Van Wbp naar AVG wetgeving

We komen er niet onder uit: 25 mei 2018 treedt de AVG wetgeving in werking, ten koste van de huidige Wbp wetgeving.

De Algemene Verordening Gegevensbescherming (AVG), internationaal beter bekend als General Data Protection Regulation (GDPR) heeft onder meer als gevolg dat afwegingen en maatregelen omtrent bescherming van persoonsgegevens, beter gedocumenteerd moet worden.

AVG Cloud Register

Oil4 werkt samen met AVG Cloud Register

AVG, verwerker en verantwoordelijke in praktijk

AVG, verwerker en verantwoordelijke

Enige introductie in de terminologie is praktisch. Om direct met de deur in huis te vallen: de verantwoordelijke betreft de opdrachtgever. Diegene die opdracht geeft tot het (laten) bouwen van een applicatie of een website waarin persoonsgegevens voor kunnen komen, is bij wet verantwoordelijke. Een verwerker is de organisatie waarbij persoonsgegevens onder ogen zouden kunnen komen.

Ter illustratie: wanneer je een kapperszaak hebt, heb je wellicht een website. Deze website heeft een contactformulier en Google Analytics is aanwezig. Het contactformulier slaat ingevulde data op in de website, te benaderen via een admin-panel.

Zowel bezoekersinformatie, als ook gegevens welke ingevuld kunnen worden in het contactformulier, zullen persoonsgegevens zijn, in die zin dat bepaalde data (voor- & achternaam, emailadres, ipadres) terug te herleiden is tot een persoon.

Tussen de opdrachtgever en webbureau, in dit geval Oil4, die verantwoordelijk is voor de bouw, zal een verwerkersovereenkomst aangegaan moeten worden. Het webbureau heeft immers toegang tot de database en wellicht admin-panel, en kan dus ingevulde formulieren inzien;

Tussen de opdrachtgever en wellicht een marketing bureau welke toegang heeft tot de Google Analytics account, zal een verwerkersovereenkomst opgesteld moeten worden omdat de marketing bureau bezoekersgegevens in kan zien;

Tussen de opdrachtgever en hosting bureau zal ook een dusdanige overeenkomst opgesteld moeten worden. Het hosting bureau wordt ook als verwerker gezien, doordat ze immers toegang hebben tot de servers waar de database-informatie gehost wordt;

Is er ook sprake van een afsprakenmodule via een externe oplossing, dan zal ook daar vanuit de opdrachtgever een verwerkersovereenkomst aangegaan moeten worden. In praktijk zal bij gebruik van diensten van derden, akkoord geven op een checkbox volstaan (mits voldaan aan enkele vereisten).

Veel zaken zijn niet nieuw. Bijvoorbeeld, vraag niet meer informatie op dan nodig (geboortedatum of kenteken opvragen binnen een contactformulier klinkt vrij overbodig). Vraag je bovendien af hoe lang je data bewaart, en waarom je het voor een bepaalde periode bewaart. De manier waarop het vastgelegd gaat worden onder de AVG ofwel GDPR wet, zal wel nieuw zijn.

Op basis van bovenstaand voorbeeld, zal het voor zich spreken dat de implicaties en een register en documentatie in het geval van applicaties of webshops meer voeten in de aarde gaat hebben

dan wanneer we het over een website hebben. Echter, bovenstaand illustreert dat de aankomende AVG wetgeving ook reeds de nodige aandacht zal vragen bij de bouw van een website. Ook een website dient AVG compliant te zijn.

Datalekken en overtreding

Eindbeslissingen zullen altijd bij de verantwoordelijke en dus opdrachtgever liggen (waar verzuim bij een verwerker wellicht tot een uitzondering zal leiden). Is er sprake van een datalek, geconstateerd door een verwerker? Dan zal de verwerker dit moeten melden bij de verantwoordelijke. Het is vervolgens aan de verantwoordelijke, om het binnen 72 uur na constatering van een datalek te melden bij de Autoriteit Persoonsgegevens.

