De AVG: wat moet je als ondernemer weten?
Op 25 mei 2018 gaat de Algemene verordening gegevensbescherming (AVG) in. Deze Europese wetgeving vervangt onze Nederlandse privacywet, de Wet bescherming persoonsgegevens (Wbp). Vrijwel iedere ondernemer moet veranderingen doorvoeren om aan de AVG te voldoen. Heb jij dit nog niet gedaan, of twijfel je of je volledig aan de nieuwe wetgeving voldoet? Lees dan snel verder.
Dit artikel is gebaseerd op informatie van ICTRecht, de Autoriteit Persoonsgegevens en het Ministerie van Justitie en Veiligheid.
Het verwerken van persoonsgegevens
De privacywetgeving heeft alles te maken met het verwerken van persoonsgegevens. Maar wat houdt dit in, ‘verwerken’? En wat rekenen we zoal tot ‘persoonsgegevens’?
Het Ministerie van Justitie en Veiligheid hanteert in haar Handleiding Algemene verordening gegevensbescherming (AVG) de volgende definities:
- “Persoonsgegevens zijn alle gegevens die:
1) betrekking hebben op;
2) een geïdentificeerde, of;
3) identificeerbare;
4) natuurlijke persoon.” - “Een verwerking is volgens de Verordening elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens. Veel voorkomende bewerkingen zijn:
- verzamelen;
- vastleggen;
- opslaan;
- wijzigen;
- opvragen;
- raadplegen;
- gebruiken;
- verstrekken;
- wissen en vernietigen.”
Belangrijk om te weten, is dat persoonsgegevens meer zijn dan naam, adres en telefoonnummer. Ook IP-adressen, cookie-informatie, politieke voorkeur, camerabeelden en medische informatie kunnen leiden naar een persoon. Het is dus goed mogelijk dat jij als ondernemer meer persoonsgegevens verwerkt dan je je realiseert.
Algemene uitgangspunten AVG
Doel van de AVG is om de privacy van burgers beter te beschermen. In de praktijk is het vooral belangrijk dat je enkel persoonsgegevens verwerkt die je echt nodig hebt (‘dataminimalisatie’), en dat je deze gegevens goed beveiligt.
Legitieme verwerking
Volgens de AVG mag je alleen persoonsgegevens verwerken voor een duidelijk omschreven en gerechtvaardigd doel. Je mag dus geen gegevens verzamelen omdat je deze in de toekomst wellicht goed kunt gebruiken. Daarnaast mag je de persoonsgegevens niet zomaar gebruiken voor een ander doel.
Persoonsgegevens verwijderen
Zijn persoonsgegevens niet meer relevant voor het doel waarmee je ze verzameld hebt? Dan moet je deze zo snel mogelijk verwijderen. Uiteraard moet ook het verwijderen van de persoonsgegevens op een veilige manier gebeuren.
Beveiliging
De gegevens die jij verwerkt, moeten goed beveiligd zijn. Voor een juiste beveiliging kun je denken aan technische maatregelen (bijvoorbeeld het pseudonimiseren van persoonsgegevens of het toepassen van encryptie) en organisatorische maatregelen (bijvoorbeeld: zorgen dat alleen medewerkers die met persoonsgegevens moeten werken, hier toegang tot hebben).
Verplichtingen
De AVG kent verschillende plichten voor ondernemers. Bekijk ze hieronder.
Registerplicht
Voortaan moet je als ondernemer alle verwerkingen van persoonsgegevens documenteren in een register. In dit register noteer je onder andere welke soort persoonsgegevens je verwerkt, met welk doel en hoe je de gegevens beveiligt. Je kunt het register maken met behulp van bepaalde software. Een document in Word of Excel voldoet echter ook.
Let op: In dit register neem je niet daadwerkelijk persoonsgegevens op. Het doel is enkel om inzicht te creëren in jouw verwerkingsactiviteiten.
Tip: Vaak heb je als ondernemer al veel documentatie, zoals procesbeschrijvingen. Gebruik deze documentatie om na te gaan welke persoonsgegevens je zoal verwerkt.
