Ben jij klaar voor de nieuwe AVG?

Gea Simons
mei 26, 2018

Op 25 mei 2018 is de nieuwe Algemene Verordening Gegevensbescherming (AVG) in heel Europa van toepassing zijn en dient elke ondernemer die persoonsgegevens verwerkt zich hier aan te houden. Met de komst van de nieuwe AVG komt de Europese richtlijn uit 1995 te vervallen. Ben jij al AVG proof?

Checklist voor de nieuwe AVG

Wijziging van de privacyverklaring

Het eerste wat je als ondernemer zult moeten aanpassen is je privacyverklaring. In de nieuwe privacyverklaring word je geacht jouw klanten uitgebreider en in begrijpelijke taal te informeren over onder andere hun rechten, de gegevens die je verzamelt en het doel van het verzamelen van deze gegevens.

De volgende punten moeten worden opgenomen in de privacyverklaring:

  • Je bedrijfsgegevens.
  • Je contactgegevens.
  • De gegevens die je verzameltmet welk doel je deze verzamelt en wat de juridische grondslag is voor het verzamelen. Een voorbeeld hiervan is dat je de naam, het adres, het e-mailadres en een telefoonnummer nodig hebt voor het verwerken van de bestelling van je klant.
  • Welke partijen toegang hebben tot deze gegevens en waarom. Denk hierbij bijvoorbeeld aan de websitehost, de verzendservice, de betaalservice, het mailprogramma en ook Google Analytics.
  • Waar cookies gebruikt worden en met welke reden.
  • Hoe lang gegevens bewaard worden. Noem hier niet zomaar een getal maar onderbouw deze ook. Zo moeten facturen bijvoorbeeld 7 jaar bewaard worden voor de belastingdienst.
  • Dat klanten altijd het recht hebben opgeslagen persoonlijke gegevens op te vragen, te corrigeren en/of te laten verwijderen.
  • Dat klanten altijd bezwaar mogen maken tegen de verwerking van persoonlijke gegevens.
  • Dat klanten een toestemming voor gebruik van gegevens (bijvoorbeeld voor het ontvangen van de nieuwsbrief) ten alle tijde mogen intrekken.
  • Dat een klant voor klachten ook terecht kan bij de Autoriteit Persoonsgegevens.
  • Indien je gebruik maakt van profilering dien je ook dit aan te geven met de reden waarom je dit doet.
  • Tot slot moet je ook aangeven dat persoonsgegevens worden opgeslagen op servers buiten de EU indien dit van toepassing is.

Tip: Zie je er tegenop om het zelf je privacyverklaring te maken? Gebruik dan de gratis generator van WebwinkelKeur! Ga naar hiervoor naar GDPR/AVG: Privacy Policy Generator.

Het verwerkingsregister

Het verwerkingsregister is een bestand waarin je iedere verwerking van persoonsgegevens bijhoudt. Ook jij als onderneemster moet een dergelijk register bijhouden omdat je per definitie regelmatig (en dus niet incidenteel) persoonsgegevens verwerkt. In het verwerkingsregister moeten de volgende gegevens worden opgenomen.

  • Het doel (waarom verzamel je deze gegevens).
  • De juridische grondslag (zoals bijvoorbeeld afhandelen bestelling of toestemming).
  • De gegevens die worden verzameld.
  • De betrokkenen (bijvoorbeeld klanten, websitebezoekers)
  • Wie intern toegang heeft (ben jij de enige of hebben medewerkers ook toegang tot de gegevens?).
  • Wie extern toegang heeft (zoals de websitehost, de verzendservice, de betaalservice, het mailprogramma).
  • Waar de gegevens worden opgeslagen (bij een externe partij zoals hierboven genoemd of op je eigen computer).
  • Hoe lang de gegevens worden bewaard.
  • Wat de reden is voor het bewaren.
  • Hoe de gegevens beveiligd zijn (bijvoorbeeld via een SSL-certificaat, dubbele opt-in, dubbel wachtwoord op je computer).
  • En of er een verwerkingsovereenkomst is en per wanneer. Voor elke externe partij dient er een verwerkingsovereenkomst te zijn.

