Je hebt het vast wel gehoord, op 25 mei 2018 gaat de AVG in. AVG is een afkorting voor Algemene Verordening Gegevensbescherming, een nieuwe Europese privacy wet.
Er is heel veel informatie te vinden over dit onderwerp, maar veel kleinere bedrijven en organisaties weten nog steeds niet precies wat dit nu voor hen betekent, en wat
er bijvoorbeeld aangepast moet worden aan de website. In dit artikel lees je de belangrijkste dingen voor kleine bedrijven of organisaties.
Disclaimer: Bob is geen jurist en er kunnen dan ook geen rechten aan dit artikel ontleend worden.
In dit artikel lees je:
- Dat de AVG waarschijnlijk ook voor jou geldt
- Dat je alleen persoonsgegevens mag verwerken als je daar een geldige grondslag voor hebt, en welke dat zijn
- Dat je alleen noodzakelijke gegevens mag verwerken
- Dat je geen bijzondere persoonsgegevens mag verwerken en wat daaronder valt
- Dat je je website en computer goed moet beveiligen, en hoe je dat doet
- Dat je een register van verwerkingactiviteiten en verwerkersovereenkomsten moet hebben
- Dat WordPress ook een aantal AVG hulpmiddelen bevat
Geldt de AVG ook voor mij?
Waarschijnlijk wel. De AVG geldt voor iedereen die persoonsgegevens verwerkt. Onder persoonsgegevens worden alle gegevens verstaan die naar een natuurlijke persoon te herleiden zijn. Dat zijn onder andere:
- Naam
- E-mail adres
- Telefoonnummer
- Woonadres
- IP adres
- Bestelhistorie
De AVG is dus al vrij snel van toepassing; als je een contactformulier op je website hebt staan verwerk je immers minimaal een naam en e-mail adres, en als je een webshop hebt komt daar ook nog een adres en bestelhistorie bij. Maar zelfs als je alleen maar Google Analytics op je site hebt verwerk je al gegevens (namelijk IP adressen).
Je hebt een grondslag nodig om persoonsgegevens te mogen verwerken
Je mag alleen persoonsgegevens verwerken als je daar een geldige grondslag voor hebt. Er zijn in totaal 6 grondslagen mogelijk, maar de grondslagen die meestal van toepassing zullen zijn bij een normale website of webshop zijn “toestemming” , “uitvoering van een overeenkomst” en “nakomen van een wettelijke verplichting”.
Toestemming
De eerste grondslag is de meest veilige: zorg dat je toestemming hebt van degene van wie je de persoonsgegevens wilt verwerken (meestal je klant), en dat je kunt bewijzen dat je die toestemming hebt. Verder moet je voldoen aan de volgende regeltjes:
- Je mag iemand niet onder druk zetten om toestemming te geven, of iemand benadelen als hij geen toestemming geeft. Je ziet nu bijvoorbeeld nog regelmatig een cookiewall waardoor je een website alleen kunt bezoeken als je toestemming geeft om cookies te plaatsen, dat soort dingen mag dus niet meer.
- De toestemming moet expliciet gegeven zijn. Je klant moet dus een actieve handeling verrichten om jou toestemming te geven. Bijvoorbeeld door het aanvinken van een checkbox met de tekst “ik ga akkoord met de privacyverklaring” bij je webshop of contactformulier. Deze moet hij echt zelf aanvinken, automatisch vooraf aangevinkte vakjes mogen dus niet meer.
- Je moet de klant informeren over wie je bent, welke gegevens je verzamelt, waarvoor je de gegevens gaat gebruiken (bijvoorbeeld voor het afhandelen van de bestelling of voor het versturen van een nieuwsbrief), hoe lang je de gegevens gaat bewaren en dat de klant het recht heeft de toestemming ook weer in te trekken. Dit kun je allemaal in je privacyverklaring kwijt. Lees hier wat er nog meer in je privacyverklaring moet staan.
- De toestemming wordt gegeven voor een specifiek doel en je mag de gegevens dan ook alleen daarvoor gebruiken. Als iemand dus je contactformulier invult om een offerte aan te vragen mag je hem wel bellen als je daar vragen over hebt, maar je mag hem niet op je mailinglist zetten en nieuwsbrieven sturen.
Noodzakelijk voor de uitvoering van een overeenkomst
De tweede grondslag stelt dat je niet perse toestemming nodig hebt als je persoonsgegevens moet verwerken om de overeenkomst uit te kunnen voeren. Als een klant bijvoorbeeld een bestelling plaatst in je webshop heb je zijn adres nodig om de bestelling te kunnen versturen, dus daar hoef je niet expliciet toestemming voor te vragen. Maar het opslaan van de bestelhistorie is niet noodzakelijk om de bestelling te kunnen versturen, dus daar heb je wel toestemming voor nodig.