Verwerkersovereenkomst
Mogelijk werk je als ondernemer samen met partijen die in jouw opdracht persoonsgegevens verwerken. Denk bijvoorbeeld aan een administratiekantoor of softwareleverancier. Deze partijen worden in de Wbp ‘bewerker’ genoemd. In de AVG verandert dit naar ‘verwerker’.
De AVG verplicht jou om met iedere verwerker een verwerkersovereenkomst te sluiten. Hierin maak je afspraken over de omgang met persoonsgegevens. Goed om te weten: op internet zijn diverse voorbeelden van verwerkersovereenkomsten te vinden.
Let op: Ben je zelf een verwerker? Ook dan moet je je aan een aantal regels houden. Je mag bijvoorbeeld alleen persoonsgegevens verwerken in opdracht van de verantwoordelijke partij. Ook moet je voldoen aan de registerplicht en mag je niet zomaar sub-verwerkers inschakelen.
Privacy by design
De AVG verplicht jou om het uitgangspunt ‘Privacy by design’ te hanteren. Dit houdt in dat je bij de ontwikkeling van producten en diensten voldoende rekening houdt met privacy. Al in de ontwerpfase zorg je ervoor dat je zo min mogelijk inbreuk op de persoonlijke levenssfeer maakt. Maatregelen die je kunt treffen, zijn bijvoorbeeld:
- enkel de noodzakelijke persoonsgegevens verwerken;
- persoonsgegevens pseudonimiseren;
- persoonsgegevens goed beveiligen;
- transparant zijn over de verwerkingen die je gaat toepassen;
- betrokkenen de mogelijkheid geven om zelf controle uit te oefenen op de verwerking.
Privacy Impact Assessment (PIA)
Ga je een nieuw project starten, waarbij persoonsgegevens verwerkt worden? Dan is mogelijk een Privacy Impact Assessement (PIA) vereist. Een PIA is een voorafgaand onderzoek, waarbij je in kaart brengt welke privacyrisico’s er spelen en hoe je deze kunt verkleinen.
Een PIA is verplicht voor verwerkingen met een hoog risico voor de privacy van de betrokken personen. Denk aan:
- het verwerken van gevoelige gegevens (bijvoorbeeld gegevens over gezondheid of religie);
- het geautomatiseerd besluiten nemen (bijvoorbeeld het automatisch detecteren van fraude);
- het monitoren van openbare ruimten (bijvoorbeeld met camera’s).
Tip: Weten hoe je zelf een PIA maakt? Bekijk dan de handreiking van NOREA, de beroepsorganisatie van IT-auditors.
Functionaris voor gegevensbescherming
Voor sommige ondernemers is het verplicht een functionaris voor gegevensbescherming (FG) aan te stellen. Een FG is een onafhankelijk persoon binnen de organisatie, die toezicht houdt op het naleven van de AVG. Voor jou als ondernemer is een FG enkel verplicht wanneer:
- jij je structureel en op grote schaal bezighoudt met het observeren van mensen;
- jij je voornamelijk bezighoudt met het verwerken van bijzondere persoonsgegevens en/of persoonsgegevens van strafrechtelijke aard.
Uiteraard mag je ook vrijwillig een FG aanstellen. Houd er dan wel rekening mee dat deze persoon dezelfde verantwoordelijkheden en bevoegdheden heeft als een ‘verplicht’ aangestelde FG.
Privacyverklaring
Hoogstwaarschijnlijk heb je al een privacyverklaring op je website staan. Om aan de AVG te voldoen, moet je privacyverklaring nog transparanter zijn. Je moet bijvoorbeeld duidelijk toelichten hoe lang je persoonsgegevens bewaart en of je deze gegevens deelt met andere partijen. Daarnaast moet je klanten attenderen op hun rechten (zie ‘Privacyrechten’ verderop in dit artikel) en de mogelijkheid tot het indienen van een klacht bij de Autoriteit Persoonsgegevens.
Leestip: Zo maak je jouw website AVG-proof.
Het registreren van datalekken
Met ingang van de AVG moet je ieder datalek intern documenteren. Dit geldt ook voor datalekken die niet bij de Autoriteit Persoonsgegevens hoeven te worden gemeld.
