Zoals je intussen wel zult hebben gehoord gaat per 25 mei 2018 de nieuwe Algemene Verordening Gegevensbescherming (AVG) in. Dat betekent dat er vanaf die datum in de hele Europese Unie dezelfde privacywetgeving geldt.
De AVG geldt voor iedereen die met persoonsgegevens te maken heeft. Bijvoorbeeld verenigingen en webshops leggen persoonsgegevens vast in hun administratie. Je bent dan in AVG termen een verwerkingsverantwoordelijke, degene die bepaalt wat vastgelegd wordt.
Wij als websitebouwer hebben er ook mee te maken. Wij leggen immers bij bovenstaande voorbeelden de gegevens vast in onze databases. In AVG termen zijn wij dan een verwerker: wij verwerken de gegevens (slaan die op), maar zijn niet verantwoordelijk voor welke gegevens vastgelegd worden.
Maar ook voor klanten die geen contactgegevens opslaan geldt de AGV: zodra iemand je website bezoekt worden de IP-adresgegevens (soort "vingerafdruk" van een computer) automatisch in een log vastgelegd. Het IP-adres valt volgens de Autoriteit Persoonsgegevens onder persoonsgegevens, omdat daarmee in theorie het huisadres van de bezoeker te herleiden valt.
Wat doet Creagraphy?
Wij hebben in ons klantenbestand twee typen klanten:
Klanten die een of meerdere contactformulieren e.d. op hun website hebben. Deze klanten moeten een privacystatement op hun website zetten, waarin staat wat er met de ingevulde gegevens van de bezoekers gebeurt.
Klanten die geen contactformulier op hun website hebben. Deze klanten zouden eventueel in een kort berichtje aan kunnen geven dat de IP-adressen van hun bezoekers worden opgeslagen in een log-bestand (Kijk voor een voorbeeld van zo'n verklaring hier). Een volwaardige privacystatement is niet nodig, zelfs niet als er wel een mogelijkheid op de site staat om via e-mail contact op te nemen. De bezoeker doet dit dan bewust, en is op dat moment vrij om die gegevens door te geven die hij zelf wil.
Wij gaan de contactformulieren zodanig aanpassen dat mensen die deze invullen de gegevens pas kunnen versturen als ze kennis hebben genomen van het privacystatement en deze ook goedkeuren (door middel van een vinkje).
Tot nu te was het mogelijk om direct (zonder eerst aan de beheerkant in te loggen) de bezoekersstatistieken van de website te bekijken. Om te voorkomen dat derden deze gegevens kunnen terugvinden verplaatsen we de statistieken naar de beheeringang.
We adviseren al onze klanten om vóór 25 mei 2018 bij ons een Verwerkersovereenkomst aan te vragen. Hierin staan alle afspraken op het gebied van het verwerken van de persoonsgegevens. Lees het document goed door en stuur het vervolgens ondertekend terug. Een e-mail waarin uitdrukkelijk staat dat je instemt met de overeenkomst is ook voldoende.
Wat doen wij niet? Wij bieden de mogelijkheid om een privacystatement te koppelen aan alle invulformulieren op je website (en eventueel ook met een losse link in bijvoorbeeld de onderste balk van de site), maar je zult zelf voor dit document moeten zorgen.
Google Analytics Een aantal van onze klanten heeft Google Analytics op hun website geïnstalleerd. Is dat bij jou het geval, denk er dan aan om ook bij Google een Verwerkersovereenkomst aan te vragen. Meer hierover vind je op de website van Inpulse. Je vindt er ook tips over wat je over Analytics in je Privacystatement op moet nemen.
Achtergrondinformatie
In de Algemene Verordering Gegevensbescherming is een aantal punten vastgelegd:
De basis waarop je persoonsgegevens mag verzamelen
Als je persoonsgegevens verzameld moet je aan kunnen tonen dat je er een van de volgende redenen voor hebt, anders is het niet toegestaan:
Je hebt toestemming van de gebruiker
De gegevens dienen vitale belangen
Het is door de wet verplicht dat je deze gegevens verzamelt (bijvoorbeeld adresgegevens van klanten moeten aan de Belastingdienst overlegd kunnen worden als ze daar om vragen)
Voor een overeenkomst
Voor algemeen belang
Voor gerechtvaardigd belang
Zorg al van het begin af aan dat je zorgvuldigheid betracht
Stel, als dat nodig is (maar dat geldt eigenlijk alleen voor grote bedrijven) een Functionaris Gegevensbescherming (FG) aan. Vraag bij contact- en andere formulieren om niet meer informatie dan je daadwerkelijk nodig hebt en denkt goed na over vragen als:
Wat is de impact van mijn project op de privacy van de betrokkenen?
