AVG – Algemene Verordening Gegevensbescherming

Wat is de AVG of Algemene Verordening Gegevensbescherming nu precies en wat heeft dat van invloed op je website.

De AVG wet (Engels: General Data Protection Regulation (GDPR)) is een Europese verordening. Deze wetgeving is gericht op de verwerking van persoonsgegevens voor particuliere bedrijven en overheidsinstanties in heel Europa. De verordening is in werking getreden in mei 2016, maar bedrijven kregen de tijd tot 25 mei 2018 om hun bedrijfsvoering met de AVG aan te passen. Als bedrijven hier niet aan voldoen kunnen er boetes uit worden gedeeld tot 20 miljoen euro of 4% van de jaarlijkse omzet van een onderneming.

Deze wetgeving is van toepassing als je gegevens verwerkt van EU burgers en je gevestigd bent binnen Europa. Of als je buiten de EU gevestigd bent, maar gegevens verzameld of verwerkt van binnen de EU wonende personen.

Wat er wordt verstaan onder persoonsgegevens

De Europese commissie stelt vast dat alle gegevens die betrekking hebben op een individu, ongeacht of het hier gaat om privé, zakelijke of openbare gegevens, onder de persoonsgegevens vallen. Dit kunnen bijvoorbeeld een naam, huisadres, email, bankgegevens, berichten op social media, medische gegevens of een ip adres van een computer zijn.

Voor alle landen binnen de EU gelden dezelfde regels. Elk land heeft wel zijn onafhankelijke gegevensbeschermingsautoriteit te hebben.

Hoe maak je jouw website AVG-proof

De AVG wetgeving gaat voor het grootste gedeelte over transparantie en verantwoordelijkheid. Wat doe je met de verzamelde gegevens en wie hebben inzicht in deze gegevens. Ga je verantwoordelijk om met de gegevens die verzameld zijn?

De regels gelden voor alle websites met formulieren en inlog mogelijkheden.

Waar moet je website aan voldoen:

  • duidelijk aangeven wat er met de persoonsgegevens gaat gebeuren. Gegevens mogen alleen gebruikt worden voor het doel dat tijdens het opvragen aangegeven is.
  • een privacyverklaring moet vertellen wat er met de gegevens wordt gedaan. Ook moet hierin staan welke derde partijen toegang hebben tot deze gegevens. Bijvoorbeeld Mailchimp of Mailblue bij het versturen van een nieuwsbrief.
    • Vermeld ook de gegevens van je organisatie of de functionaris gegevensbescherming. Naast het recht op verzet, inzage en rectificatie, hebben personen ook het recht om vergeten te worden.
  • veilige opslag van persoonsgegevens is een vereiste. Als er een lek ontstaat, dan ben je verplicht dit te melden. Denk hierbij aan een up-to-date CMS (bijv. WordPress), een goed onderhouden hosting of een ssl certificaat op je website.
  • je moet verwerkingsovereenkomsten afsluiten met alle partijen die de persoonsgegevens verwerken. Hierin moet worden aangegeven hoelang de overeenkomst duurt, wat ze doen en hoe ze dit doen.
  • ook is het niet toegestaan om gegevens op te vragen die niet noodzakelijk zijn voor het doel.
  • data niet langer opslaan dan noodzakelijk. Als een persoon zich afmeldt van een nieuwsbrief moeten de gegevens binnen afzienbare tijd verwijderd worden.
  • sla gegevens maar op 1 plek op. Dus een aanmelding voor een nieuwsbrief hoeft niet in meerdere systemen te staan.
  • mensen die zich ergens voor aanmelden moeten net zo makkelijk zich weer kunnen afmelden. Dit kan via een specifieke link zijn in een nieuwsbrief of via een aparte pagina met een formulier.
  • het laatste punt is de cookiewetgeving. Er zijn in principe drie soorten cookies
    • Functionele cookies welke nodig zijn voor de werking van de site. Deze cookies slaan geen gegevens op en hebben daarom ook geen goedkeuring nodig.
    • Analytische cookies voor statistieken van je website, bijvoorbeeld om te zien hoeveel mensen je site bezoeken. Als deze gegevens geanonimiseerd worden, je een verwerkingsovereenkomst met Google hebt afgesloten en je deze gegevens niet deelt met derden is er geen goedkeuring nodig.
    • Tracking cookies worden gebruikt om gebruikersprofielen op te bouwen. Veel mensen denken dat ze hier niet gebruik van maken, maar zodra je gebruik maakt van retargeting via Google Adwords, maak je hier gebruik van. Dit is het tonen van advertenties aan mensen die je website hebben bezocht. Ook als je YouTube filmpjes toont plaatst jouw website tracking cookies. Voor deze cookies is toestemming nodig via een cookiewall. Dit is een popup die bij het eerste bezoek vraagt of de gebruiker toestemming geeft of niet.

Voor veel dingen is dus geen toestemming nodig en daarom geen popup melding nodig.

Naast de cookie wall is er in alle gevallen een privacy verklaring nodig op de website. Ook een cookie pagina is aan te raden. Hier kun je uitleggen of er gebruik wordt gemaakt van cookies en van welke.

De verwerkingsovereenkomsten hoeven niet op de site worden getoond. Wel moet worden aangegeven in de privacyverklaring met welke partijen een overeenkomst is afgesloten.