Tip: Bekijk op de website van ICTRecht welke informatie je per datalek moet registreren.
Privacyrechten
De AVG geeft betrokkenen diverse rechten. Als verantwoordelijke voor de verwerking van persoonsgegevens ben je verplicht gehoor te geven aan deze rechten.
- Recht op dataportabiliteit
Bied jij online diensten aan waarbij gebruikers persoonsgegevens opslaan? Dan moet je hen de mogelijkheid bieden om deze gegevens over te dragen naar een andere leverancier of organisatie. - Recht op vergetelheid
Dit houdt in dat je de persoonsgegevens van een betrokkene verwijdert, wanneer deze daarom vraagt. Bekijk op de site van de Autoriteit Persoonsgegevens in welke gevallen je aan dit verzoek moet voldoen. - Recht op duidelijke informatie
Je bent verplicht om mensen duidelijk te vertellen wat je met hun gegevens doet. Dit doe je bij voorkeur via je privacyverklaring. - Recht op inzage
Betrokkenen hebben het recht om in te zien welke persoonsgegevens jij van ze verwerkt. - Recht op correctie van de gegevens
Als persoonsgegevens niet kloppen of niet volledig zijn, hebben betrokkenen het recht om deze te corrigeren. - Recht op beperking van de gegevensverwerking
‘Beperking’ houdt in dat iemand kan vragen om de verwerking van zijn/haar persoonsgegevens tijdelijk stop te zetten. Bijvoorbeeld omdat de verwerking onrechtmatig is. - Recht om bezwaar te maken tegen de verwerking
Het kan zijn dat een betrokkene bezwaar maakt tegen een verwerking van zijn of haar persoonsgegevens. Met zo’n bezwaar moet je instemmen. Tenzij je natuurlijk dwingende gronden voor de verwerking hebt, die zwaarder wegen dan het belang van de betrokkene. - Recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming
Neem jij besluiten op basis van automatisch verwerkte gegevens (profilering)? Betrokkenen hebben het recht om jou te vragen opnieuw een besluit te nemen, waarbij de gegevens beoordeeld zijn met een menselijke blik.
Let op: Zorg dat je verzoeken binnen 1 maand afhandelt.
Verder lezen
Dit artikel bespreekt slechts de hoofdlijnen van de AVG. Wil je verder lezen? Bekijk dan de gedetailleerde informatie van ICTRecht, de Autoriteit Persoonsgegevens en het Ministerie van Justitie en Veiligheid.
Webhosting
Ontwikkel razendsnel websites op betrouwbare en snelle webhosting. Inclusief uitgebreide features.
- 7 dagen p/w hostingsupport
- Installeer in 1 klik WordPress
- Gratis Wildcard SSL
- Zakelijke e-mail
- Stabiel en razendsnel platform
- Direct opgeleverd
Hallo Hostnet, goed artikel!
Hebben jullie een eigen verwerkersovereenkomst? Ik ben er namelijk één aan het opstellen voor partijen die gegevens van mij en mijn klanten verwerken, zoals mijn hostingprovider (jullie dus), mijn webontwikkelaar, mijn boekhouder, etc… en wil met Hostnet een verwerkersovereenkomst afsluiten.
Beste Gaby,
Bedankt voor je reactie! Als klant van Hostnet kun je met ons een verwerkersovereenkomst sluiten. Via onze Klantenservice kun je de verwerkersovereenkomst aanvragen. Onze Klantenservice is telefonisch bereikbaar op 020-7500800, via de chat op https://www.hostnet.nl of via sales@hostnet.nl.
Wat houdt dit nu concreet in voor bijvoorbeeld je WordPress site? Verplicht SSL certificaat, disclaimer + Cookie plugin en that’s it?
Goede vraag Jacarrino.
Welke wijzigingen moet je nou concreet invoeren.
Er zijn al 1000 blogs over verschenen, maar niemand die nou eens een compleet en overzichtelijk stappenplan uitwerkt.
Beste Jacarrino,
Bedankt voor je reactie. In dit artikel zetten we inderdaad alleen de hoofdlijnen van de AVG uiteen. Het is lastig om een eenduidig stappenplan voor iedere WordPress-website op te stellen. Ieder WordPress-website gebruikt namelijk andere functionaliteiten.
