Algemene verordening Gegevensbescherming
Een datalek! Dat kan betekenen: forse boetes, bestuurdersaansprakelijkheid, kosten voor deskundigen, dit is nog afgezien van de reputatieschade en de mogelijke commerciële conflicten met afnemers. Verwerkt u als webshopeigenaar of online ondernemer persoonsgegevens, dan moet u even opletten!
Vanaf 25 mei 2018 treedt namelijk de Algemene Verordening Gegevensbescherming (AVG) in werking. Voor elke organisatie geldt dat een nog hoger beschermingsniveau moet worden geboden dan onder de huidige Wet bescherming persoonsgegevens al het geval is. Er is al veel over geschreven over deze nieuwe regels, maar welke stappen moet u als webshopeigenaar of online ondernemer concreet nemen?
1. Bewustwording
Elk gegeven dat herleidt kan worden naar een persoon is een persoonsgegeven. Het kan gaan om gegevens van werknemers, website bezoekers, afnemers, leveranciers of klanten. Het is belangrijk om binnen uw organisatie na te gaan welke gegevens u allemaal verzamelt en met welk doel u dat doet. Heeft u deze gegevens echt nodig en waar slaat u ze eigenlijk op?
Actie: breng intern in kaart welke persoonsgegevens worden verwerkt. Zorg dat gegevens rechtmatig worden verwerkt en verwerk alleen persoonsgegevens die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
2. Verwerkingenregister
Alle persoonsgegevens die u verwerkt moet u in een register bijhouden. In dit register documenteert u welke persoonsgegevens worden verwerkt, met welk doel, waar ze vandaan komen en met wie ze worden gedeeld.
Actie: maak een register waarin u vastlegt welke persoonsgegevens u verwerkt.
3. Rechten van betrokkenen
Iedere persoon waar uw organisatie persoonsgegevens van verwerkt moet precies weten waar toestemming voor gegevens wordt, welke gegevens worden verwerkt en wat u met deze gegevens doet. Uw organisatie moet hier op inspelen.
Het is van belang dat op uw website een privacyverklaring wordt geplaatst. In een privacyverklaring staat onder andere beschreven: uw bedrijfsgegevens, de reden van de verwerking van de persoonsgegevens, waar personen toestemming voor geven, de rechten van personen waar gegevens van worden verwerkt (zoals recht op inzage, aanpassing en verwijdering), welke beveiligingsmaatregelen genomen worden om de privacy van personen te waarborgen.
Actie: stel een privacyverklaring op en plaats deze op uw website.
4. Verwerkersovereenkomsten
Inventariseer binnen uw organisatie met wie u gegevens deelt, wie verantwoordelijk is en wie allemaal gegevens verwerkt. Overeenkomsten die u sluit met andere partijen moeten garanties bieden dat de rechten van betrokkenen worden beschermd.
Actie: stel verwerkersovereenkomsten op of breng de huidige verwerkersovereenkomsten in overeenstemming met de AVG.
5. Beveiligen van persoonsgegevens
Van iedere organisatie wordt verwacht dat zij passende technische en organisatorische maatregelen treft om de beveiliging van persoonsgegevens te waarborgen. De opslag en de verwerking van gegevens moet goed beveiligd zijn en voorzien zijn van de allerlaatste beveiligingsupdates van de gebruikte software en plugin. Wanneer er bestellingen, aanmeldingen, nieuwsbrieven of andere gegevens via uw website worden ingevuld, dan is een SSL certificaat (HTTPS) verplicht. Zorg daarom voor de beveiliging van uw website met HTTPS en dat uw software altijd up-to-date is. Test, beoordeel en evalueer uw beveiligingsmaatregelen.
Een ongeluk zit in een klein hoekje en datzelfde geldt voor een datalek. U bent als organisatie zelf verantwoordelijk voor de veiligheid van uw website. Evalueer uw bedrijfsprocessen. Zorg voor passende en actuele technische beschermingsmaatregelen.
Actie: Maak een afspraak met X-Interactive voor een oplossing
6. Datalek en privacybeleid
Uw website ligt plat door een hack, een laptop is blijven liggen in de taxi of een e-mail wordt verstuurd naar de verkeerde persoon. Als er sprake is van een datalek, dan moet u actie ondernemen. Datalekken moeten binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Daarnaast moeten alle betrokkenen op de hoogte gesteld worden en er moet een register worden bijgehouden over de datalekken.
Actie: maak een policy melden datalekken voor uw organisatie. Meld datalekken aan de Autoriteit Persoonsgegevens en zo nodig aan de betrokkene. Houd een register van datalekken bij.
Is uw organisatie al AVG-Proof?
De AVG vergt enige inspanning, maar biedt ook veel mogelijkheden. In een gesprek lichten wij u graag toe hoe wij u kunnen helpen met de AVG.