De Autoriteit Persoonsgegevens bekleed geen adviserende rol. Is er sprake van een datalek waarbij (bijzondere, zoals medische of voorkeur gerelateerde) gegevens nog intact zijn (bijvoorbeeld, laptop met toegang tot een database ontvreemd, of accountgegevens met toegang tot cursisten openbaar gemaakt), dan zullen de betrokken personen op eigen initiatief geïnformeerd moeten worden door de verantwoordelijke. Ook dus als de datalek bij een andere partij dan de opdrachtgever/verantwoordelijke ligt.

Bij een audit vanuit Autoriteit Persoonsgegevens of gewoonweg door de opdrachtgever (frequentie valt vast te leggen middels de verwerkersovereenkomst) is het zaak dat je verwerkersovereenkomsten kunt overleggen, als ook een register van verwerking van persoonsgegevens. Afwegingen, keuzes of in de wind geslagen privacy adviezen zullen hierbij gedocumenteerd moeten worden, en dus ook aangetoond moeten kunnen worden.

Boetes zijn overigens niet mals, tot 20 miljoen euro voor kleine tot middelgrote organisaties, of tot 4% van de wereldwijde omzet voor grote organisaties. Hieronder vallen een KPN of een LinkedIn, waarbij een eventuele boete bij overtreding van de AVG boven de 20 miljoen euro uit zouden kunnen komen.

AVG-compliant

De kern gaat dus zijn: het is de verantwoordelijkheid van de opdrachtgever (immers, verantwoordelijke) om met AVG compliant bedrijven/organisaties in zee te gaan, en technieken of maatregelen die moeten voorzien in persoonsbescherming te documenteren. Ook wanneer je bewust een advies of best practice naast je neer legt als verantwoordelijke, of bewust niet met een AVG compliant organisatie in zee gaat, zul je moeten documenteren om welke redenen je tot zo een beslissing bent gekomen.

Bijvoorbeeld:

➔  Waarom is er ondanks advies vanuit het webbureau, niet gekozen voor Two Factor Authenticatie voor accounthouders met inzage in persoonsgegevens?

➔  Dropbox heeft in tegenstelling tot Amazon aangegeven niet mee te werken aan verwerkersovereenkomsten en zullen dus niet AVG compliant zijn. Vanaf 25 mei 2018 zal er vanuit de verantwoordelijke/opdrachtgever dus een goede reden moeten zijn om documenten met persoonsgegevens op Dropbox op te slaan zolang ze bij deze beslissing blijven.

Afhankelijk van je website, webapplicatie of diensten gaat het wat voeten in de aarde hebben.

Online is uiteraard genoeg te vinden omtrent de AVG/GDPR wetgeving. Voor huidige en toekomstige opdrachten zullen de gevolgen in kaart worden gebracht en worden vraagstukken vanuit ons netwerk omtrent de AVG wetgeving beantwoord.

De AVG Checklist voor mijn (WordPress) website en webshop.

Disclaimer
Met dit artikel geven we je graag informatie over de nieuwe AVG/GDPR regels met betrekking tot je website. Dit artikel is niet bedoeld om juridische beslissingen op te baseren, aangezien we van Oil4 geen advocaten zijn, maar een internetbureau. Uit onderstaand artikel kunnen dan ook geen rechten worden ontleend.

Veiligheid (Privacy by Design and Privacy by Default)

Heeft je website een SSL Certifcaat

Wanneer er via je website persoonsgegevens worden verstuurd is het verplicht onder de AVG dit via een beveiligde verbinding te doen, via een zogenaamd SSL (Secure Socket Layer) certificaat. Hierdoor worden alle gegevens middels encrypte verstuurd.

Je controleert of je website een SSL certificaat heef in je browser, het is dat groene slotje naast je domeinnaam. Ook kun je het herkennen aan het feit dat je domeinnaam nu https voor zich heeft staan, en niet http.

Is je website veilig en up to date?

Zorg ervoor dat al je plugins en thema’s altijd de meest recente versie geïnstalleerd hebben om hacks en andere veiligheidsrisico’s te beperken. Installeer ook geen plugins die niet (meer) ondersteunt worden door hun developers. Neem je een onderhoudscontract af bij Oil4, dan zorgen wij ervoor dat de installatie en uitvoering hiervan snel en veilig gebeurt.

Heb je passende beveiligingsmaatregelen genomen om de aanwezige persoonsgegevens te beschermen?

Zorg ervoor dat persoonsgegevens veilig opgeslagen worden en goed beveiligd worden. Encrypt waar mogelijk de (gevoeligere) gegevens, zorg voor goede wachtwoorden en neem andere technische voorzorgsmaatregelen om bijvoorbeeld bij een eventueel datalek zo weinig mogelijk gegevens op straat te hebben liggen.

Stel een datalekprotocol op

Is er sprake van een datalek, dan ben je vanaf het moment dat je het verneemt, wettelijk verplicht dit binnen 72 uur aan de Autoriteit Persoonsgegevens te melden. Meer informatie hierover: www.autoriteitpersoonsgegevens.nl

Toestemming

Een van de belangrijke speerpunten van de AVG wetgeving is om consumenten meer grip te geven op hun eigen persoonsgegevens en hoe deze verwerkt worden. Waar moet je je aan houden?

Inventariseer welke persoonsgegevens je hebt

Ga na welke persoonsgegevens je allemaal verzameld, of verzamelen wilt. Je zult deze namelijk moeten noteren. Sta tjdens je zoektocht er ook bij stl dat plugins persoonsgegevens verwerken en soms ook opslaan, ga dit na in het beheer van je WordPress website webshop.

Sta in deze zoektocht er extra goed bij stl of er wellicht ook bijzondere persoonsgegevens verwerkt worden op je website/webshop binnen je koppelingen. Dit is niet alleen het geval wanneer je er expliciet om vraagt in je contactformulier.

Ook op andere manieren kan het zijn dat jou organisatie (onbewust) bijzondere persoonsgegevens verwerkt. Zegt lidmaatschap op jouw website misschien iets over je leden? Denk bijvoorbeeld aan politieke activiteiten, religieuze voorkeur, financiële situatie, of seksuele voorkeur.

Of bestellen gebruikers in je webshop bijvoorbeeld politieke pamfletten, iets wat betrekking heef op hun(fysieke of psychische) gezondheid of iets waar hun seksuele voorkeur uit af te leiden is? Dan verwerk je op dat moment bijzondere persoonsgegevens. Denk je bijzondere persoonsgegevens te verwerken? Dan raden we je aan advies in te winnen bij de Autoriteit Persoonsgegevens of bij een advocaat, met de vraag óf en op welke wettelijke gronde je hiermee door mag gaan. Oil4 kan indien gewenst daarna assisteren in het opzetten van extra strenge technische beveiliging van deze gegevens.

Een paar zaken om op extra goed bij op te leten, want hier zullen vaak persoonsgegevens aanwezig zijn

  • Contactformulieren (bijv. Gravity Forms)
  • Encommerce (bijv. WooCommerce)
  • Ledennet plugins (bijv. Ultmate Member, BuddyPress, etc.)
  • Enmailmarketng widgets (bijv. inschrijven bij MailChimp of CreateSend)
  • Koppelingen met externe diensten zoals boekhoudpakketten bijvoorbeeld een koppeling tussen WooCommerce en Exact Online
  • WordPress reacte plugins zoals Disqus of Askimet
  • Veiligheidsplugins zoals Wordfence
  • Backup plugins
  • Statistieken zoals Google Analytics of Google Tag Manager

Ga na of je het recht hebt deze persoonsgegevens te verwerken

Er zijn 6 grondslagen waarop je gegevens mag verwerken

  1. Toestemming van de gebruiker
  2. Vitale belangen
  3. Wetelijke verplichtng
  4. Overeenkomst
  5. Algemeen Belang
  6. Gerechtvaardigd Belang.

Klik hier voor meer informatie over deze belangen.