Noodzakelijk voor het nakomen van een wettelijke verplichting.
De derde grondslag is het nakomen van een wettelijke verplichting. Zo verplicht de belastingdienst je bijvoorbeeld alle facturen 7 jaar te bewaren. Persoonlijk heb ik in mijn privacy verklaring staan dat ik ook alle andere persoonlijke gegevens, kopieën van e-mails en telefoonnotities 7 jaar bewaar, tenzij een klant daar bezwaar tegen maakt.
Alleen noodzakelijke gegevens vragen
Een belangrijk onderdeel van de AVG is “privacy by design”, wat betekent dat je alles zo privacy vriendelijk mogelijk ontwerpt. Dat betekent onder andere dat je alleen de gegevens vraagt die absoluut noodzakelijk zijn. Bij je nieuwsbrief inschrijfformulier is dat bijvoorbeeld alleen het e-mail adres, en bij een webshop zijn de naam, het e-mail adres en het postadres de enige gegevens die je echt nodig hebt.
Nu is het geen probleem als je bij je nieuwsbrief inschrijving ook een “naam” veld hebt of bij je webshop naar het telefoonnummer vraagt, als je maar uitlegt waarom je die gegevens nodig hebt. Dus dat je graag hun naam wilt hebben zodat je ze persoonlijk kunt aanspreken in de nieuwsbrief, of het telefoonnummer zodat je gemakkelijk contact kunt opnemen als je vragen hebt.
Je mag geen bijzondere persoonsgegevens verwerken
Natuurlijk kunnen er nog meer gegevens echt noodzakelijk zijn om een offerte te kunnen maken of een order uit te voeren, maar er zijn ook een aantal gegevens waar je zeker niet zomaar naar maar vragen. Dit zijn de zogenaamde bijzondere persoonsgegevens. Daaronder vallen:
- Godsdienst of levensovertuiging
- Ras
- Politieke voorkeur
- Gezondheid
- Seksuele leven
- Lidmaatschap van een vakbond
- Strafrechtelijk verleden
- BSN nummer
Naar deze gegevens mag je nooit vragen, tenzij je onder 1 van de 10 uitzonderingen valt.
Beveilig je website
In de AVG staat dat je persoonsgegevens goed moet beveiligen. Dat houdt o.a. het volgende in:
- Zorg voor een SSL certificaat, dus een https verbinding. Dit is de absolute basis van websitebeveiliging.
- Zorg dat je WordPress zelf, alle thema’s en alle plugins up to date houdt.
- Gebruik sterke wachtwoorden. Zeker voor de WordPress admin, maar ook voor de hostingomgeving, FTP, database en e-mail accounts.
- Gebruik een goede beveiligingsplugin, bijvoorbeeld WordFence.
- Zorg voor backups waarmee je de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig kunt herstellen.
- Zorg ook op je computer(s) en smartphone voor up to date software, sterke wachtwoorden (of andere beveiliging) en een virusscanner hebt.
Zorg voor een SSL certificaat
De meeste hostingproviders bieden tegenwoordig een gratis SSL certificaat aan (Let’s Encrypt). Als jouw hostingprovider geen Let’s Encrypt aanbiedt kost een SSL certificaat meestal een paar tientjes per jaar. Vraag even aan je hostingprovider hoe dat je dat hun kunt regelen als je nog geen SSL certificaat hebt.
Zorg dat WordPress zelf, alle thema’s en alle plugins up to date blijven
WordPress zelf, alsmede de thema’s en plugins daarvoor worden zeer regelmatig geupdate (vaak meerdere keren per maand). Veel van die updates zijn bedoeld om beveiligingslekken te dichten, dus het is zeer belangrijk dat je deze regelmatig update. Als je daar zelf geen tijd of zin voor hebt kun je ook een onderhoudsabonnement bij mij afsluiten.
Gebruik sterke wachtwoorden
WordPress maakt zelf standaard al een sterk wachtwoord voor je aan, maar biedt ook de mogelijkheid een eigen wachtwoord in te stellen. WordPress controleert weliswaar of het een sterk wachtwoord is, maar biedt ook de mogelijkheid om een zwak wachtwoord toch op te slaan. Hoewel het altijd aan te raden is om sterke wachtwoorden te gebruiken is dat extra belangrijk als je persoonsgegevens opslaat in je database (bijvoorbeeld bij een webshop).
