Op 25 mei 2018 trad de AVG privacywetgeving definitief in werking. Sindsdien al vele mooie en inspirerende websites mogen maken. Ook al veel adviezen mogen geven en websites mogen beoordelen. Tijdens een website scan is naast de toegepaste SEO optimalisatie de AVG een belangrijk aandachtspunt. Hier blijkt helaas nog vaak wel het één en ander aan te schorten.
De Algemene Verordening Gegevensbescherming (AVG) geldt voor de gehele Europese Unie. De internationale benaming is GDPR wat staat voor General Data Protection Regulation.
Wat is nu de AVG privacywetgeving?
Om te kunnen begrijpen wat de AVG nu precies inhoudt is het belangrijk dat je een aantal begrippen begrijpt. Een veel gehoorde misvatting is dat er geen persoonsgegevens verzamelt en/of verwerkt worden. Echter de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Hiertoe moet je dus weten wat persoonsgegevens zijn.
Begrippen van de AVG
Persoonsgegevens zijn: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Denk hierbij niet alleen aan naam en andere contactgegevens maar ook bijvoorbeeld aan IP-adres en surfgedrag op internet. Hieronder valt ook informatie die direct naar iemand te herleiden is.
Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens. Verwerken is heel breed en bevat werkelijk alles tussen het verzamelen c.q. verkrijgen van de gegevens tot het vernietigen ervan. Denk ook aan opslaan, structureren, wijzigen en raadplegen.
Alle begrippen zijn na te lezen in artikel 4 van de VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD.
Verwerking van persoonsgegevens
Persoonsgegevens dient men behoorlijk, rechtmatig én transparant te verwerken. Bovendien mag men de verkregen persoonsgegevens alleen verwerken voor het doel waartoe zij verkregen zijn. Hierbij er ook rekening mee houdend dat je alleen gegevens mag verzamelen die ter zake dienend en toereikend zijn. Een mondvol echter om dit met een ‘extreem’ voorbeeld toe te lichten. Het is niet ter zake dienend als men een product in een webshop voor dierenbenodigdheden koopt men het aantal kinderen in moet vullen.
Tot slot dien je de persoonsgegevens op een dusdanige wijze te bewaren die het mogelijk maakt betrokkenen niet langer te identificeren dan noodzakelijk is. Persoonsgegevens mogen voor langere perioden worden opgeslagen als dit noodzakelijk is. Noodzakelijk voor administratieve en fiscale doeleinden, als ook statistische doeleinden en wetenschappelijke en historische doeleinden. Bewaren mag alleen als er passende maatregelen zijn getroffen om de persoonsgegevens, de rechten en vrijheden van de persoon, te beschermen. Dit noemt men ook wel de ‘opslagbeperking’.
Verkrijgen van de persoonsgegevens volgens de AVG
De verwerking is alleen rechtsgeldig als tenminste aan één van de onderstaande voorwaarden is voldaan.
- De betrokkene heeft actief toestemming gegeven voor één of meer doeleinden. Je moet als verwerkingsverantwoordelijke kunnen aantonen dat iemand toestemming heeft gegeven. Het moet de betrokkene ook goed duidelijk zijn waarvoor hij/zij toestemming geeft. Ook moet het ten alle tijden mogelijk zijn deze toestemming in te trekken. Waarop de verwerkte persoonsgegevens direct vernietigd dienen te worden.
- De verwerking is noodzakelijk voor de uitvoering van een overeenkomst of op verzoek van de betrokkene voor de sluiting van een overeenkomst maatregelen te nemen
- De verwerking is noodzakelijk om te voldoen aan wettelijke verplichtingen
- Verwerking is noodzakelijk om de vitale belangen van iemand te beschermen
- De verwerking is noodzakelijk voor het algemeen belang of uitoefening van het openbaar gezag
Hoe dit nu toe te passen?
De gehele verordening bestaat uit 11 hoofdstukken en in totaal 99 artikelen die allemaal weer verder onderverdeeld zijn. Interessant om te lezen en nuttig als jezelf je gehele privacy- en cookiebeleid wilt opstellen.
Want hoe is dit nu te vertalen naar jouw website? Vanuit bovenstaande heb je op je website een aantal dingen nodig.
- Te beginnen met een cookiemelding waarbij men de keuze heeft akkoord te gaan met alle cookies of alleen met de functionele cookies. Ook moet men terug kunnen lezen voordat men akkoord gaat wat het een en ander inhoudt. Bij elke handeling op het internet, bij het openen van elke website worden er cookies verzameld dus ook bij jouw website. Het is derhalve niet toegestaan om te melden aan de bezoeker dat men akkoord gaat als zij doorgaan met het bezoeken van de website.
- Dan is een SSL certificaat verplicht op het moment dat jij gegevens opvraagt via bijvoorbeeld een contactformulier, mailinglist of een webshop. Je vraagt immers gegevens op van iemand en dit dien je via een beveiligde omgeving te doen.
- Het is bovendien noodzakelijk dat men zich bewust is dat men persoonsgegevens achterlaat middels een formulier. Jouw bezoeker moet voor verzending akkoord gaan met de verwerking van de persoongegevens. Dit moet actief gebeuren.
- Om inzichtelijk te maken hoe jij persoonsgegevens verzamelt. Welke gegevens, waarvoor en hoe je die bewaart en meer dien je een privacy beleid op te stellen. Dit privacy beleid moet makkelijk vindbaar zijn vóór iemand zijn/haar gegevens verstrekt.
- Tot slot moet het voor iemand duidelijk zijn aan wie de betrokkene de gegevens verstrekt. Met andere woorden op de website moeten duidelijk alle contactgegevens staan. Zoals naam, adres, woonplaats, email en telefoonnummer. Echter ook het KvK en BTW nummer dienen vermeld te worden indien van toepassing.
Voldoet jouw website aan alle regel- en wetgeving omtrent de AVG? Verwerk jij alle persoonsgegevens op een juiste wijze? Vraag de gratis scan aan en kijk waar jouw verbeterpunten zitten.
Opmerking: In dit artikel ben ik bewust niet ingegaan op de verwerking van bijzondere categorieën persoonsgegevens en gegevens van minderjarigen inzake de AVG privacywetgeving. Onder bijzondere categorieën verstaat men onder andere seksuele geaardheid, geloof, medische gegevens en religie.
Voetnoot: een belangrijke bron voor de informatie van dit artikel is afkomstig van autoriteit persoonsgegevens. Echter de allerbelangrijkste bron is uiteraard de wettekst uit de verordening AVG zelf: EUR-Lex – toegang tot het recht van de Europese Unie
Meer weten: Autoriteit consument en markt
Vraag hier jouw gratis AVG scan aan
GDPR Scan
Aanvraag gratis GDPR scan