Verwerkingsovereenkomst

Misschien wel het moeilijkste onderdeel van de nieuwe AVG zijn de verwerkingsovereenkomsten. Een verwerkingsovereenkomst is, zoals de naam al zegt, een overeenkomst die je afsluit met een externe partij die voor jou gegevens van klanten verwerkt.

In een verwerkingsovereenkomst moeten de volgende gegevens verwerkt worden.

  • Het onderwerp.
  • De partijen.
  • De periode van de overeenkomst.
  • De aard van de verwerking.
  • Het doel van de verwerking.
  • Welke persoonsgegevens worden verstrekt.
  • Van wie de persoonsgegevens worden verwerkt.
  • Hoe de externe partij vertrouwelijkheid waarborgt en persoonsgegevens beveiligd zijn.
  • Hoe persoonsgegevens kunnen worden ingezien, gewijzigd of verwijderd (bij een audit of als een klant hierom vraagt).
  • De rechten en plichten van de verwerkingsverantwoordelijke.

Veel partijen zijn al zelf actief aan de slag om deze overeenkomsten actief naar klanten te mailen. Toch is het goed inzichtelijk te krijgen of de externe partijen met wie jij werkt hier al aan werken of dat je er zelf nog achteraan moet gaan.

Verwerkingsovereenkomst met externe partijen

De meeste partijen regelen de verwerkingsovereenkomsten online. In sommige gevallen zul je zelf actief een verwerkingsovereenkomst moeten aanbieden en laten ondertekenen. Via onder andere Rendement.nl kun je hiervoor een gratis tool downloaden om een verwerkingsovereenkomst te maken.

Zijn partijen zelf verwerkingsverantwoordelijke, dan is een verwerkingsovereenkomst niet nodig. Je kunt hierbij denken aan betaalproviders, verzendpartijen maar ook bijvoorbeeld de belastingdienst. Vermeld deze partijen in jouw privacyverklaring en verwijs naar de privacyverklaring van deze partijen. Ook deze partijen staan zoveel mogelijk verwerkt in bovenstaande Excel.

Wat moet je verder nog doen?

Als je bovenstaande allemaal hebt geregeld zijn er nog een aantal zaken om naar te kijken.

  1. Schoon je e-mail lijsten op. Kun je niet aantonen hoe je aan een e-mail adres bent gekomen? Verwijder dan het e-mailadres of stuur een e-mail met de vraag of de persoon in verband met de nieuwe AVG opnieuw toestemming wil geven voor het gebruik van het e-mail adres.
  2. Controleer je opt-in formulieren. Een persoon moet zelf expliciet toestemming geven voor het gebruik van de persoonsgegevens. Heb je standaard een vinkje aanstaan bij nieuwsbrief ontvangen in je bestelformulier? Dit is vanaf 25 mei niet meer toegestaan. Werk je met gratis weggevers voor je nieuwsbrief? Geef dan duidelijk aan dat men zich aanmeldt voor de nieuwsbrief en als dank een gratis weggever ontvangt.
  3. Vanaf 25 mei mag een no-reply adres niet meer gebruikt worden bij nieuwsbrieven. Het moet duidelijk zijn van wie de e-mail afkomstig is en men daarop kunnen reageren. Controleer dus welk reply adres je gebruikt.
  4. Controleer je retargeting advertenties. Maak je gebruik van retargeting advertenties via bijvoorbeeld Facebook op basis van de persoonsgegevens uit je website? Geef dit dan aan in je privacyverklaring en verwijs naar je privacyverklaring in de opt-ins die je gebruikt.

Werk aan de winkel met de nieuwe AVG

Met de nieuwe AVG is er genoeg werk aan de winkel, ook voor jou als onderneemster. Wacht dus niet te lang en ga vandaag nog aan de slag!

0 reacties

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *