AVG/GDPR – Privacy verklaring
Wat gaat er nou precies allemaal veranderen vanaf 25 mei en waar moet je als ondernemer rekening mee houden? Het is een groot vraagstuk waar allerlei cursussen en bijeenkomsten voor gehouden worden. Aangezien ik als websitebouwer hier natuurlijk ook mee te maken krijg en jullie graag ook wil informeren, ben ik een aantal dagen in documenten en websites gedoken.
Het eerste wat ik tegenkwam waren titels waar ik wat van schrok: “Krijg geen boetes van € 20 miljoen” “Je website moet helemaal omgebouwd worden” en nog meer van zulke bangmakende titels. Aangezien ik alleen onderzoek heb gedaan naar de veranderingen voor websites, kan ik niet veel vertellen over de administratie of wanneer je gastenlijsten of andere privégegevens opslaat van klanten.
Er zijn een aantal websites in het leven geroepen om alles wat duidelijker te maken over de AVG wet. Alleen staat er vaak onderaan dat “Dit document vertegenwoordigt niet het officiële standpunt van de Europese Commissie en komt niet in de plaats van de wetgeving.” Erg handig dus als je 100% zeker wilt zijn of de stappen die je onderneemt ook juist zijn. Onderaan deze blog staan de websites die je kunt raadplegen.
Een korte uitleg over de AVG wet
De AVG is in het leven geroepen om klanten, gebruikers en bezoekers beter te beschermen.
Ik denk dat iedereen het er wel mee eens is, dat allerlei persoonsgegevens en informatie beschermd moeten worden en niet zomaar op straat te vinden zijn. Wanneer je online bij een restaurant reserveert, wil je later ook geen spam in je inbox over uitjes in je omgeving.
Deze zul je dan niet zomaar met derden mogen delen zonder expliciete toestemming (maar dat mocht voor de tijd ook al niet).
Wat, waarom, waar, wie en hoelang?
- Wat wordt er bijgehouden aan persoonsgegevens door jouw organisatie?
- Waarom sla je deze gegevens op? (Geboortedatum omdat je een verjaardagskaartje stuurt of omdat het 18+ content is)
- Waar worden al deze gegevens opgeslagen? (e-mail, papier, nieuwsbrief systeem, boekhouder of misschien zelfs bij de zorgverzekering)
- Wie heeft er toegang tot de persoonsgegevens? (Hebben meer mensen binnen jouw organisatie toegang tot de opgeslagen persoonsgegevens of misschien personen van een ander bedrijf of instelling?)
- Hoelang bewaar je de persoonsgegevens? (Het is van belang om aan te geven hoelang je bepaalde gegevens bewaard. Nieuwsbrief aanmelding totdat je je afmeld of zelf verwijderd wordt. Administratie bijv. 5 jaar)
Zorg altijd voor toestemming. Dit moet je namelijk in de toekomst aantonen. Ook moet het voor de klant net zo gemakkelijk zijn gegevens te laten verwijderen, als dat hij ze verstrekt heeft.
Het zal natuurlijk logisch zijn dat de klantgegevens niet uit de administratie te verwijderen zijn, aangezien je geen facturen uit je administratie kunt verwijderen. Wanneer je deze gegevens goed in kaart hebt gebracht, vermeld deze dan op je website zodat het inzichtelijk is wat er met de persoonsgegevens gebeurd.
Sla alleen gegevens op die je ook daadwerkelijk gebruikt. Het is vanaf 25 mei niet meer toegestaan om lukraak gegevens van klanten/bezoekers op te slaan die je nergens voor gebruikt. Vraag je om de geboortedatum bij het contactformulier, omdat je in de toekomst van plan bent een kaartje te sturen op de verjaardag? Beter van niet. Dit zijn geen gegevens die je daadwerkelijk gebruikt. Vraag alleen om gegevens die je echt gebruikt. Stuur je altijd al een verjaardagskaartje op de verjaardagen van je klanten? Meld dit er dan bij, wanneer je vraagt om deze gegevens. Klanten kunnen dan zelf bepalen of ze dit met je willen delen.
Je moet altijd om toestemming vragen en uitleggen waarom je ergens toestemming voor nodig hebt en wat ze kunnen verwachten.
