WIKI

AVG/GDPR: bent u er klaar voor?

Vanaf 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG/GDPR) in werking. Het invoeren van deze wet leidt tot strengere eisen aan de manier waarop persoonsgegevens verwerkt worden. Het is verstandig om goed op de hoogte te zijn van de veranderingen die gaan komen, zodat je de juiste voorbereidingen kunt treffen. Houdt je je niet aan de (nieuwe) regels? Dan kun je een boete verwachten. Reden genoeg om dieper hierop in te duiken. In deze blog wordt er uitgebreid vertelt wat AVG/GDPR exact inhoudt en worden er tips gegeven.

 
Wat betekent AVG/GDPR en wat houdt het in?

AVG en GDPR zijn hetzelfde, waarbij AVG een Nederlandse vertaling is van GDPR. AVG staat voor Algemene Verordening Gegevensbescherming en vervangt de huidige Wet bescherming persoonsgegevens (Wbp). De GDPR is dezelfde wet, maar dan op Europees niveau. GDPR staat voor General Data Protection Regulation. Met AVG en GDPR wordt dus naar dezelfde wetgeving verwezen.

Vanaf 25 mei 2018 heeft u als merchant meer verplichtingen bij het verwerken van persoonsgegevens. Alhoewel de wetgeving pas op 25 mei 2018 in werking treedt, heeft de aankondiging hiervan al bijna 2 jaar geleden plaatsgevonden. Op 25 mei 2016 is er afgesproken dat de wet na 2 jaar gehandhaafd zou worden. De AVG legt meer nadruk op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de privacy wetgeving houdt en biedt de toezichthouders mogelijkheden tot handhaving. Boetes kunnen oplopen tot €20.000.000. Bij forse overtredingen kunnen boetes zelfs oplopen tot 4% van de jaaromzet.
De nieuwe wetgeving heeft consequenties voor bijna alle vakgebieden binnen (online) marketing. Google Adwords, conversie-optimalisatie, e-mail marketing, display advertising…het raakt alle gebieden. Het is daarom dan ook van groot belang om goed op de hoogte te zijn van de veranderingen die gaan komen.

 
5 belangrijke punten om rekening mee te houden

Onderstaand vindt u de 5 belangrijkste punten om rekening mee te houden als het gaat om de nieuwe wetgeving.

  1. Opt-in/opt-out

De bezoeker dient volledige controle te hebben over wie op welk moment over welke persoonsgegevens beschikt

  1. Gegevensverwerking

De bezoeker moet te allen tijde op toegankelijke wijze worden geïnformeerd gegevensverwerking. Vindbaarheid van informatie en duidelijk taalgebruik zijn hierbij erg belangrijk

  1. Eigenaarschap

De bezoeker is en blijft eigenaar van de persoonsgegevens die op hem/haar betrekking hebben. Verantwoordelijken voor gegevensverwerking dienen deze persoonsgegevens in sommige gevallen ook overdraagbaar te maken

  1. Privacy by design

De verzameling, beveiliging en bewaartermijn van gegevens moet worden afgestemd op het doel waarvoor de gegevens worden verwerkt. Dit geldt voor de ontwikkeling producten, diensten en websites

  1. Privacy by default

Technische en organisatorische maatregelen nemen, om ervoor te zorgen dat u alleen de gegevens verwerkt die noodzakelijk zijn voor het doel waarvoor u ze verzamelt
 

To-do: checklist voor de AVG/GDPR

Speciaal voor u hebben is er een checklist samengesteld om te voldoen aan de nieuwe wetgeving. Met deze checklist bent u goed voorbereid. Deze checklist is gecreëerd door de legal counsels van Marketingfacts, één van de meest populaire marketing weblogs in Nederland. Klik hier om de checklist uitgebreid te bekijken.

Zorg dat de juiste werknemers op de hoogte zijn van AVG/GDPR
Breng beslissers en uitvoerders op het gebied van data, beveiliging en juridische zaken bij elkaar en zorg voor een plan van aanpak.

Breng in kaart hoe persoonsgegevens worden verwerkt
U moet kunnen aantonen dat uw organisatie zich aan de privacywetgeving houdt. In veel gevallen is het verplicht om een ‘verwerkingenregister’ bij te houden.

Check of uw bedrijf verplicht is om een functionaris gegevensbescherming aan te stellen
Als u bijzondere persoonsgegevens op grote schaal verwerkt of als de  verwerking van persoonsgegevens om andere redenen een hoog risico met zich meebrengt, is het nodig om een functionaris gegevensbescherming aan te stellen.

Sluit verwerkersovereenkomsten af
Dit is onder de huidige wetgeving al verplicht, maar met de AVG/GDPR komen er een aantal verplichte onderdelen bij.

Stel procedures op en neem technische maatregelen om de rechten van betrokkenen uit te kunnen voeren
De AVG/GDPR heeft onder andere als doel om individuen meer controle uit te laten oefenen over hun gegevens, zoals het recht om vergeten te worden of het recht op dataportabiliteit.

Stel een Privacy Impact Assessment (PIA) vast en breng in kaart wanneer u deze moet uitvoeren
Met een PIA beoordeel je het effect van een specifieke verwerking van persoonsgegevens op de privacy van de betrokkenen. Hierin moet worden meegenomen welke gegevens om welke reden worden verwerkt en wat de impact hiervan is.

Breng in kaart waar toestemming wordt gevraagd voor de verwerking van persoonsgegevens en controleer of dit voldoet aan de eisen van de AVG/GDPR
Voor verwerking van persoonsgegevens is soms toestemming nodig. Onder de AVG moet je bewijzen dat, wanneer, hoe en waarvoor toestemming is verkregen.

Stel een protocol meldplicht datalekken op  
Dit is onder de huidige wetgeving ook al verplicht. Je moet een register bijhouden van alle datalekken die plaatsvinden. Afhankelijk van het type gegevens, de hoeveelheid en de context van het lek bepaalt de verantwoordelijke of een lek gemeld moet worden bij de toezichthouder.

Tijd om aan de slag te gaan!

Geschreven door Patrick Pool E-commerce Shop Manager