vrijdag 18 mei 2018

AVG invoeren in vier praktische stappen voor ZZP'ers en websitebeheerders


De AVG is een geschenk uit de hemel

Als gebruiker / klant / websurfer heb ik eindelijk en weerwoord tegen bedrijven en websites die ongevraagd en ongebreideld gegevens van me verzamelen en die dan ge- of misbruiken zonder dat ik het doorheb.
Als kleine ondernemer of als websitebeheerder is het een mooie aanleiding om eens na te denken hoe ik eigenlijk omga met (de gegevens over) mijn klanten.
Als ik dat slim doe, is het nauwelijks extra werk om mijn zaakjes goed voor elkaar te hebben.


Waarom deze blog

Veel blogs en websites herhalen slechts de informatie van de AP en de KvK over de stappen die je moet zetten, maar gaan niet in op het praktische hóe en wát. Ik wel.

Ik behandel relatief eenvoudige situaties:
·         Je onderneming gebruikt geen "bijzondere" persoonsgegevens (=gevoelig, bv religieus, medisch, strafrechtelijk)
·         Je onderneming doet niet aan "profiling" van klanten (=verwerken van persoonsgegevens is je core business)
·         Je website is niet interactief (=webwinkels, etc)

Als je geen ondernemer bent, maar wel een website hebt, bv over je hobby, dan kun je stap #1 waarschijnlijk overslaan.

AVG in een notendop

AVG (of GDPR) is de nieuwe Europese wet voor privacy bescherming. De wet is op 25 mei 2016 ingegaan en je hebt twee jaar de tijd gehad om er aan te gaan voldoen. Als kleine eenmanszaak zul je niet zo snel beboet worden wanneer je dat niet doet, maar als ondernemer wil je je gewoon aan de wet houden - en zeker aan zo'n wet waar je het helemaal mee eens bent.
In Nederland ziet de Autoriteit Persoonsgegevens (AP) toe op naleving.

De AVG stelt dat je privacybeleid moet hebben (ook wel gegevensbeschermingsbeleid genoemd). Hiermee toon je aan hoe je voldoet aan de AVG, het is je verantwoordingsplicht. Voor een klein bedrijf zijn de twee belangrijkste elementen van dat beleid: het register persoonsgegevens en de privacy verklaring.

De wet gaat over "Persoonsgegevens", dat is alles wat "tot een persoon herleidbaar is". Bijvoorbeeld naam, adres, telefoonnummer maar ook een IP-adres en locatie-gegevens. Soms denk je dat een enkel gegeven níet tot een persoon herleidbaar is, maar dan kan de combinatie van gegevens dat onverwacht toch zijn. Bv het bedrijf waar iemand werkt en iemands functie.
In de wet is sprake van "expliciete toestemming". De cookie-banners die we sinds een paar jaar kennen, met teksten als "Als u verder gaat op onze site, nemen we aan dat u akkoord gaat" voldoen daar dus absoluut niet aan. Dat is zoiets als: "als je bij de AH winkelt, mogen ze je pincode weten".
Als je een deel van je werkzaamheden uitbesteedt aan een ander, bv je boekhouder, en die ander heeft inzicht in persoonsgegevens, bv de facturen, dan moet je met die ander een verwerkings-overeenkomst (of verwerkers-overeenkomst) afsluiten. Dat kan op papier of per email.

Het stappenplan


1.   Register persoonsgegevens: Denk na over wat je hebt en documenteer dat

Welke persoonsgegevens bewaar je eigenlijk? Zowel op papier, op je computer als op je website.
Denk aan adreslijsten, facturen maar misschien ook de gegevens die je inhoudelijk gebruikt om de opdracht uit te voeren. Bv de vooropleiding van een cursist, de plattegrond van het huis waar je de badkamer gaat renoveren, etc.

Schrijf per categorie, ofwel gegevensgroep op:
·         Welke gegevens zijn het precies (bv naam, adres, diploma's)
·         Waar heb je ze voor nodig
·         Wat is de grondslag om de gegevens te verwerken (bv wettelijke verplichting, noodzakelijk om de werkzaamheden uit te voeren, toestemming verkregen, ...)
·         Waar en hoe sla je ze op (bv computer, cloud, externe disk, papier)
·         Hoe is dat beveiligd (wachtwoorden, sleutels, ...)
·         Wie heeft er toegang, aan wie geef je de gegevens door? (Bv je boekhouder)
Heb je met diegene een verwerkings-­overeenkomst? (*)
·         Hoe lang wil/moet je het bewaren (denk aan de wettelijke bewaartermijn voor bv de belasting, 7 jaar)
·         Hoe kunnen klanten vragen om inzage / verwijdering / downloads
voorbeeld register persoonsgegevens

 ==> Pas aan wat je gezonde verstand je ingeeft:
·         Gooi weg wat je niet meer nodig hebt!
·         Heb je je backup-bestand op een externe harde schijf staan? Versleutel het dan.
·         Enzovoorts

==> Kijk, je hebt het wettelijk verplichte register persoonsgegevens (ook wel register van verwerkingsactiviteiten genoemd) al bijna af, en een eerste stap gezet om je privacy beleid te maken. Cruciaal is dat je je daarna ook aan je eigen beleid houdt!!