Wat zijn de risico’s voor de betrokkenen?
Is het misschien mogelijk om hetzelfde project op te zetten met minder gevolgen voor de privacy?
Neem technische en organisatorische maatregelen
Als je met persoonsgegevens werkt moet je een aantal zaken geregeld hebben:
Het register van verwerkingsactiviteiten. Heb je alleen te maken met gegevens van mensen die je contactformulier invullen en/of klant bij je zijn dan ben jij een “verwerkingsverantwoordelijk”. Je register volstaat dan als die minimaal het volgende vermeldt:
De naam en contactgegevens van je organisatie
De doelen waarvoor de gegevens verzameld worden
De categorieën van personen waarvan de gegevens worden verwerkt, bv klanten
Welke persoonsgegevens er opgeslagen worden
Wanneer gegevens gewist worden
Aan wie je de gegevens eventueel verstrekt
Deel je gegevens met een land of internationale organisatie buiten de EU? Dan moet dat ook in het register worden aangegeven
Een algemene beschrijving van de technische en organisatorische maatregelen die zijn betroffen om de persoonsgegevens te beveiligen
Verwerk je ook gegevens in opdracht van een verwerkersverantwoordelijke dan ben je een “verwerker”. Dit is het geval als je bijvoorbeeld een administratiekantoor bent of een online dienst biedt voor gegevensopslag. Ook wij, als aanbieder van websites, zijn voor een aantal klanten verwerker. Als verwerker ben je verplicht een verwerkersovereenkomst op te stellen en deze voor te leggen aan je klanten die verwerkersverantwoordelijk zijn en je moet een verwerkingsregister hebben met de volgende gegevens:
Naam- en contactgegevens van je organisatie
Een beschrijving van de categorieën van verwerkingen die je in opdracht van elke verantwoordelijke (dus elke klant apart) uitvoert
De eventueel internationale organisaties waarmee persoonsgegevens gedeeld worden
Deel je gegevens met een land of internationale organisatie buiten de EU? Dan moet dat ook in het register worden aangegeven.
Een algemene beschrijving van de technische en organisatorische maatregelen die zijn betroffen om de persoonsgegevens te beveiligen
Ben je alleen een verwerkersverantwoordelijke dan volstaat over het algemeen een goed privacystatement waarin alle punten staan vermeld die hierboven worden vermeldt. Deze moet dan ook goed terug te vinden zijn op je website.
(Digitale) beveiliging Gegevens die je op websites, die wij hosten, hebt opgeslagen zijn op diverse manieren beveiligd tegen hackers en datalekken, maar er zijn ook andere manieren van digitale opslag: als je je klantenbestand back-upt op een (externe) harde schijf of USB-stick dan moet je er ook voor zorgen dat deze niet voor onbevoegde derden bereikbaar zijn. Ook papieren dossiers, lijsten met contactgegevens etc. moeten op een veilige manier weggeborgen zijn.
Rechten van betrokkenen
Ook een belangrijk punt binnen de AVG zijn de rechten van de betrokken. Zij moeten te allen tijde de gegevens die je hebt vastgelegd in kunnen zien, wijzigen, of laten verwijderen. Ook kunnen ze je verzoeken om bepaalde gegevens met een andere partij te delen. Je mag echter wel beperkingen aangeven: als iemand al zijn/haar gegevens wil laten verwijderen kun je aangeven dat de betrokkene niet langer klant kan blijven. Ook ben je wettelijk verplicht om bepaalde gegevens, ondanks het verzoek van de betrokkene, nog een bepaalde tijd te bewaren.
Transparantie
Als je alles goed op orde hebt, heb je zowel voor je klanten (de betrokkenen) als voor de Autoriteit Persoonsgegevens een goed en duidelijk privacyverhaal.