Op 25 mei 2018 is de AVG in werking getreden en ook voor jouw bedrijf heeft dit waarschijnlijk gevolgen. De AVG legt je namelijk een wettelijke verplichting op klanten en bezoekers van jouw website te informeren welke privacygevoelige gegevens je verzamelt en met welk doel je dit doet. Bovendien eist de AVG dat je zorgvuldig omgaat met deze gegevens. Vind je dat ingewikkeld klinken? Zeg dan nog even geen ‘ja’ tegen obscene aanbiedingen van snelle juristen die je een standaard-documentje voorleggen waarin je nog jouw bedrijfsgegevens moet aanpassen. Lees eerst even verder.

De AVG en uw website

Waarop moet je letten bij de AVG? Wat is er allemaal op jou van toepassing? Wellicht ben je slechts een kleine zelfstandige die de website alleen gebruikt voor een eenvoudige bedrijfspresentatie!?
Als je alleen jouw contactgegevens toont en geen formulier hebt op je site, dan hoef je verder niets te doen behalve misschien controleren of je Google Analytics account (als je die aktief gebruikt) uitsluitend geanonimiseerde data verzamelt. Een privacy statement kan overigens nooit kwaad! (Je stelt er in ieder geval tè voorzichtige bezoekers mee gerust). Heb je een webshop of een contactformulier op jouw website waar potentiële klanten gegevens kunnen achterlaten zodat je contact met hen kunt opnemen? Dan moet je wel iets doen, want met een contactformulier verzamel je al privacygevoelige gegevens.

Om vast te stellen welke maatregelen je dient te treffen om te voldoen aan de AVG, kun je grofweg stellen dat hoe meer data je verzamelt, des te hoger de privacy-gevoeligheid van deze informatie. En hoe meer je van deze informatie deelt met derden, des te hoger de eisen die gesteld worden. Voor bedrijven die grote hoeveelheden data verzamelen betekent het dat zij ook een privacy-functionaris dienen aan te stellen.

Hoe zorg je nu dat jouw bedrijf AVG-proof is?

Hoe meer gegevens je verzamelt des te meer handelingen je zult moeten verrichten om ‘volledig AVG-proof’ te kunnen zijn. Je kunt je wel voorstellen dat aan een bedrijf als Facebook of Zalando hogere eisen worden opgelegd dan aan de lokale loodgieter. Van de Nederlandse Bank wordt immers ook een hogere beveiliging verwacht dan van jouw eigen woning.

Onderstaand stappenplan is nuttig voor de kleine zelfstandige die geen privacygevoelige informatie verzamelt of verwerkt op de website anders dan ten behoeve van online verkoop, geanonimiseerde bezoekstatistieken of een contactformulier waarmee men contactgegevens verzamelt en de klantbehoefte inventariseert.

DE STAPPEN:
  1. Inventariseer welke persoonsgegevens je verwerkt en voor welke doeleinden
  2. Stel een privacyverklaring op waarin je benoemt welke gegevens je verzamelt, met welk doel en op welke wijze; vermeld ook de bewaartermijn
  3. Als je met externe verwerkers werkt, sluit je verwerkersovereenkomsten af. Hierin leg je vast wat de verwerker precies met de gegevens mag en moet doen
  4. Neem maatregelen voor een juiste en adequate beveiliging van de persoonsgegevens (bovengemiddeld is altijd goed!)
  5. Pas de bestel- en contactformulieren op je website aan; voeg de disclaimer toe en vraag om toestemming waar nodig.

     

HEEFT U HIERBIJ HULP NODIG?


 

1. Inventarisatie: Welke gegevens verzamel je?

Belangrijkste regel hierbij is dat de gegevens die je vraagt/verzamelt proportioneel zijn ten opzichte van het doel dat je wilt bereiken. Indien je via een contactformulier een potentiele klant de mogelijkheid wil geven om zijn gegevens achter te laten zodat je vervolgens contact op kunt nemen, is vermelding van naam, telefoonnummer en emailadres voldoende. Opgave van leeftijd, geslacht, religie etc is van generlei waarde en zul je ook niet kunnen verantwoorden. De inventarisatie heeft tot doel om jou ook bewust te maken van de gegevens die je vraagt.

