By Wouter|1 juli 2018|Geen categorie|0 comments

AVG voor bedrijven

AVG voor kleine bedrijven: Waar moet je website nou eigenlijk aan voldoen?

 Wouter Pons | 01-07-2018 | Leestijd: 5,5 min.

Vrijdag 25 mei 2018 was het zover: de AVG ging van kracht en elk bedrijf in de Europese Unie moest eraan voldoen. Hoe de wet praktisch gehandhaafd wordt is nog steeds de vraag, maar dat bedrijven er druk mee zijn blijkt uit de plotselinge markt voor ‘experts’ op het gebied die voor uiteenlopende prijzen hulp bieden bij AVG gerelateerde vraagstukken. Feit is dat niemand het eigenlijk écht allemaal weet.

Ondanks dat veel bedrijven de grens opzoeken en er vaak een omslachtige interpretatie aan over houden, zijn er een aantal dingen waar men het doorgaans wél over eens is. In dit artikel bespreek ik de belangrijkste AVG punten waar je website minimaal aan moet voldoen.

 

Het doel van de AVG

In de basis is het doel van de AVG het indammen van de ongehinderde dataverzameling van individuen. Marketeers (waaronder ikzelf) maakten zich vaak (semi goedbedoeld) schuldig aan het verzamelen van zoveel mogelijk data want ‘wat als..’. Dit mag dus niet meer zonder éérst expliciete toestemming te vragen.

In de praktijk gaat de AVG een stuk verder, het heeft namelijk invloed op alle persoonsgegevens die een bedrijf verzameld. Denk hierbij ook aan contactgegevens van klanten, facturen bewaard in de administratie en zelfs de verjaardagskalender van collega’s op het toilet. Soms gaat het praktisch misschien wat ver, maar het heeft wel geresulteerd in een andere kijk op dataverzameling. Als de hoofdpijn is gezakt en het overzicht is gemaakt voelt het als een openbaring. Je hebt namelijk (waarschijnlijk voor het eerst) écht overzicht over de persoonsgegevens die je verzameld.

 

Stap 1: Begin bij het inzichtelijk maken van de data die je verzameld

Maar hoe begin je nou aan zo’n klus? En wat komt er voor ondernemers nou allemaal bij kijken? Mijn advies is begin bij het inzichtelijk maken van de data die je verzameld. De makkelijkste manier is door het opstellen van een verwerkingsregister. Deze heb je niet nodig als je minder dan 250 man in dienst hebt, maar praktisch is het wel. De belangrijkste vraag die je moet kunnen beantwoorden is: ‘Waar gebruik ik de verzamelde gegevens voor?’ Heb je hier géén antwoord op dan mag je het ook niet verzamelen. Simpel.

Een verwerkingsregister is niets anders dan een document waarin je beschrijft welke persoonsgegevens je als bedrijf verzameld, waarom je dit doet, hoe lang je dit bewaard, en ga zo maar door. Zodra je dit register volledig hebt ingevuld heb je dus een volledig overzicht van de persoonsgegevens die je hebt verzameld. Dit maakt het makkelijk om de rest van je bedrijf AVG proof te maken. Wil je weten wat er allemaal in een verwerkingsregister moet? Lees dan hier verder.

 

Stap 2: Maak de website van je bedrijf AVG proof

Nu je weet hoe, waar en waarom je persoonsgegevens verzameld kun je de punten aanpakken die niet voldoen aan de AVG. Mijn advies voor ondernemers is om vooral de verzameling van externe persoonsgegevens onder de loep te nemen. Waar moet je allemaal rekening mee houden?

1 – Privacy statement

Je website moet beschikken over een makkelijk te begrijpen privacy statement.  In de praktijk betekend dit simpel en duidelijk taalgebruik. Juridische vaktermen voldoen dus niet, iets dat vaak nog wel de standaard is. In je privacy statement moet je volgens de AVG een aantal zaken duidelijk vermelden:

– Welke persoonsgegevens je verzameld
– Wat je met deze persoonsgegevens doet
– Hoelang en waar je deze persoonsgegevens bewaard
– Of je deze persoonsgegevens doorspeelt aan derden
– Welk recht iemand heeft en hoe dit kan worden uitgeoefend

2 – Cookiestatement

Kans is groot dat je website gebruik maakt van cookies. Welke cookies dit zijn en welke persoonsgegevens deze verzamelen moet je duidelijk vermelden in een cookiestatement. Daarnaast verplicht de AVG bedrijven om expliciet toestemming te vragen voor het verzamelen van deze persoonsgegevens. Stemt iemand hier niet mee in dan heb je als bedrijf dikke pech, maar mag je iemand niet de toegang tot je website ontnemen. Dat brengt ons bij het volgende punt.