2.   Website: minder is beter

Als je website persoonsgegevens verzamelt, moet je daar vooraf en expliciet toestemming voor vragen, en die toestemming documenteren / vastleggen. "Als u verder gaat op onze site nemen we aan dat u akkoord gaat" is absoluut onvoldoende.  Bovendien moet je website ook nog werken als de toestemming geweigerd is.

Mijn uitgangspunt is dat zo'n toestemmings-ronde voor de klant vervelend is en voor jezelf te veel werk is. De eenvoudigste oplossing is dus om je website zo in te richten, dat die geen persoonsgegevens verzamelt. Dat betekent dat je geen diensten van derden kunt gebruiken die aan tracking doen.

·         Geen embedded content, bv youtube-filmpjes of google-maps. Want "embedded" valt onder jouw website dus onder jouw verantwoording. Wat kan wel: Plaatje + link naar site, die is dan verantwoordelijk.
·         Geen contactformulier. Wat kan wel: Email-adres, dat is zo-wie-zo prettiger voor de klant dan die nare invulschermen.
·         Geen website-statistieken die tot een persoon te herleiden zijn. Enkele populaire pakketten hiervoor bewaren gegevens op zulk gedetailleerd nivo, dat je kunt achterhalen wie je bezoeker was.
Wat kan wel: Google Analytics voldoet mits op de juiste wijze ingesteld (**)
StatCounter kun je zo instellen dat het geen cookies plaatst en het IP-adres "maskeert". 
·         Geen sociale media deel- en volg-knoppen die door derden (bv AddThis) gehost worden.
·         Geen commentaar-boxen of discussie-fora die door derden (bv facebook) gehost worden.
·         Geen advertenties (***)

Als je het zo doet, hoef je geen cookie info/toestemming banner te tonen. Als iedereen het goed doet, gaan we die vanaf 25 mei nauwelijks nog zien. Waar ze nog wel getoond worden om toestemming voor "tracking cookies" te vragen, kun je bijna altijd weigeren, en toch de website gebruiken.

3.   Stel een "privacy verklaring" op.


Vorm:
Een nieuwe pagina op je website, waar je in iedere footer naar verwijst. De wet vereist dat dit beknopt en begrijpelijk is.
Inhoud:
(A) Omschrijf voor je klant wie je bent en welke gegevens je van hem/haar verzamelt: wat, waarom, voor wie, etc etc. Gebruik het register dat je in stap #1 gemaakt hebt.
(B) Noem de technische diensten die door je website gebruikt worden met naam en toenaam; vertel of je evt functionele en statistische cookies gebruikt; wijs er op dat de gebruiker die cookies kan weigeren mbv de browser-instellingen.

voorbeeld privacy verklaring.

==> Kijk, je hebt alweer aan een wettelijke verplichting voldaan.

4.   Nieuwsbrieven

Ook voor nieuwsbrieven geldt dat je er expliciet toestemming voor moet vragen, en die toestemming moet documenteren / vastleggen. Een vooraf aangevinkt vakje mag dus niet, en het gebruik van een emailadres dat je voor een ander doel gekregen hebt, al helemaal niet. Ook moet je zeggen wat voor soort nieuwsbrief het is (hoe vaak, waarover), en of je de verzamelde (adres)gegevens met anderen deelt. Dat laatste doe je natuurlijk nooit. Dat zeg je dan ook.
Onder de nieuwsbrief moet een duidelijke afmeld-knop staan, en als iemand zich afmeldt moet je zijn/haar gegevens ook daadwerkelijk verwijderen.

Een veelgestelde vraag is of je iedereen opnieuw toestemming moet vragen als je al langer een nieuwsbrief verstuurt, maar in het verleden de toestemming niet hebt vastgelegd. Dit is een omslachtige operatie waarbij je gegarandeerd een aantal abonnees kwijtraakt. Een pragmatische aanpak is: loop zelf de verzendlijst na en verwijder iedereen waarbij je vermoedt dat die niet (meer) geïnteresseerd is. Als je dit combineert met niet-opdringerige, inhoudelijk relevante nieuwsbrieven waar een duidelijke afmeldknop onder staat, zit je wel goed.

Voetnoten

(*) Ik ga hier niet nader in op de verwerkings-­overeenkomst. Wanneer heb je die wel of niet nodig en hoe ziet die er uit? Voorbeelden van een eenvoudige standaard-overeenkomst in jouw branche zijn online te vinden. Zie ook vervolgblog.
(**) De AP geeft richtlijnen hoe Google Analytics in te stellen. Maar waarschut tegelijk dat GA binnenkort wellicht helemaal niet meer zal mogen, omdat de data toch door de Amrikaanse overheid in te zien is.
(***) Als je wel advertenties wilt plaatsen, gelden wat extra regels en voorwaarden. Zie vervolgblog.



Geen opmerkingen: