Word AVG (GDPR) compliant!

18 Dec 2017 |

In mijn vorige blogpost ‘Wat betekent de datalek wet voor mijn organisatie & online business?’ vertel ik meer over de impact die de nieuwe AVG wet (GDPR) op jouw online business kan hebben. De autoriteit persoonsgegevens noemt deze wet de algemene verordening gegevensbescherming (AVG) en zal de huidige Wet bescherming persoonsgegevens (WBP) per 25 mei 2018 definitief vervangen.

Belangrijk om te weten is dat deze nieuwe wet een verordening is en geen richtlijn. Het is dus belangrijk om je als organisatie er op tijd in te verdiepen en bewustwording binnen de organisatie te creëren.

Na het lezen van deel 1, is het duidelijker geworden wat de nieuwe wet (AVG) globaal inhoudt. Maar hoe gaan we deze regels nu online toepassen? Waar moeten we rekening mee houden? En hoe vertaalt dit zich tot mogelijke oplossingen?

Voordat we een aantal voorbeelden met mogelijke oplossingen gaan behandelen, is het eerst belangrijk om te weten of de organisatie eindverantwoordelijke van de persoonsgegevens is of ‘slechts’ verwerker hiervan.

De verwerker verleent een dienst of tool waarmee andere organisaties weer gegevens opslaan van personen. De verwerker is dus zelf niet hoofdverantwoordelijk voor de opgeslagen persoonsgegevens. Voorbeelden hiervan zijn hostingpartijen, webbouwers, aanbieders van CRM- en ERP-systemen, aanbieders van tools die gebruikt worden voor dataopslag, etc.

De verantwoordelijke verzamelt daadwerkelijk persoonsgegevens van haar klanten op verschillende – al dan niet externe – systemen. Voorbeelden hiervan zijn webshops, uitzendbureaus, assurantieadviseurs, etc.

Verder is nog belangrijk te benoemen dat een organisatie zowel verwerker als verantwoordelijke kan zijn.

Mogelijke obstakels

Organisaties verzamelen op verschillende manieren profielgegevens dan wel persoonlijke documenten van hun klanten/cliënten. Hieronder probeer ik een tweetal mogelijkheden te beschrijven waar je tegenaan kunt lopen en welke mogelijke oplossingen je hierbij kunt hanteren om AVG-compliant te worden.

1. Opslaan van persoonlijke gegevens (profielgegevens)

Heb je een webshop, ben je assurantieadviseur, makelaar of bijv. een uitzendbureau en sla je online, dan wel via een onlineverbinding persoonlijke gegevens op, dan ben je verplicht om toestemming te vragen aan de gebruiker. De gegevens dienen in een beveiligde omgeving opgeslagen te worden en de gebruiker moet zijn eigen gegevens te allen tijde in kunnen zien via bijvoorbeeld een klantenportaal.

Bij persoonlijke gegevens kun je denken aan:

  • standaard NAW-gegevens
  • persoonlijke interesses
  • ras
  • politieke voorkeuren
  • etc.

Een belangrijk aandachtspunt hierbij is om goed na te gaan of alle gegevens die worden opgeslagen ook relevant voor de dienstverlening zijn. De AVG spreekt hier over data-minimalisatie. Hoe minder data er wordt opgeslagen, des te kleiner zijn de mogelijke gevolgen van een datalek. Verder dient de gebruiker de mogelijkheid te krijgen zijn opgeslagen gegevens te (laten) verwijderen.

2. Opslaan en verwerken van persoonlijke documenten

Wanneer jouw organisatie persoonlijke documenten opslaat van klanten. Dan mag dit volgens de AVG niet meer via onbeveiligde wegen gedaan worden en moet duidelijk staan geregistreerd met welk doel en voor hoe lang deze persoonlijke informatie wordt opgeslagen. Bij persoonlijke documenten kun je denken aan identiteitsbewijzen en VOG-verklaringen, maar ook een curriculum vitae en contracten vallen onder persoonlijke documenten.