Automatische aanmelden voor een nieuwsbrief
Je hebt vast wel eens meegemaakt dat wanneer je je bestelling wilt afronden bij een webshop, dat je in de daaropvolgende week een nieuwsbrief ontvangt. Er zijn erg veel webshops/websites waarbij er standaard een vinkje staat bij het aanmelden van een nieuwsbrief. Dit mag vanaf 25 mei niet meer. De zogenaamde Opt-ins worden nu Opt-outs. Dus geen standaard vinkje meer, geen automatische acceptatie van algemenen voorwaarden. Alles moet standaard op UIT staan.
SSL certificaat
Zorg er voor dat de klant/bezoeker zijn gegevens veilig met jou kan delen. Hiervoor zul je een beveiligde omgeving moeten aanbieden waarbij de gegevens veilig worden verzonden. Hiervoor bestaat het SSL certificaat. Deze zorgt voor het groene slotje voor je URL. Meer over SSL certificaten –>
Boetes
Zoals in het begin al aangegeven, schrok ik nogal van de hoge boetes die opgelegd worden wanneer je je niet aan deze nieuwe regels houdt. Minimaal € 20 miljoen aan boete……dan kun je zeker de deuren wel sluiten. Maar is dat ook echt zo? Nou, dat valt wel mee. Mocht je echt veel persoonsgegevens verzamelen zonder toestemming en onbeveiligd, dan kun je daar wel eens mee te maken krijgen. Alleen zul je eerst een waarschuwing krijgen. Hierna een berisping en daarna gaat het spannend worden. Vermoedelijk zul je hier geen last van krijgen. Het is ook onmogelijk om alle websites te bekijken en beoordelen. Maar maak je misbruik van persoonsgegevens en doe je helemaal niks met de nieuwe regels, dan kan dat ook gemeld worden. Je zult dan snel een brief op de mat ontvangen met de eerste waarschuwing.
Wanneer je alles zo ziet wat de nieuwe regels inhoudt, dan kan je hier als ondernemer alleen maar achter staan. Niemand wil zijn gegevens verspreid over het internet hebben en nergens van op de hoogte zijn. Wij kunnen dit dus alleen maar aanmoedigen om zo transparant mogelijk te zijn richting onze klanten. Vermoedelijk krijg je dan ook meer vertrouwen terug!
Privacy statement zelf samenstellen
Het was heel wat zoeken naar de juiste links met de juiste antwoorden. Maar ik heb er een aantal voor je gevonden om je eigen Privacy statement samen te stellen. Ook kun je bekijken of je alles al juist hebt ingesteld.
Je kunt evt. mijn Privacy statement ook gebruiken als voorbeeld.
Via de website van Veilig internetten, kun je je eigen privacyverklaring samenstellen. Ook staat hier veel informatie omtrent de AVG wet: https://veiliginternetten.nl/privacyverklaring-generator-start/start/
Erg belangrijk om je instellingen voor Google Analytics aan te passen. Zo weet je zeker dat ze alleen maar anonieme gegevens ontvangen vanaf je website. Hoe je dit kunt doen: https://www.blue2blond.nl/nieuws/740/analytics-ip-adressen-anonimiseren-de-correcte-manier.html
Mocht je er niet helemaal uitkomen, dan heeft ook Google Analytics een uitleg. Dit is alleen wel in het Engels: https://developers.google.com/analytics/devguides/collection/gajs/#disable
Ook moet je zelf aangeven bij Google Analytics hoelang hij de gegevens mag bewaren die hij ontvangt. Dit kun je als volgt doen: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_privacyvriendelijk_instellen_google_analytics_mrt_2018.pdf (Mocht je niet bij deze gegevens kunnen komen, neem dan even contact op met je webbeheerder of met mij)
Wil je graag zelf bepalen wat Google aan je mag tonen? Dan kun je vanaf nu je voorkeuren aangeven bij Google: https://adssettings.google.com/authenticated?hl=nl (wel even inloggen met je Google account)
De Europese Commissie heeft een website in het leven geroepen waar je een samenvatting kunt lezen: http://ec.europa.eu/justice/smedataprotect/index_nl.htm (Alleen geldt op deze website dat het document niet het officiéle standpunt van de Europese Commissie vertegenwoordigt……..dusssss)
Bij de Autoriteit Persoonsgegevens staat alles over de AVG. Alleen is het wat lastig duidelijkheid te krijgen over wat nu precies de bedoeling is: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving
Hulp bij Privacy legt wat stappen uit, waar je rekening mee moet houden. Alleen is het de bedoeling om in begrijpelijke taal te omschrijven hoe je de persoonsgegevens opslaat. Hulp bij Privacy heeft er duidelijk een halve advocaat achter gezet: https://www.hulpbijprivacy.nl/
6 april 2021 
