Bescherming van persoonsgegevens, eigenlijk vanzelfsprekend.
Er is al veel over gezegd en geschreven; de Algemene verordening gegevensbescherming (AVG) die op 28 mei 2018 van kracht is.
Wat betekent dat nou eigenlijk voor jouw organisatie?
Eigenlijk is het heel simpel en in onze ogen ook vanzelfsprekend.
Bij het verzamelen van persoonsgegevens dien je toestemming te krijgen van diegene van wie je gegevens verzameld. Daarbij mag je niet meer gegevens verzamelen dan nodig. Persoonsgegevens zijn gegevens waarmee je een specifiek persoon kunt identificeren.
Het is voor naleving van de AVG van belang dat je bijhoud welke gegevens je wanneer verzameld en dat deze veilig zijn opgeslagen. Hierbij is het handig een beleid voor gegevensbescherming op te stellen en een persoon binnen jouw bedrijf aan te stellen die op de naleving van het beleid toeziet.
Wanneer je gegevens online opslaat (bijv. via een formulier op jouw website), zorg er dan voor dat jouw website is voorzien van een beveiligde verbinding via https://.
Betrokkenen hebben het recht hun gegevens in te zien en moeten de mogelijkheid krijgen deze te wijzigen. Ook mogen zij vragen om 'vergeten' te worden of om hun gegevens over te dragen.
We hebben hieronder een paar handige links voor je:
- Algemene informatie AVG
- AVG in een notendop
Zorg er dus voor dat u toestemming vraagt voor het opslaan van persoonsgegevens en dat u deze gegevens ook alleen gebruikt voor datgene waar toestemming voor is gegeven. Verder is het van belang dat u zorgt voor een veilige data opslag. Eigenlijk heel vanzelfsprekend.
Is jouw website AVG-proof?
Hostplek kan u helpen om ook uw website AVG-proof te maken. Hiervoor hebben we een handige checklist.
- Verzamel je persoonsgegevens en hoe ga je hier mee om?
- Vraag je toestemming om gegevens op te slaan?
- Maak je in een privacy beleid duidelijk waar opgeslagen gegevens voor gebruikt worden?
- Heeft je website een SSL-certificaat voor beveiliging van gegevens?
- Gebruikt jouw website cookies? Heb je dan ook een cookie melding?
- Wanneer je externe dataopslag gebruikt sluit dan ook een verwerkersovereenkomst af.
Welke persoonsgegevens vallen onder de nieuwe privacywet AVG?
Persoonsgegevens zijn gegevens waarmee je een specifiek persoon kunt identificeren. Dit zijn bijvoorbeeld:
- namen
- adressen
- e-mailadressen
- IP-adressen
- foto's
Bijzondere persoonsgegevens
(Bron: Rabobank) Er is daarnaast nog een categorie 'bijzondere persoonsgegevens'. Dit gaat om gevoelige informatie. Volgens de nieuwe privacywet mag je dit soort gegevens niet verwerken, tenzij er in de wet specifieke toestemming voor is. Het gaat om zaken als:
- godsdienst of levensovertuiging
- ras
- politieke voorkeur
- gezondheid
- seksuele leven
- lidmaatschap van een vakbond
- strafrechtelijk verleden
- BSN-nummer
(Bron: Rabobank)
Privacy by design
(Bron: Rabobank) Voorkomen is beter dan genezen. Gegevens die je niet hebt, kun je niet verkeerd gebruiken. En er valt dan ook niet veel te hacken of misbruiken. Bouw je database op met wat je echt nodig hebt. Veel kappers vragen nu bijvoorbeeld standaard het postadres van klanten, terwijl ze dit nooit gebruiken. Kortingsacties kun je ook per mail verzenden.
Deze manier van werken wordt ook wel 'privacy by default' genoemd. Je werkt namelijk standaard met een hoog privacy niveau.
Hieronder gaan we verder in op de basiselementen voor zo’n ‘privacy by default’-aanpak. Je kunt ook direct naar de Checklist AVG voor startende startende ondernemers. (Bron: Rabobank)
Toestemming vragen: wat zijn de regels?
(Bron: Rabobank) Besluit je om bepaalde persoonsgegevens wél te bewaren? Vraag dan expliciet toestemming aan je klant. Bijvoorbeeld: een klant mailt je met een vraag over een product. Dan kan je diegene niet zomaar een nieuwsbrief sturen.
Vraag toestemming als je persoonsgegevens opslaat en gebruikt. Een klant moet weten welke gegevens je bewaart en waarvoor. De toestemming moet volgens de wet 'specifiek' en 'geinformeerd' zijn. In de praktijk betekent dit dat je uitlegt aan je klant waar je de gegevens precies voor gaat gebruiken. Dit kun je mondeling doen, maar vaker zal het gaan om een extra tekstje naast een (online) inschrijfformulier.
Je mag vervolgens de gegevens ook alleen maar gebruiken op de manier waar je klant toestemming voor heeft gegeven. Bijvoorbeeld: je klant zet een vinkje dat hij of zij de maandelijkse informatieve nieuwsbrief wil ontvangen. Dan kun je niet ineens wekelijks een mail met actiekortingen sturen. (Bron: Rabobank)
Databeveiliging en een datalek melden
(Bron: Rabobank) Het is ook belangrijk om ervoor te zorgen dat de gegevens goed beveiligd zijn tegen cybercrime. Dit heet 'privacy by design'. Zorg bijvoorbeeld voor een goed antivirusprogramma.
Gaat het toch mis en krijg je een datalek? Onder de AVG moet je alle datalekken documenteren voor de Autoriteit Persoonsgegevens. (Bron: Rabobank)