AVG, de nieuwe privacywetgeving

Hij komt eraan, de AVG. De nieuwe Europese privacywet met de regelgeving over hoe en welke data je mag verzamelen over je bezoekers. Het wordt allemaal veel strikter geregeld dan voorheen. Bij FBI design krijgen we inmiddels regelmatig vragen over de AVG die 25 mei 2018 in werking treedt.

Waar gaat het om?

Kort gezegd: de AVG verplicht elke Europese organisatie, van klein tot groot, tot het voeren van beleid op het gebied van persoonsgegevens. Daarbij moet worden aangegeven wat er met persoonlijke data gebeurt en hoe wordt omgegaan met beveiliging van deze data.

De AVGwet is in naam een vervanging van de al bestaande cookiemeldingswetgeving maar valt te beschouwen als uitbreiding van de al bestaande Nederlandse wetgeving. Die melding is nu al op heel veel sites te zien is, maar vaak ook niet. Want er werd nauwelijks gehandhaafd.

De nieuwe AVG is lastiger te negeren. De maximale boetes zijn enorm hoog – 20 miljoen of 4% van de omzet als dat meer is. Ook wordt een aantal zaken verplicht gesteld: goede documentatie wat er met persoonlijke data gebeurt en hoe deze weer te verwijderen zijn, kunnen aangeven welke data er zijn verzameld, hoe gegevens beveiligd zijn en een meldingsplicht voor datalekken. Het is een kleine greep uit de AVGsoep.

De wetgeving is ook vrij ingewikkeld omdat deze op verschillende manieren kan worden geïnterpreteerd en vrij uitgebreid is. Want wat voor de één geldt, hoeft niet voor de ander te gelden.

Waarvoor moet je toestemming vragen?

Over zaken die specifiek op persoonlijke smaak gericht zijn, zal aan websitebezoekers vooraf  toestemming moeten worden gevraagd. Een cookie mag dus niet al worden geplaatst als er nog geen toestemming is gegeven. Volgens de AVG richtlijnen is vooral belangrijk dat je mensen/bezoekers van je website informeert wat je met hun data doet.

Voorbeelden zijn nieuwsbrieven waarvoor je vooraf je persoonlijke smaak opgegegeven hebt, het plaatsen van trackingcookies – identificatiebestandjes – waarmee clickgedrag en persoonlijke smaak wordt vastgelegd. Vooral “bijzondere persoonlijke data” dus. Bijzondere persoonlijke data zijn bijvoorbeeld: een IPadres, ras, sexe, geloof, sexuele voorkeur etc.

Wat moet je dan doen om te voldoen aan de AVG?

Een goed begin is je bezoekers informeren middels een privacy statement en een verwijzing naar dit statement bij je formulieren, een vakje met een vinkje dat ze het statement hebben gelezen en akkoord gaan.

Dit statement moet het beleid van een organisatie rondom privacy bevatten.

Hoe lang bewaren we zaken, wat gebeurt ermee, kan een klant/bezoeker deze data beheren en/of verwijderen? Of zorg anders voor een contactadres waar informatie kan worden verkregen hoe dit geregeld kan worden. Voor grote organisaties en sites is het dus goed om tools te gebruiken waarmee ze bezoekers zelf hun gegevens kunnen laten verwijderen. Denk bijvoorbeeld aan Facebook. Stel je voor: meer dan een miljard gebruikers handmatig verwijderen 🤪, dáár ben je wel even zoet mee..

Organisaties die als kernactiviteit op grote schaal persoonlijke data verwerken en overheidsorganisaties en publieke organisaties moeten zelfs een functionaris aan te stellen.

Een secure certificaat is ook onmisbaar. Het geeft bezoekers de zekerheid dat ze zonder pottenkijkers interactie met jouw organisatie hebben. Het overheidssleepnet laten we dan maar even buiten beschouwing, dat is weer een ander issue.

Verder is het bij sommige onderdelen maar de vraag of je er iets mee moet.

Een voorbeeld:

Google Analytics hoeft niet te worden vermeld als het IPadres wordt geanonimiseerd in de statistieken. Dat kan. Hoe kun je lezen in de bijlage die je onderaan dit artikel kunt downloaden.

Cookies waarmee je clickgedrag meet daarentegen – we kennen allemaal wel de advertenties van booking.com die opeens verschijnen als je net een nieuwe vakantiebestemming hebt gezocht,  of pagina’s die crosssite informatie verzamelen zoals de Facebook pixel/reactiemogelijkheid – moeten wel worden vermeld, en ook vóórdat de bezoeker op de site komt. Verder moet de site ook zonder deze onderdelen op een gewone manier te bezoeken zijn en functioneren voor de bezoeker.

Praktische tips

In de bijlage die je kunt downloaden onderaan dit artikel vind je een aantal opsommingen met veel  praktische tips. Handig dus! En zonder monitoring dus zonder inlevering van je persoonlijke data. Ok, vooruit, je IP adres. Tot 25 mei dan.

Met dit artikel heb je in ieder geval een inkijkje in de gevolgen van de AVG/GDPR (de Engelstalige naam). Het is niet volledig. Als het nodig is zullen we dit artikel bijwerken.

Wat onze klanten in ieder geval héél prettig vinden is dat we ze er op attent maken dat ze er iets mee moeten en dat wij ze daarbij kunnen helpen. En vragen mogen natuurlijk altijd!

Disclaimer: we zijn geen juristen, aan dit artikel kun je geen rechten ontlenen.

Download hier de pdf met praktische AVG tips.

Relevante links:
Informatie KvK
Autoriteit Persoonsgegevens

Net wel een heel echt lijkend ransomware email ontvangen.  Gaat zogenaamd om een niet afgeleverd pakketje. In dit geval probeerde de afzender de lezer over te halen een link naar een Wordbestand te clicken dat ergens op een zombiesite  in Nederland staat. Onze achterdocht was gewekt toen er geen site beschikbaar bleek en het adres van de link – /formulieren/randomgetal.docx – bij een search in google de nodige ransomware resultaten te zien gaf.

Nog maar eens een pleidooi voor voorzichtigheid, niemand zit te wachten op gedoe of op een niet vrijwillige betaling. Het aloude gezegde voorkomen is beter dan genezen is .

Voor een uitgebreide uitleg over ransomware en tips hoe dit te voorkomen lees dan even verder hier: https://www.f-secure.com/en/web/labs_global/crypto-ransomware 

Hier alvast een paar algemene open deuren:

WhatsApp Stuur ons een bericht