
IP-adressen van computers van gebruikers
Cookies
De AVG
De Algemene Verordening Gegevensbescherming (AVG) vervangt op 25 mei 2018 de Wet Bescherming Persoonsgegevens. Het is een Europese verordening (eigenlijk gewoon WET) die strenge regels oplegt aan o.a. ondernemers in de EU. De enorme boetes bij overtreding van deze wet is ook datgene wat veel ondernemers schrik aanjagen. Hoe strikt wordt de wet gehandhaafd? Dat is niet te voorspellen. Wat ook niet te voorspellen is hoe hoog (in verhouding) de boetes zullen uitpakken. Dus als je als ondernemer het erop laat aankomen en niets doet om AVG-gereed te zijn loop je na 25 mei een niet te berekenen risico.
We gaan in dit artikel niet in op wat er moet gebeuren binnen je bedrijf maar wel wat je moet doen op je website/webwinkel als je daar gegevens laat invullen door bezoekers.
Toestemming op het web
Wat er veranderd met de AVG is dat je voor het verwerken van persoonsgegevens door jouw bedrijf vaker en explicieter de toestemming nodig hebt. Neem je geen maatregelen en organiseer je dit niet op je website of webwinkel, dan ben je nalatig. Toestemming is een van de voorwaarden die jouw bedrijf nodig heeft om sommige gegevens te mogen verwerken. Een andere voorwaarde, ook belangrijk, is dat je alleen de persoonsgegevens mag verwerken die absoluut noodzakelijk zijn voor het uitvoeren van een contract. Denk aan een klant die iets koopt in je webwinkel, dat kan alleen als de klant zijn noodzakelijke gegevens invoert.
Eisen voor toestemming
Aan het krijgen van toestemming voor het verwerken van bepaalde persoonsgegevens worden strikte eisen gesteld. Zo moet iemand altijd vrijwillig toestemming geven, dus actief en niet passief. Er moet verder sprake zijn van een concrete handeling die duidelijk is. Stilzwijgend toestemming geven is niet voldoende. Het opnemen van die toestemming in je Algemene voorwaarden mag dus ook niet.
Toestemming en je webformulier
Op je webformulier van tevoren vakjes aanvinken mag in de meeste gevallen niet meer. Bijvoorbeeld voor het versturen van nieuwsbrieven is concreet en duidelijk een handeling nodig door de klant/bezoeker waarmee toestemming wordt geven. En die geldt dan alleen voor die specifieke nieuwsbrief. Je klant moet het zelf aanvinken! De AVG eist ook dat het net zo makkelijk moet zijn om je toestemming in te trekken als dat je toestemming hebt gegeven. Wat nog veel belangrijker is dat je als ondernemer moet je kunnen bewijzen dat een klant jouw toestemming heeft gegeven.
Ik heb maar allen een contactformuliertje op mijn website!
Hoe vervelend ook, als je alleen al een naam vraagt met een e-mail adres dan moet je als bedrijf al toestemming vragen en een privacy verklaring op je website hebben waarin staat wat er gebeurd met die gegevens. Ook moet er een mogelijkheid zijn om de toestemming in te trekken. Het geven en intrekken van toestemming is een belangrijk onderdeel van de AVG, waarop waarschijnlijk ook gehandhaafd gaat worden. Hier zullen dus ook boetes uit voorkomen als je dit niet in orde hebt.
Wat zou je kunnen doen?
Evalueer je website, ga dus na of je formulieren hebt die je aangepast of verwijderd moeten worden.
Zorg voor een goed SSL certificaat op je website want je kan toestemming hebben en je privacy verklaring in orde hebben en volledig voldoen, op dat gebied, aan de eisen, maar als de betreffende gegevens tijdens het invullen en verzenden onderschept kunnen worden omdat je geen SSl (versleutelde verbinding) hebt,heb je alsnog je een probleem.
Zorg voor een duidelijke en goed leesbare Privacy verklaring op je website die ook makkelijk te vinden is en wijs je bezoekers/klanten erop (Laat een jurist een privacy verklaring opstellen).
Maak het de klant ook makkelijk om de toestemming in te trekken en verwijder de gegevens dan ook.
Dit zijn algemene dingen die je op je website eigenlijk moet hebben als je een webwinkel hebt of een contactformulier gebruikt. Het kan zijn dat jou website nog andere aanpassingen nodig heeft.
Hieronder staan een paar websites waar je meer informatie kan vinden over de AVG.