Over het algemeen valt wel te zeggen:
– Een SSL-certificaat is niet verplicht, maar wel sterk aan te raden. Met een SSL-certificaat breng je namelijk een https-verbinding tot stand, waardoor je websitebezoekers versleuteld hun gegevens naar jou als website-eigenaar sturen.
– Indien jouw WordPress-website gebruikmaakt van cookies, dan moet je daar actief toestemming voor vragen bij je bezoekers.
– Mocht je via jouw website gegevens verwerken (bijvoorbeeld via een contact- of bestelformulier), ga dan na welke gegevens je verwerkt, hoe je deze verwerkt en waar je ze opslaat. Daar kunnen dan gepaste maatregelen voor worden getroffen.
Indien je meer advies wilt, raden we je aan om contact op te nemen met een partij die gespecialiseerd is in juridische vraagstukken rondom ICT en internet. Denk aan ICTRecht, waarnaar we in ons artikel refereren.
Beste Linda,
Goed artikel, maar enkele weken geleden heb ik jullie op wat dingen geattendeerd waar jullie als hostingprovider totaal niet aan voldoen. Het artikel hierboven gaat puur wat je als bedrijf, jullie klanten dus, moet doen in het kader van de vernieuwde privacywet. Helaas voldoen jullie als hostingbedrijf (voorlopig) nog niet aan de nieuwe eisen/wensen die Europa aan een goed werkende “hostingpakket” voorschrijft. Ik had verwacht dat jullie een artikel zouden plaatsen dat alles is ge-upgrade bij jullie en waar we als klant nog even extra op moeten letten i.p.v. een overgetikt stukje over de AVG als hierboven. Je kan je eigen site testen op https://internet.nl/ en schrik niet! Zoals ik al eerder naar jullie schreef zijn de sites van ons die we bij een andere bedrijf hosten voor 97% goed, onze sites bij jullie halen slechts 37% . Wanneer kunnen wij verwachten dat alles ook bij jullie volgens de nieuwe eisen/wensen werkt?
Beste Peter,
Bedankt voor je reactie. Het artikel is inderdaad geschreven om ondernemers te informeren over de hoofdlijnen van de AVG.
Met de link waar je in jouw reactie naar refereert, worden technische vereisten van een website getest. De AVG stelt geen directe voorwaarden aan technische beveiliging, wel dien je uiteraard te voldoen aan de gestelde eisen van de AVG. Op internet.nl worden de volgende aspecten getest:
Al met al, wij begrijpen je zorgen op het gebied van beveiliging. Echter is het onjuist om op basis van deze check te zeggen dat wij niet voldoen aan de wet. Als klant kun je ervan op aan dat Hostnet op 25 mei 2018 als hostingpartij voldoet aan de gestelde eisen van de AVG.
Mocht je hulp nodig hebben bij het instellen van https of andere vragen hebben dan verwijs ik je graag door naar onze Klantenservice. Onze Klantenservice is telefonisch bereikbaar op 020-7500800, via de chat op https://www.hostnet.nl of via sales@hostnet.nl.
Met vriendelijke groet,
Dave Swart
Afdeling Klantenservice
Beste allen,
Pas op met het maken van een verwerkingsovereenkomst.
Je legt daarin de verantwoordelijkheden vast van jou en de partij aan wie jij persoonlijke gegevens geeft.
Jij blijft verantwoordelijk voor heel de keten, dus ook voor de persoonsgegevens die die partij weer doorgeeft aan een volgende partij.
Een nog belangrijker iets is dat jij moet beschikken over een datalek protocol / procedure.
Jij moet binnen 72 uur, na het constateren van een data lek, een melding maken, dan moet je wel weten hoe je dat moet doen.
Met vriendelijke groeten,
Vincent Corbesir – certified data protection officer
Beste Vincent,
Bedankt voor je reactie en je goede tip voor de andere lezers van het artikel!
Geldt dit alleen voor bedrijven, zeg maar ondernemingen, of ook voor verenigingen?