Het versturen van bovenstaande onderdelen via e-mail is op zich mogelijk, maar dit dient dan wel via een goed opgezette en veilige verbinding te gebeuren. Daarbij komt dat de gebruiker te allen tijde in moet kunnen zien welke gegevens er met je organisatie zijn gedeeld. Via e-mail is dit lastig te achterhalen. Wat vaak voor komt is dat de klant via e-mail een link toegestuurd krijgt om via de browser een geüpload document te ondertekenen of in te zien. Dit document staat dan veelal niet achter een login en is dus door iedereen met de link in te zien. Vanaf 25 mei 2018 is dit niet meer toegestaan.

Mogelijke oplossing

Ontwikkel een klantenportaal

Wil je een oplossing waarmee je voor deze onderdelen zoveel mogelijk aan de AVG voldoet?

Een overzichtelijk klantenportaal zou dan een goede oplossing kunnen zijn. Met een klantenportaal staan alle benodigde documenten achter een login en dus in een beveiligde omgeving. De klant kan in het klantenportaal alle gegevens inzien, persoonlijke documenten uploaden/verwijderen, heeft de optie om gegevens te beperken, te wijzigingen en te verwijderen en de klant kan zich in- en uitschrijven voor nieuwsbrieven of andere onderdelen waar ze reeds akkoord mee zijn gegaan.

Ook met een klantenportaal dien je nog steeds duidelijk toestemming te vragen aan de gebruiker voor het opslaan van persoonsgegevens en dien je als organisatie registers bij te houden van de gegevensverwerking.

Rechten van de gebruiker/bezoeker

Samengevat heeft de gebruiker met de AVG de volgende rechten gekregen. Aan deze rechten zal te allen tijde moeten worden voldaan.

  • Kunnen inzien van de gegevens
  • Kunnen wijzigen van de gegevens
  • Gegevens kunnen overdragen naar een andere partij

Hierbij dient wel rekening gehouden te worden met eventuele bewaarplicht en andere overlappende wetten die gelden voor de organisatie.

Opstellen van een register

Zowel de bewerker als de verantwoordelijke zal een eigen register op moeten stellen. Hier moet in aangegeven worden welke data, van wie, waarom en hoe lang dit bewaard zal worden. In een ander blog zal ik verder ingaan op het opstellen van een register.

Vergis je niet en verdiep je tijdig

Verdiep jezelf goed en tijdig in de nieuwe wetgeving. Bekijk goed welke onderdelen van de AVG voor jou van toepassing zijn en wat voor impact dit voor jouw organisatie zal hebben. Achterhaal wat er voor jou exact in de registers moet komen te staan, waar jouw klant toegang tot moet hebben en welke rechten en plichten hieraan vastzitten.

Als organisatie is het verstandig te beginnen met het inventariseren van alle persoonsgegevens die je verzamelt per klant. Is dit in kaart gebracht, dan kan per klant gekeken worden welke vervolgstappen genomen moeten worden.

Wil je graag meer informatie over de mogelijkheden voor jouw organisatie? Neem dan contact met ons op!

Bij JVDmedia zijn we gespecialiseerd in het bouwen van een klanten portaal en overige geavanceerde web-oplossingen. Wij denken mee met de klant en zullen er samen voor zorgen dat we ook dit obstakel overwinnen!

Ter info: Dit blog is een weerspiegeling van mijn visie op de datalek wet (AVG / GDPR) en er kunnen geen rechten worden verbonden aan de gegeven informatie in dit blog.

Daag ons uit

Wij staan voor samenwerken, korte lijntjes en een nuchtere aanpak. Samen streven naar ultiem online succes! Wil jij ook dé aanpak naar succes ervaren? Neem dan contact op en daag ons uit!

  • 19 Aug

    5 vragen voor een juiste online marketing strategie

    Online marketingstrategie opzetten? Stel jezelf dan deze vijf vragen.

  • 30 Jul

    10 Starter tips over SEO

    SEO, ook wel zoekmachine optimalisatie. Hoe werkt dat nou? Waar moet ik rekening mee houden? Wij geven jou 10 tips die jou extra handvaten geven om te beginnen met SEO.

  • 8 Apr

    Inzicht in de customer journey (2/3)

    De customer journey, je hebt er ongetwijfeld wel eens van gehoord. De term komt nogal eens voorbij, te pas en te onpas, maar is het slechts een hippe marketingterm? Of schuilt er meer achter en kan...