Documenteer per persoonsgegeven dat je verwerkt (dus NAW, een emailadres, etc.) , de grondslag waarop jou organisatie dit mag doen. Let erop dat, wanneer je je beroept op grondslag toestemming, je deze specifiek van de gebruiker moet hebben ontvangen per doel, en dit ook moet kunnen aantonen. Je mag bijvoorbeeld een een emailadres die je vanuit een contactformulier hebt verkregen, niet automatisch ook gebruiken voor inschrijving van een nieuwsbrief.

Daarnaast zijn de volgende eisen gesteld aan toestemming deze moet vrijelijk zijn gegeven (het mag dus niet opgelegd worden), ondubbelzinnig (dus geen “wie zwijgt, stemt toe”), geïnformeerd (iemand moet bewust zijn wat er gebeurt met de gegevens, lees daarover meer in het kopje “privacyverklaring”). Let daarnaast extra op wanneer je persoonsgegevens van minderjarigen onder de 16 jaar verwerkt, hiervoor moet altjd toestemming van de ouders voor worden gegeven. Tevens moet toestemming ook altjd kunnen worden ingetrokken!

Gebruik je Cookies?

Met het oog op bovenstaande eisen voor toestemming, zijn cookies op je website/webshop eentje in de AVG om goed in de gaten te houden. Cookies zijn kleine tekstbestanden, waarmee jij en externe partjen verschillende gegevens van gebruikers kunnen achterhalen wanneer ze je website bezoeken.

Maak je gebruik van bepaalde cookies, dan was het ook binnen de huidige wetgeving al verplicht hier melding van te maken middels een cookiebanner/cookiewall+cookienpolicy. Dit verandert niet in de AVG. Wat wél veranderd, is dat deze toestemming expliciet moet zijn. Er moet dus actef een akkoord worden gegeven (een opt in). Heb je alleen een melding op je website, met de strekking “als je doorklikt, dan gaan we ervan uit dat je akkoord bent met plaatsen van cookies”(een optnout), dan volstaat deze niet langer vanaf mei 2018.

Tevens moet het mogelijk zijn om als gebruiker niet akkoord te gaan met het plaatsen (van bepaalde) cookies. Immers moet akkoord vrijelijk worden gegeven, en niet opgedragen middels een mogelijkheid tot slechts een akkoord. En let op onder de AVG is ook een IPnadres een persoonsgegeven!

Er is echter onderscheid in cookies. Je hebt;

  • Functionele cookies. Deze zijn nodig voor het gebruik van de website, bijvoorbeeld om in te loggen in een CMS. Deze cookies hebben geen toestemming nodig middels een cookiemelding.
  • Analytische/ Statistische cookies. Denk hierbij aan Google Analytics. Nu is het gelukkig niet zo dat je geen enkele webstatistieken meer kunt doormeten op je website. Anonimiseer je GA instellingen, dan kunnen hier geen persoonsgegevens meer uit worden afgeleid, en hoef je dus geen cookies melding te plaatsen voor akkoord. Anonimiseer je niet, dan moet je wel toestemming vragen.
  • Tracking & Third Party cookies. Deze hebben altijd een cookiemelding nodig, en mogen dus niet geplaatst worden zonder akkoord.Hoe achterhaal je nou welke cookies er zijn geplaatst op je website? Open hiervoor de browser Chrome, en klik op het slotje/info knopje naast je domeinnaam. Hier staat vermeld “cookies, X in gebruik”. Hieronder staan alle cookies vermeld, waar ze vandaan komen en hoe lang ze bewaard blijven. Zie jij misschien Twiter of Vimeo? Dan zijn er dus Tracking/ Third Party cookies aanwezig op je website.

    Let ook op dat toestemming door de gebruiker weer ingetrokken moet kunnen worden, en dat dit net zo gemakkelijk moet kunnen als het akkoord geven van die cookies.

    Oil4 kan je adviseren in wat te doen met de cookies, hoe deze te anonimiseren en hoe je de cookiemelding qua techniek in kan richten. Neem hiervoor contact met ons op.