Beste Joop,
Bedankt voor je reactie. De AVG geldt voor zowel bedrijven als verenigingen. Ook beroeps- en sportverenigingen dienen dus te voldoen aan de AVG. Veel verenigingen zijn aangesloten bij een belangenorganisatie. Inmiddels hebben veel van deze belangenorganisaties een checklist of een programma opgezet rondom de AVG.
Ik hoop hiermee je vraag te hebben beantwoord.
Met vriendelijke groet,
Charlotte Wigny
Goed verhaal! Bedankt!
Beste Hostnet medewerker,
Wie is nou precies een Verwerker? Bij welke onderstaande scenarios moet een Verwerkersovereenkomst afgesloten worden?
– Wij ontvangen niet van Hostnet informatie over onze websitebezoekers; dat is Google Analytics. Is dus Google dus de Verwerker hier?
– Onze boekhouder krijgt van ons elke maand een map met betalingen en facturen (verzonden en ontvangen). Hij verwerkt deze facturen als crediteuren en debiteuren.
Groet
Pascal
Beste Pascal,
Een ‘verwerker’ is volgens de wet:
“Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.”
In andere woorden, een verwerker is degene die in opdracht van de verwerkingsverantwoordelijke gegevens verwerkt. Denk hierbij aan een bedrijf dat zijn salarisadministratie extern regelt. Het bedrijf stuurt gegevens van zijn medewerkers door naar de externe partij die de salarissen verwerkt. Het bedrijf is dan de verwerkingsverantwoordelijke, en het externe bedrijf de verwerker.
Wat betreft de situaties die jij in je reactie benoemt:
– Google is in het geval van Google Analytics inderdaad de verwerker. Als Google Analytics persoonsgegevens verwerkt voor jou als verwerkingsverantwoordelijke, dan heb je daarvoor een overeenkomst nodig. Op https://www.tijdvooreensite.nl/google-verwerkersovereenkomst/ lees je hoe je deze overeenkomst aanvraagt.
– Als de betalingen en facturen die jullie aan de boekhouder geven persoonsgegevens bevatten (denk aan namen en adresgegevens), dan is daar eveneens een verwerkersovereenkomst voor nodig. Deze overeenkomst dien je zelf met de boekhouder te sluiten.
Met vriendelijke groet,
Charlotte
Beste Hostnet,
Wat fijn dat jullie deze info delen.
Echter, hoe weet ik of mijn website cookies gebruikt?
Hoe weet ik of ik een datalek heb?
Beste Hendry,
Bedankt voor je reactie. Je kunt via https://www.cookiechecker.nl/ bekijken of er cookies op jouw website worden gebruikt. Het antwoord op je tweede vraag is lastiger te beantwoorden. Volgens ICTRecht is een datalek:
“Een datalek is iedere inbreuk op de beveiliging waarbij persoonsgegevens verloren zijn gegaan, of ongeoorloofd zijn gewijzigd, verstrekt of ingezien. Bijvoorbeeld bij diefstal van een laptop met daarop een klantenbestand, een hack waarbij persoonsgegevens zijn buitgemaakt, of het verzenden van gegevens naar een foutief e-mailadres.”
In sommige gevallen zul je er dus direct zelf achterkomen (zoals bij een diefstal), maar je kunt er ook pas achterkomen wanneer de verwerkte gegevens al op straat liggen. Ons advies: lees je in en bereid je goed voor op wat je in zulke situaties moet doen. Meer informatie over datalekken kun je bijvoorbeeld vinden via: https://ictrecht.nl/factsheets/het-registreren-van-datalekken/.
Met vriendelijke groet,
Charlotte
Helder en duidelijk document.
Mijn vraag: ik ga per 1 mei wisselen van administratie kantoor. Moet ik met het oude administratie kantoor een verwerkers overeenkomst sluiten. Zij zijn in het bezit van personeels-gegevens en klant adressen + banknummers?
Beste Jenny,
Bedankt voor je reactie. Zolang het oude administratiekantoor over de persoonsgegevens van jouw klanten beschikt, is het nodig om een verwerkersovereenkomst aan te gaan.
Met vriendelijke groet,
Charlotte
Beste Hr. of mevr,
Ik vind het als eerste een hele onderneming.