Gebruik een goede beveiligingsplugin
Een goede beveiligingsplugin maakt je site een stuk veiliger. Persoonlijk gebruik ik altijd WordFence, een zeer uitgebreide, gratis plugin die je website beveiligd met o.a. een malware scanner, firewall, brute force blokkering, controle op niet meer onderhouden plugins enzovoorts.
Zorg voor backups
Ook het maken van backups is altijd een goed idee, maar als je persoonsgegevens opslaat in je database is het onder de AVG ook verplicht. Je moet namelijk zorgen dat je de beschikbaarheid van en toegang tot gegevens bij incidenten kunt herstellen. Ik gebruik persoonlijk altijd UpdraftPlus, een uitgebreide gratis backup plugin waarmee je automatische backups kunt instellen die je eventueel ook op een externe clouddienst kunt opslaan (zoals OneDrive, Google Drive of Dropbox). Deze eis geldt ook als je de gegevens op je eigen computer bewaard (dus niet online), dus zorg ook in dat geval voor een dagelijkse backup.
Beveilig ook je computer(s) en smartphones
Naast de website zelf zorg je natuurlijk ook dat alle andere aparaten waarop je toegang hebt tot persoonsgegevens veilig zijn. Dat is sowieso je (werk)computer, maar bijvoorbeeld ook je smartphone als je daarop toegang hebt tot je zakelijke e-mail.
Register van verwerkingsactiviteiten
Naast bovenstaande zaken brengt de AVG ook een aantal administratieve verplichtingen met zich mee. Ten eerste moet je een “register van verwerkingsactiviteiten” opstellen.
Dat klinkt ingewikkelder dan het is, want in feite is het een alleen document waarin je vastlegt:
- Welke gegevens je verwerkt (bijvoorbeeld naam, e-mail adres, postadres en telefoonnummer)
- Voor welke categorie(en) personen je dat doet (klanten, personeel)
- Wat je doel daarmee is (afhandelen bestellingen, leads opvolgen, nieuwsbrief sturen)
- Wie verantwoordelijk is voor de gegevensverwerking (gegevens van je organisatie en de verantwoordelijke medewerker(s)
Een gedetailleerd overzicht van wat er in zo’n register van verwerkingsactiviteiten moet staan vind je op deze pagina.
Verwerkersovereenkomst
De tweede administratieve verplichting is het opstellen van een verwerkersovereenkomst met alle partijen die in opdracht van jou persoonsgegevens verwerken. Bijvoorbeeld:
- Je boekhouder
- Het hostingbedrijf
- Google (ivm Gmail, Drive, Analytics)
Wat er in zo’n verwerkersovereenkomst dient te staan lees je op deze pagina.
WordPress AVG hulpmiddelen
Op 17 mei is WordPress 4.9.6 uitgebracht, waarin naast enkele bugfixes ook enkele hulpmiddelen zijn toegevoegd om te kunnen voldoen aan de AVG wetgeving. Onder hulpmiddelen vind je nu de mogelijkheid om de gegevens van een bepaalde gebruiker te exporteren of te wissen, en bij instellingen → privacy kun je automatisch een AVG compatible privacy verklaring aanmaken (die je uiteraard nog wel even moet aanpassen op je eigen situatie).
Neem nu een onderhoudsabonnement en krijg een gratis AVG check!
Zoals je hebt gelezen is het onder de AVG belangrijker dan ooit dat je site up to date blijft, goed beveiligd is en dagelijks gebackupt wordt. Heb je daar zelf geen tijd voor, of vind je het te ingewikkeld? Kies dan voor Bobs onderhoudsabonnement! Voor € 240,00 exclusief BTW per jaar heb je er zelf geen omkijken meer naar.
Als je nu een onderhoudsabonnement afsluit checkt Bob gratis of je website aan alle AVG eisen voldoet!
Ja, ik wil Bobs onderhoudsabonnement en een gratis AVG check!
Heeft dit artikel je zo goed geholpen dat je mij niet meer nodig hebt?
Een kleine eenmalige donatie wordt altijd zeer op prijs gesteld 🙂
Bronnen en andere interessante links
- Meest gestelde vragen over de AVG op de site van de autoriteit persoonsgegevens
- Regelhulp waarmee je door het beantwoorden van een aantal vragen ziet wat je nog moet doen
- AVG Stappenplan van de Kamer van Koophandel
- Duidelijk artikel over waar opt-in formulieren aan moeten voldoen
- Begrijpelijk en uitgebreid artikel over de AVG van IMU