AVG - Toelichting AVG
Sinds 25 mei 2018 moet elke organisatie in de Europese Unie voldoen aan de Algemene verordening gegevensbescherming (AVG). Het doel van deze wet is een betere privacy wetgeving die voor alle EU landen hetzelfde is.
Via deze pagina proberen wij duidelijk te maken hoe wij de AVG wetgeving ervaren en wat wij denken dat je met je website moet doen.
Voor meer informatie over AVG kijk op de site van Autoriteit Persoonsgegevens.
Wat is er door de AVG veranderd?
De AVG zorgt onder meer voor:
- Versterking en uitbreiding van privacyrechten
- Meer verantwoordelijkheden voor organisaties
- Hogere boetes tot 20 miljoen euro of 4% jaaromzet bij het niet correct naleven van de nieuwe wetgeving
Zie voor meer informatie op de site van Autoriteit Persoonsgegevens en het artikel van ICTRecht over de AVG op orde krijgen.
Wat zijn privacy gevoelige gegevens
Dat zijn alle gegevens die herleidbaar zijn tot een bepaald individu (dit geld zowel voor een klant, een leverancier of personeel of andere personen). Gegevens als:
- Naam
- Adresgegevens
- E-mailadres
- Telefoon of mobiel nummer
- BSN
- Kopie paspoort
- Foto
- IP adres
- Inloggegevens
- Salarisgegevens
- Betalingsgegevens
- Beoordeling werknemer
- Informatie over gezondheid
Zie ook de site van Autoriteit Persoonsgegeven als je meer wilt weten over persoonsgegevens.
Wat is een goed stappenplan dat als richtlijn gebruikt kan worden
- Inventariseer welke persoonsgegevens je gebruikt en waarvoor
- Werk elk registratiesoort uit in bijvoorbeeld een Excel
- Introduceer beveiligingsbeleid per registratie soort (licht, middel, zwaar)
- Indien er sprake is van verwerking voor derden, regel dan verwerkersovereenkomsten
- Maak een schatting van de risico’s en voer bij hoge risico's een privacy impact assessment van Autoriteit Persoonsgegevens uit
- Bepaal of een privacy manager nodig is (zie uitleg over privacy manager van Autoriteit Persoonsgegevens)
- Vertaal verwerkingen naar een privacyverklaring die op je site geplaatst wordt (zie onze pagina toelichting privacyverklaring)
- Introduceer een beleid datalekken (zie 'Meldplicht datalekken' bij Autoriteit Persoonsgegevens)
Wil je meer weten over de te nemen stappen bekijk dan het 10-stappenplan van Autoriteit Persoonsgegevens.
Inventarisatie persoonsgegevens
Als je een inventarisatie doet van persoonsgegevens dan is het zinvol om de volgende gegevens bij te houden per soort gegevens.
- Omschrijving soort gegevens
- Type (leverancier, intern, klant of anders)
- Wie (naam leverancier(s), klant(en), personeel, afdeling(en))
- Waarom data bewaren, waarvoor gebruiken
- Basis toestemming nodig, zo ja hoe realiseren
- Wie beschikt over data, wie heeft toegang
- Welke veiligheidsprocedures nodig
- Hoe lang wordt het bewaard
- Past dit binnen AVG
- Welke acties ondernemen
Wat zijn de gevolgen van de nieuwe AVG wet voor je website
Wat moet er eigenlijk gebeuren als gevolg van de nieuwe wetgeving met je website? (Maar eigenlijk geldt dit voor alle data die je binnen je organisatie gebruikt)
- Inventariseer of je persoonsgegevens gebruikt op je website
- Bewaar (op je website) persoonsgegevens niet langer dan nodig
- Bewaar (op je website) alleen ter zake doende gegevens
- Inventariseer of je kunt achterhalen welke gegevens van personen op je site staan en of je deze makkelijk kunt verwijderen
- Inventariseer of je toestemming nodig hebt voor de verwerking van persoonsgegevens en of je die ook hebt en vraag die anders opnieuw aan
- Neem passende technische en organisatorische maatregelen om data te beveiligen tegen verlies of onrechtmatige verwerking
- Stel een duidelijk privacy beleid op en meld dit ook in een privacyverklaring op je website (zie onze pagina toelichting privacyverklaring)
- Registreer en meld datalekken indien die er zijn (waarbij wij er alles aan zullen doen om dit te vermijden voor onze klanten)
- Indien je persoonsgegevens op je website hebt en wij beheren deze site, teken een verwerkersovereenkomst van Medusa en stuur deze op
- Indien je website persoonsgegevens verwerkt (dus ook contactformulieren) neem een SSL abonnement (zie onze SSL pagina)
- Indien je website tracking cookies gebruikt, dan moet een module toegevoegd worden op de site om toestemming te vragen. Voor meer informatie zie ook de pagina 'Cookies' van Autoriteit Persoonsgegevens, het artikel over cookies van Frankwatching of het artikel over cookies van ICTRecht.
Organisaties zijn overigens zelf geheel verantwoordelijk voor het nemen van de juiste AVG wetgeving maatregelen. Medusa kan met verstrekking van deze informatie dan ook op geen enkele wijze verantwoordelijk gesteld worden.