3 – Cookiemelding

Zodra je persoonsgegevens verzameld via cookies ben je verplicht hier niet alleen een cookiemelding voor weer te geven, maar moet je hierin expliciet toestemming vragen. Weigert iemand die toestemming te geven dan mag je dus geen gegevens verzamelen en moet iemand gewoon gebruik kunnen maken van je website. Verzamel je geen persoonsgegevens via cookies, dan hoef je van de AVG ook geen cookiemelding te hebben. De oude cookiewall, waarin de toestemming tot een website wordt geblokkeerd tenzij akkoord met de cookies is overigens niet meer toegestaan.

4 – Contactformulier

Een logische om mee te nemen in het AVG plaatje zijn contactformulieren. Hiermee verzamelen veel bedrijven gegevens van binnenkomende leads. Zo’n contact formulier is gelukkig nog wel toegestaan. Wel moet er een melding bij worden geplaatst waarin kort staat uitgelegd wat er met ingevulde gegevens gebeurt en netjes een linkje naar het privacy statement. Zodra deze gegevens in een database anders dan een mailbox worden bewaard, moet hier ook expliciet (dus met een aanvink vakje) toestemming voor worden gegeven.

5 – Analytics

Analytics verzameld standaard persoonsgegevens door middel van ip adressen. Dit moet je uitzetten door de ip adressen te anonimiseren in analytics. Ook moet je alle opties om verzamelde gegevens te delen met Google uitzetten. Dit heeft wel tot gevolg dat intern verkeer van je bedrijf wordt meegerekend wanneer je uitsluiten op ip gebruikt. Dit kun je weer tegengaan door een browser extensie te downloaden die je automatisch uitsluit van alle analytics metingen.

 

Stap 3: Trek de verjaardagskalender van het toilet

Dit klinkt misschien wat drastisch, maar in de praktijk mag dit dus niet tenzij je aan kan tonen dat een medewerker hier toestemming voor heeft gegeven. Dit geldt overigens voor alle verzamelde persoonsgegevens, ongeacht waar deze vandaag komen. Inmiddels ben je er waarschijnlijk achter dat de AVG een enorme praktische impact heeft op bedrijven en ondernemers en véél verder gaat dan alleen de website. Dit is dus hét moment om meteen door te pakken en intern alles goed op orde te krijgen. Ook draagt dit bij aan het veranderen van je mindset ten opzichte van persoonsgegevens, iets waar je op termijn een stuk gelukkiger van wordt.

 

Moet ik me als ondernemer nou écht zorgen maken om de AVG?

Ja en nee. Ja omdat het nou eenmaal de wet is en je hier gewoon aan moet voldoen. Nee omdat heel praktisch niemand weet hoe en wie deze wet gaat handhaven. Daarnaast zullen eerst grote bedrijven worden aangepakt voordat je er als (kleine) ondernemer iets van merkt. Hiermee zeg ik overigens niet dat je de wet maar aan je laars moet lappen, maar wel dat het in de praktijk allemaal (nog) wel mee valt.

Los van de praktische invulling ervan denk ik dat het sowieso goed is om stil te staan bij het totaalplaatje. Ik heb het als een openbaring ervaren en ben er van overtuigd dat elke ondernemer zich hiervan bewust moet zijn. Privacy is ‘hot topic’ en wordt ook steeds belangrijker. Een bedrijf dat zorgvuldig omgaat met de AVG is dan ook toekomstbestendig aan het ondernemen. Daarnaast is dit een trend die al een tijdje speelt en voor marketeers ook nieuwe uitdagingen biedt. Hoe eerder je hierop inspeelt hoe beter je bent voorbereid op de toekomst.

Hulp nodig bij AVG?

Heb je aan de hand van dit artikel nog AVG gerelateerde vragen? Of heb je hulp nodig met het AVG proof maken van je website? Neem dan vrijblijvend contact met me op!