Verzamelen van persoonsgegevens via website
Je verzamelt persoonsgegevens via je website, bijvoorbeeld om klanten te laten inschrijven voor de nieuwsbrief, om een offerte of brochure te kunnen sturen of om een product te kunnen sturen via je webshop. Waar moet je rekening mee houden als de AVG in werking treedt per 25 mei?
De AVG per 25 mei 2018
De Europese Algemene Verordening Gegevensbescherming (AVG) vervangt per 25 mei van dit jaar de Wet Bescherming Persoonsgegevens (WBP). Wat verandert deze verordening aan het verzamelen van persoonsgegevens via websites?
Over het verzamelen van persoonsgegevens
De AVG is van toepassing op het geautomatiseerd verwerken van persoonsgegevens. Persoonsgegevens zijn alle gegevens waarmee een persoon geïdentificeerd kan worden. De bekendste zijn naam en adresgegevens, maar ook e-mail- en IP-adressen zijn persoonsgegevens. De verwerking van persoonsgegevens is een breed begrip: verzamelen, ordenen, bewaren, verzenden en vernietigen zijn voorbeelden van verwerkingen.
Dat doe jij dus ook. Als je een websitebezoeker om informatie vraagt via bijvoorbeeld een invulformulier, dan verzamel jij ook persoonsgegevens. Je ordent en bewaart ze ook. Misschien verzend je deze gegevens ook, bijvoorbeeld naar de boekhouder, het administratiekantoor of naar een collega.
Bijzondere persoonsgegevens. Een aparte categorie persoonsgegevens zijn de bijzondere persoonsgegevens. Denk hierbij aan medische gegevens en gegevens over iemands ras of geaardheid.
Bijhouden wat je doet: het verwerkingsregister
Je moet een zogenaamd verwerkingsregister maken. In dit register neem je op welke gegevens je van klanten/cliënten verwerkt. Denk aan o.a.:
- Voornaam
- Achternaam
- Bedrijfsnaam
- Adresgegevens
- Telefoonnummer
- E-mailadres
- IP-adres
- Bankgegevens
- Kvk-nummer
- Btw-nummer
- Leeftijd
- Geslacht
- Bijzondere persoonsgegevens, zoals
- Foto
- Ras
- Geloof
- Geaardheid
- Medische gegevens
- Enz.
Tip. Het register is vormvrij. Dat wil zeggen dat je er Word-document van mag maken of een spreadsheet. Als de Autoriteit Persoonsgegevens om het register vraagt, moet je het register direct kunnen laten zien.
Wat geldt verder voor elke ondernemer?
Er moet een wettelijke grond zijn om gegevens te mogen verwerken. Toestemming zal de meest voorkomende grond zijn. Je mag alleen gegevens verwerken als daarvoor uitdrukkelijke, actieve toestemming is gegeven.
Technische en organisatorische maatregelen. Je dient ook passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beveiligen. Voorbeeld van een maatregel is het digitaal beveiligen van gegevens door versleuteling.
Tip. MijnRetail werkt met providers die garanderen 100% conform de AVG-richtlijnen te werken.
Rechten van de personen wiens gegevens worden verwerkt
Als je gegevens van personen verzamelt, mogen deze personen deze gegevens controleren. Dat zal in de praktijk wellicht meevallen, maar in het slechtste geval kost je dat de nodige tijd. Betrokkenen hebben namelijk het recht:
- op dataportabiliteit (nieuw) – jij moet dan één elektronisch bestand toesturen met alle verwerkte gegevens;
- om vergeten te worden (nieuw) – je moet in bepaalde gevallen alle gegevens van die betreffende persoon verwijderen. Dit is bijvoorbeeld het geval als men de toestemming intrekt of de gegevens onrechtmatig verkregen zijn door jou;
- op inzage;
- op rectificatie en aanvulling;
- op beperking van de verwerking;
- op bezwaar te maken tegen de gegevensverwerking.
Voor de personen wiens gegevens verwerkt worden, moet duidelijk zijn hoe zij deze rechten kunnen uitoefenen en op wat voor termijn zij reactie krijgen op hun verzoek. Deze zaken kunnen opgenomen worden in het gegevensbeschermingsbeleid.
Maak een gegevensbeschermingsbeleid
Voor sommige ondernemingen is een gegevensbeschermingsbeleid verplicht, maar het is voor veel ondernemingen raadzaam om zo’n beleid op te stellen. Je neemt hierin op:
- een omschrijving van de categorieën persoonsgegevens die verwerkt worden (persoonsgegevens, bijzondere persoonsgegevens of beiden?);
- een beschrijving van de doeleinden waarvoor de gegevens gebruikt worden en wat de wettelijke grondslag hiervan is (bijvoorbeeld toestemming voor de verwerking en uitvoering van een overeenkomst);
- hoe je voldoet aan de beginselen van verwerking van persoonsgegevens;
- welke rechten de betrokken personen hebben en hoe zij deze rechten uit kunnen oefenen;
- welke technische en organisatorische maatregelen getroffen zijn om de persoonsgegevens te beveiligen;
- hoelang de gegevens bewaard blijven.
Samengevat
Voor ondernemingen die op grote schaal bijzondere gegevens verwerken, is er heel wat werk te verzetten.
Verzamel jij vooral reguliere persoonsgegevens via je website? Bijvoorbeeld om een offerte/brochure te kunnen sturen, aan te melden voor een nieuwsbrief of om via een webshop zaken mee te doen?
- Dan is het in kaart brengen en in een register vastleggen van deze handelingen waarschijnlijk al een voldoende stap om aan de AVG te voldoen.
- Vraag jezelf bij elk gegeven dat je verwerkt af: waarvoor heb ik dit nodig, heb ik dit écht nodig en op welke grond mag ik dit verwerken?
- Toestemming van de betrokken persoon is vaak afdoende, maar zorg dat de toestemming actief door deze persoon gegeven wordt (bijvoorbeeld door het aanvinken van een button in de webshop) en dat deze toestemming vastgelegd wordt.