Vraag:
Ik leg documentatie (voor voetreflexPlus) vast via Words (en print deze).
Voor mijn pedicure doe ik alles per schrift vast.
Daarna bewaar ik de gegevens maar door de AVG wet zal ik deze na behandeling (veilig) verwijderen.
Foto’s die ik maak daar maak ik een print van en doe deze bij de gegevens van de client en verwijder ik de foto’s van mijn camera.
Ik heb geen contact met derden over mijn cliënten.
Ik kan op dit moment nu nog steeds niet geheel duidelijk krijgen wat ik nog meer kan doen of waar ik rekening mee mag houden.
Misschien een te grote vraag maar hopelijk kunt u mij een duwtje in de goed richting geven.
met hartelijke groet,
Daniëlla van Komen
Beste Daniëlla,
Ik vind het lastig om je van een goed advies te voorzien, aangezien wij bij Hostnet geen juridische achtergrond hebben. In ieder geval goed dat je bezig bent om alles na te lopen voor de AVG. Op de website van de Autoriteit Persoonsgegevens vind je de AVG-Regelhulp: https://rvo.regelhulpenvoorbedrijven.nl/avg/#/welkom. In de tool beantwoord je een aantal vragen, waarna je een advies op maat krijgt.
Mocht je na het invullen van deze tool specifieke vragen hebben over de AVG, dan kun je de veelgestelde vragen van de Autoriteit Persoonsgegevens bekijken via https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/voorbereiding-op-de-avg. Eventueel kun je ook telefonisch contact met hen opnemen: https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/telefonisch-contact.
Met vriendelijke groet,
Charlotte Wigny
Ik twijfel erover of ik in mijn privacyverklaring de volgende zin zal opnemen “Het hostingbedrijf van mijn website en e-maildiensten kan toegang hebben tot uw persoonsgegevens. Dit bedrijf voldoet aan de AVG”. Klopt dit? Ik bedoel:
(1) Kunnen jullie zonder mijn toestemming in mijn e-mail kijken en dus persoonsgegevens van bijvoorbeeld mijn klanten zien? Jullie verwerken de gegevens natuurlijk sowieso wel geautomatiseerd, dit betekent denk ik ook dat jullie hier toegang toe hebben?
(2) Voldoet Hostnet aan de AVG? Daar ga ik vanuit, maar waarop kan ik dat baseren?
Bedankt alvast!
Beste Karen,
Dankjewel voor je reactie. Hieronder een antwoord op je vragen:
1. Wij kijken niet zonder toestemming in je e-mails of je bestanden. Wel monitoren wij standaard ons platform op inkomende en uitgaande verbindingen.
2. Wij voldoen aan de AVG. Je kunt in onze privacy- en cookieverklaring (https://www.hostnet.nl/over-hostnet/privacy-en-cookieverklaring) zien welke gegevens wij van onze klanten verwerken en waarvoor we deze gegevens verwerken.
Mocht je meer vragen hebben, dan zijn wij uiteraard bereid hierop te reageren. Hiervoor kun je contact opnemen met onze Klantenservice. Je kunt onze Klantenservice onder meer telefonisch bereiken via 020-7500800 of via de chat op Hostnet.nl.
Met vriendelijke groet,
Charlotte
Goedemorgen,
Wij werken met Hostnet voor onze mailadressen en website. Is de mail via Hosnet voldoende beveiligd? Wij versturen namelijk richtlijnen met ziektebeelden en voorbeelddagmenu’s met ziektebeelden naar onze cliënten. Dit mag niet indien de mail niet voldoende is beveiligd.
Alvast hartelijk dank voor uw reactie.
Beste Carlijn,
Ons e-mailplatform is voldoende beveiligd en wordt via verschillende maatregelen beschermd. Een voorbeeld van een maatregel is het versleutelen van inkomende en uitgaande berichten. Daarbij monitoren wij ons e-mailplatform en voorzien wij dat van de nieuwste updates. Los van de maatregelen, is het als gebruiker uiteraard belangrijk om het e-mailadres te beveiligen met een sterk wachtwoord.
Met vriendelijke groet,
Charlotte