Wie heeft er inzage in de persoonsgegevens?

Nadat je bent nagegaan welke persoonsgegevens je organisate verwerkt, is het daarna de vraag wie ze nog meer namens jou organisate onder ogen krijgt. Met al deze mensen moet je namelijk een verwerkingsovereenkomst afsluiten. Denk hierbij bijvoorbeeld aan je

  • Marketeer (bijvoorbeeld wanneer hij/zij toegang tot je Mailchimp of Google Tag Manager heeft)
  • Internetbureau / Webdevelopers (bijvoorbeeld doordat zij toegang tot het beheer van je website/webshop hebben)
  • Hosting (immers, alle persoonsgegevens staan hier opgeslagen)

Overige rechten betrokken

Recht op inzage en correctie

Personen hebben het recht om inzage te vragen aan je organisatie welke gegevens je van hen bewaard. Het is dan aan jou om deze gegevens te overdragen. Hier zijn echter wel haken en ogen aan, lees voor meer informatie: www.autoriteitpersoonsgegevens.nl Foute gegevens moeten tevens gecorrigeerd kunnen worden.

Recht op vergeten

Onder de nieuwe wetgeving hebben mensen recht om vergeten te worden. Dit moet binnen je systeem kunnen faciliteren, bijvoorbeeld door mensen uit te schrijven bij je nieuwbrief, of contactformulieren waarmee je niks doet te verwijderen in het systeem. Maar niet alle gegevens mogen zomaar worden verwijderd omdat iemand er om vraagt.

Wanneer jou organisatie een gegronde reden heef om gegevens te bewaren, bijvoorbeeld omdat je de administratie 7 jaar voor de belastingdienst moet bewaren, dan weegt dit recht zwaarder dan die van de individu die vergeten wil worden. Je moet dit dan wel goed onderbouwen naar degene die dit verzoekt. Tevens is het verstandig om dit van te voren in je privacystatement op te nemen, om onnodige vragen te voorkomen

Recht op dataportabiliteit

Bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in een vorm die het voor betrokkenen makkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie. Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken. www.autoriteitpersoonsgegevens.nl

Verantwoordingsplicht

Nu je je verwerkingen in kaart hebt gebracht, is het belangrijk dat je deze documenteert, zowel richting je klant, als ook intern.

Verwerkingsregister

Moet dit intern, dan is dit een verwerkingsregister. Hierin noteer je welke persoonsgegevens je op welke gronde verwerkt, hoe lang je deze bewaard, wie inzicht heef in deze persoonsgegevens en wat de beveiligingsmaatregelen zijn die je hebt getroffen. Je hoef alleen maar een verwerkingsregister op te zetten wanneer je organisatie meer dan 250 medewerkers heef, je structureel persoonsgegevens verwerkt (bijvoorbeeld een webshop of een salarisadministratie) of wanneer er bijzondere persoonsgegevens worden verwerkt.

Privacystatement

Het privacy statement plaats je op je website. In dit privacystatement verklaar je openlijk wat er met de gegevens van je gebruikers gebeurt , wat je van hen verwerkt, waar je het voor gebruikt, hoe lang gegevens opgeslagen worden, hoe zit dit kunnen inzien en hoe ze hun toestemming hiervoor kunnen intrekken, indien ze hier recht toe hebben. Een mooi voorbeeld van een privacystatement vind je op Coolblue.

Veiliginterneten.nl biedt de mogelijkheid om online een privacy verklaring te laten genereren op basis van gegeven antwoorden. De privacy verklaring dient vervolgens op elke pagina waar het van toepassing is, direct inzichtelijk te zijn (oftewel, men dient te allen tijde hooguit één klik verwijderd te zijn van de privacy verklaring).

Cookiestatement

Wanneer je inzichtelijk hebt gekregen welke cookies je organisatie gebruikt, is het belangrijk naast de cookiemelding (indien van toepassing), ook een cookiestatement wordt geplaatst op je website en in een verwijzing in die cookiemelding. Een voorbeeld cookiestatement.