2. Privacy verklaring: Wees transparant!

Via de privacy verklaring informeer je jouw klanten en bezoekers vervolgens over de wijze waarop je persoonsgegevens verzamelt, met welk doel je dit doet en hoe je vervolgens met deze gegevens omgaat. Deze verklaring moet in elk geval de volgende gegevens bevatten:

  • Wie je bent incl adresgegevens, KvK nummer en contactadres voor privacygerelateerde vragen;
  • Met welk doel je persoonsgegevens verzamelt, dus om bijvoorbeeld contact op te nemen met mensen die daar via het contactformulier om gevraagd hebben, voor het versturen van nieuwsbrieven enz.
  • Hoe op jouw site gebruik gemaakt wordt van cookies, immers gebruikt vrijwel iedere site cookies al is het maar om inzicht te krijgen in het bezoek van je website;
  • Als je nieuwsbrieven verstuurt, dienen mensen expliciet toestemming te verlenen voor ontvangst van de nieuwsbrief en dient in elke nieuwsbrief expliciet opgenomen te worden hoe mensen er weer vanaf kunnen;
  • Recht op inzage, correctie en verwijdering, elke klant of bezoeker heeft het recht om inzage op de wijze waarop je persoonsgegevens verzamelt en kan dus inzage verzoeken en kan verzoeken om een correctie, wijziging of verwijdering van zijn eigen gegevens;
  • Hoe je jouw website beveiligd hebt, dus welke technische maatregelen heb je genomen om de verzamelde persoonsgegevens zo goed mogelijk te beveiligen;
     

3. De verwerkersovereenkomst: Met wie werkt u?

Werkt u samen met andere bedrijven die een stukje dienstverlening of administratie voor u uitvoeren? Facturatiebedrijven als Wefact.nl of factuursturen.nl faciliteren online automatisering van de facturatie waarmee je als zzp-er een derde inschakelt die vervolgens jouw gegevens voor jou verwerkt. Jij blijft echter wel verantwoordelijk voor het juist aanleveren van de gegevens en blijft ook de eigenaar ervan. Dit betekent dat jij de verantwoordelijke bent en Wefact is de verwerker. In dat geval dient een verwerkersovereenkomst gesloten te worden tussen jou en Wefact.De verwerkersovereenkomst legt vast met welk doel de persoonsgegevens verwerkt mogen worden en welke verantwoordelijkheden de verwerker hierbij heeft. Het kan echter ook zijn dat de inhoud van de verwerkersovereenkomst integraal onderdeel is van de overeenkomst die hebt afgesloten met Wefact.

Artikel 28 lid 3 van de AVG schrijft namelijk voor dat de voorgenomen verwerking van persoonsgegevens wordt geregeld in een overeenkomst of andere rechtshandeling. Een aparte overeenkomst hoeft dus niet persé, zolang maar aan de vormvereisten is voldaan. Wat zijn de vormvereisten:

  • moet schriftelijk of elektronisch
  • onderwerp en duur van de verwerking wordt benoemd
  • aard en doel van de bewerking wordt benoemd
  • het soort persoonsgegevens dat verwerkt wordt
  • de rechten en plichten van de verwerkersverantwoordelijke en van de verwerker
  • Betekent dit dat je als zzp-er ook altijd met je klanten zelf verwerkersoverenkomsten af dient te sluiten? Nee, alleen als er tussen partijen afspraken gemaakt worden over de verwerking van persoonsgegevens moet de overeenkomst worden opgesteld.
     

4. Beveiliging van jouw website: Doe je alles wat je kunt?

Je moet kunnen aantonen dat je alles hebt gedaan voor voldoende beveiliging. Maak daarom gebruik van een SSL certificaat en zorg dat updates van de software altijd tijdig worden uitgevoerd.

5. Aanpassen van bestel- en contactformulieren: Vraag toestemming!

Om je formulieren en bestelpagina’s AVG proof te maken zul je allereerst duidelijk moeten maken waarvoor je de gegevens nodig hebt (dit geldt voor alle gegevens!). We gaan er hierbij vanuit dat je alleen gegevens vraagt die je nodig hebt voor het verwerken van de aanvraag.
Vermeld bijvoorbeeld: “Uw naam en mailadres zijn nodig zodat wij met u contact op kunnen nemen”.
Vervolgens dient ook vermeld te worden wat er met de persoonsgegevens gaat gebeuren: “Uw gegevens worden nooit aan derden verstrekt, zie verder onze Privacyverklaring om te zien hoe wij met uw gegevens om gaan”. Vermeld vervolgens de bewaartermijn en als laatste: Vraag toestemming! Voor elke verwerking van persoonsgegevens dient een wettelijke grondslag te zijn en toestemming kan zo’n grondslag zijn. Voeg daarom onder aan het formulier een checkbox toe, waarbij de bezoeker zelf een vinkje moet zetten: “Ja, ik geef toestemming om mijn gegevens te verzamelen”.
Maak beslist niet de fout het vinkje standaard aangekruist te laten; de AVG vraagt immers dat de bezoeker nadrukkelijk toestemming geeft (als het standaard is aangekruist kan de bezoeker er ook overheen kijken).