image_pdfOpen in PDFimage_printPrint dit blog

Voor als je het nog niet weet: op 25 mei 2016 is de General Data Protection Regulation (GDPR) in werking getreden. Deze wet ziet erop toe dat in heel Europa dezelfde regels omtrent bescherming van persoonsgegevens gaan gelden. De GDPR is veel uitgebreider dan de huidige Wet Bescherming Persoonsgegevens en de meldplicht voor datalekken.

De Nederlandse naam is Algemene Verordening Gegevensbescherming (AVG). Het gaat om de opvolger van de Wet Bescherming Persoonsgegevens. Op 25 mei 2018 zijn er twee jaar om en na die periode wordt iedereen met een website geacht om de nieuwe regels te hebben geïmplementeerd. Gezien de vele publicaties aan het begin van het jaar 2018, lijkt het echter alsof elke organisatie nu pas begint te beseffen wat deze privacywet nu eigenlijk inhoudt.

Het komt erop neer dat iedereen die persoonsgegevens verwerkt, de eigenaren van de meeste websites dus, per 25 mei 2018 aan bepaalde privacyregels moet voldoen. Laat je die datum verlopen omdat je denkt dat het met de handhaving van de wet wel los zal lopen, vergis je dan niet: er worden steekproefsgewijs controles uitgevoerd die bij een niet aangepaste website tot torenhoge boetes kunnen leiden. Of je nu een zzp’er, vereniging, stichting of multinational bent.

De websites die Jan Bakker WebTeksten (hierna: JBWT) heeft gemaakt, krijgen alle te maken met deze nieuwe wetgeving. Voordat er ook maar iets aangepast kan worden, dien je echter eerst te weten waarmee je rekening moet houden:

  • welke bestanden met persoonsgegevens beheer je of heb/houd je in bezit?
  • welke rechten hebben de personen waarvan je gegevens opslaat?
  • je moet van elke persoon aangeven en registreren waarom je daar gegevens over opslaat.
  • je moet aan JBWT toestemming hebben gevraagd om websitegegevens te beheren en te beschermen (hiervoor wordt uiterlijk 25 mei 2018 een verwerkingsovereenkomst gesloten tussen JBWT en degene die de website bij JBWT host).
  • persoonsgegevens mogen alleen worden gebruikt voor het doel waarvoor ze worden opgeslagen of beheerd.
  • ook bedrijven die buiten de EU zijn gevestigd (bijvoorbeeld Google) moeten zich aan de AVG houden. Dat moet met betrekking tot de onderhavige website worden vastgelegd. Dit kan een reden zijn om Google Analytics te vervangen door een statistiekplugin die geen ip-adressen en andere sitegegevens registreert.

Verder moet je als website-eigenaar er via (in dit geval) JBWT voor zorgen:

  • dat de site een SSL-certificaat heeft (slotje in de browser). Bij alle sites die via JBWT worden gehost, is dat het geval. Onder de huidige Wet Bescherming Persoonsgegevens is namelijk bepaald dat als jouw website persoonsgegevens verwerkt en géén slotje heeft, je een boete tot € 4.500,00 opgelegd kan worden.
  • dat er een toestemmingsmogelijkheid is voor het plaatsen van cookies. Cookies zijn kleine bestanden die via de website op de apparatuur van een bezoeker worden geplaatst, bijvoorbeeld op een computer, telefoon of tablet. Met cookies kan informatie worden verzameld of opgeslagen over het websitebezoek of over het apparaat van de gebruiker. Er zijn verschillende soorten cookies, die elk zeer uitgebreid benoemd moeten zijn, zodat de websitebezoeker precies weet waarvoor hij toestemming geeft. Dit gaat dus veel verder dan de huidige cookie-bepalingen.
  • dat de website een privacyverklaring kan tonen. Deze verklaring moet transparant zijn en overal op de website, waar dat van toepassing is, zijn te raadplegen. Bovendien moet de bezoeker van de website expliciet worden gevraagd om toestemming voor de eventuele activiteiten die in de privacyverklaring zijn omschreven. Ook hier gaat dit veel verder dan de bestaande regels op dit moment.
  • dat de bezoeker van je website jou toestemming kan geven (via een vinkje) dat de gegevens die via een contactformulier worden verzonden, mogen worden verbruikt en verwerkt.
  • dat de website in het geval van een webwinkel een leeg selectievakje (met in te vullen vinkje) bevat waarmee de bezoeker je toestemming geeft om zijn persoonlijke gegevens op te slaan en te gebruiken om de bestelling te verzenden. Tegelijkertijd moet duidelijk worden hoe lang en waar die gegevens worden bewaard.

Momenteel zijn er zgn. plugins in ontwikkeling die een deel van het bovenstaande automatiseren. Zodra die plugins beschikbaar komen (waarschijnlijk uiterlijk half mei), zal JBWT die in de verschillende websites installeren.

Voor de goede orde, JBWT benadert alle bestaande websiteklanten apart met een gepast verwerkingsvoorstel.

Meer weten? Download een 10-stappenplan van de Autoriteit Persoonsgegevens.


Copyright: U mag dit blog geheel of gedeeltelijk overnemen voor eigen gebruik. Wilt u (de strekking van) de tekst publiceren in een blog, artikel, boek of een ander medium? Ook dat mag, onder de voorwaarde dat u als bron “janbakkerwebteksten.nl” vermeldt.

image_pdfOpen in PDFimage_printPrint dit blog