Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht. Soms kom je ook de Engelse term tegen: General Data Protection Regulation (GDPR). De AVG betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De Nederlandse Wet bescherming persoonsgegevens (Wbp) geldt niet meer.
Om maar meteen een misverstand te voorkomen: ik ga niet “de AVG voor je regelen“. Ik kan alleen de privacyverklaring op de website voor je verzorgen. Hierin staat hoe je met privacy van je (digitale) klanten omgaat. Je zult de beloftes die in deze privacyverklaring staan zelf na moeten komen. Maar ook met een privacyverklaring is de AVG voor jouw bedrijf nog niet automatisch volledig ingeregeld. Zo kan het zijn dat je mogelijk verwerkersovereenkomsten moet afsluiten of privacyzaken rond je personeel moet regelen. Als dit op jouw bedrijf van toepassing is zul je meer specialistisch advies moeten inwinnen.
Risico’s
Er bestaan boetes voor het niet naleven van de regels die kunnen oplopen tot 20 miljoen euro. Nu zal bij een kleine vergissing niet meteen gehandhaafd worden, maar hou wel in de gaten dat uw klanten zich ook bewuster zijn geworden van de regels op privacygebied. Bij nalatigheid kan het dus wel voorkomen dat klanten dit zonder uw medeweten bij bevoegde instanties aankaarten. Om problemen te voorkomen is het gewoonweg het beste om zorgvuldig met de afspraken in uw privacyverklaring om te gaan.
Werkwijze
Als je graag wilt dat ik je help bij je privacyverklaring, dan stel ik de volgende werkwijze voor:
- Start met het zorgvuldig doorlezen van dit document. Denk met behulp van onderstaande checklist goed na over welke handelingen/gegevenstransacties er in jouw bedrijf bestaan waarbij privacygegevens van klanten een rol spelen;
- Vervolgens volgt een gesprek (telefonisch of op locatie) om alle privacygevoelige situaties door te spreken;
- De informatie uit dit gesprek gebruik ik als input voor de privacyverklaring;
- We bespreken de concept-privacyverklaring en ik zorg voor internetpublicatie ervan. Standaard publiceer ik de verklaring op een webserver van mijzelf en stel ik een link ter beschikking die in jouw website gebruikt kan worden. Dit voorkomt dat bij kleine wijzigingen aan de privacyverklaring steeds weer de webmaster van jouw website betrokken hoeft te worden. Als je dit anders wenst kan dit natuurlijk ook;
- We bespreken tot slot op welke wijze jouw website nog verbeterd kan worden t.a.v. de AVG en de privacyverklaring. Denk hierbij bijvoorbeeld aan een SSL-certificaat (het bekende groene slotje in de browser);
Waar moet ik op letten: checklist
Hieronder vind je alvast wat zaken die je in een privacyverklaring zou moeten melden. Deze lijst dient als inspiratie voor je privacyverklaring, maar is niet uitputtelijk.
- Contactformulieren op je website: welke informatie vraag je en wat doe je met de binnengekomen informatie?
- Klantenbestanden: welke relatiebeheersysteem gebruik je, welke werkprocessen hanteer je?
- Bestaande nieuwsbrieven: hoe beheer je de verzendlijst?
- Bestellingen/bestellijsten: hoe verwerk en bewaar je gegevens?
- Klantinformatie op smartphones/laptops van je medewerkers. Hoe ga je hier bijvoorbeeld mee om bij uitdiensttreding?
- Facturatie-informatie: hoe verwerk en bewaar je gegevens?
- Gastenboeken: hoe verwerk en bewaar je gegevens?
- Hoe ga je om met foto’s op website, en in mailings?
- Weet je welke cookies je website gebruikt?
- Heb je nagedacht over een procedure bij ‘beveiligingsincidenten’? Denk aan een gestolen laptop met klantgegevens, of een hack van je website.
SSL-certificaat op mijn website?
Een SSL-certificaat zorgt ervoor dat de communicatie vanaf je website veilig verloopt. Theoretisch kunnen hackers bijvoorbeeld een “schil” om je website leggen. Klanten zien dit niet, vullen
argeloos hun persoonsgegevens in op een contactformulier, wat vervolgens niet bij jou, maar bij hen uitkomt.
Je denkt waarschijnlijk dat het risico klein is dat hackers jouw bedrijf uitkiezen, maar zo werkt het niet. Hackers vinden vaak openingen in het zogenaamde “content management systeem” (CMS) dat een website gebruikt. Dit is standaard-software dat heel veel websites gebruiken. Het hacken gebeurt vervolgens geautomatiseerd op vele honderden websites tegelijk die dit CMS gebruiken.
Een SSL-certificaat kenmerkt zich doordat de domeinnaam vooraf wordt gegaan door https://. Ook is een groen slotje zichtbaar in de browser en ontbreekt de opmerking dat de website onveilig is.
De AVG verplicht niet expliciet dat je zo’n SSL-certificaat installeert, maar als je het niet gebruikt is je website kwetsbaar en kun je dus eigenlijk niet je beloftes uit je privacyverklaring garanderen. Kortom: zo’n SSL-certificaat is zeker aan te bevelen. Het heeft daarnaast nog meer voordelen: In Google scoren beveiligde website beter en het oogt onprofessioneel als klanten een mededeling krijgen dat jouw website onveilig is.
Kosten
Omdat de inspanningen die ik moet leveren voor een privacyverklaring sterk afhangen van de bedrijfsgrootte en de complexiteit van jouw klantencontacten stel ik voor om de privacyverklaring tegen uurtarief op te stellen in plaats van tegen een richtprijs. Ik schat dat ik gemiddeld 2 uur nodig heb.