Niet alleen grote organisaties en dataverzamelaars hoeven zich druk te maken over privacywetgeving. Sinds 25 mei 2018 moet bijna iedere website in de Europese Unie (EU) voldoen aan de AVG/GDPR. Twijfel je of dit bij jou goed geregeld is? Lees dan verder.
De GDPR (General Data Protection Regulation) is een verordening waarmee de EU de privacy van burgers beschermt. Onder meer websites die met persoonsgegevens werken, moeten aan deze wetgeving voldoen. De officiële benaming van de GDPR in Nederland is AVG (Algemene Verordening Persoonsgegevens). Op een paar punten waar lidstaten zelf invulling aan mogen geven na, is de AVG identiek aan de GDPR.
Het belangrijkste punt waarop de AVG in Nederland afwijkt van de GDPR is de minimumleeftijd waarop iemand in kan stemmen met de verwerking van persoonsgegevens. EU lidstaten kunnen die leeftijd tussen de 13 jaar en 16 jaar leggen. In Nederland is gekozen voor een minimumleeftijd van 16 jaar. Dat geldt ook in Duitsland, maar in België mag je mensen al vanaf hun 13e om toestemming vragen.
Wat gebeurt er als je de AVG negeert?
De AVG is een wet. Wie zich daar niet aan houdt, kan een berisping of zelfs een stevige boete krijgen. In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op naleving van de AVG. Afhankelijk van de ernst van de overtreding, de omvang van de organisatie die de regels overtreedt en andere afwegingen (zoals herhaald in de fout gaan) is de maximumboete 20 miljoen euro of 4 procent van de wereldwijde omzet.
Boetes voor AVG-overtredingen worden in praktijk met enige regelmaat uitgedeeld. Recent kreeg het concern achter drogisterijketen Kruidvat een boete van 600.000 euro. Kruidvat zou zonder toestemming cookies plaatsen om gegevens van bezoekers te verzamelen. Het beroep tegen deze beslissing loopt nog.
Samenwerking binnen de EU
Een hogere boete kreeg het bedrijf achter Uber in januari van dit jaar. De AP legde Uber een boete van 10 miljoen euro op voor het overtreden van privacyregels. Uber heeft hier bezwaar tegen aangetekend.
De verschillende toezichthouders in de EU werken onderling samen. Zo ging het verzoek om Uber te onderzoeken uit van de Franse toezichthouder. Die vroegen hulp van de AP omdat het Europese hoofdkantoor van Uber in Nederland staat. Een ander voorbeeld van samenwerking vind je in Litouwen. De toezichthouder onderzocht daar (onder meer) na Nederlandse klachten Vinted en gaf het platform een boete op van 2.385.276 euro
De AVG geldt voor bedrijven, organisatie en zelfs individuen
Maar voor wie geldt de AVG precies? De in het oog springende boetes lijken naar grotere bedrijven te gaan. Dat komt omdat de AP zich daar vooral op richt. De wet zelf geldt voor iedereen die persoonsgegevens verwerkt. Zo heeft de AP in 2021 bijvoorbeeld een orthodontiepraktijk met 12.000 euro beboet. De praktijk verzamelde via de website persoonsgegevens en beveiligde de overdracht daarvan onvoldoende.
Alhoewel het toezicht iets anders werkt, moet ook de overheid zich aan de AVG houden. Zelfs als individu kun je de AVG overtreden. Overigens zijn er vooralsnog in Nederland geen boetes (of berispingen) aan particulieren uitgedeeld.
Wat houdt persoonsgegevens verwerken precies in
Als je een website (of platform) beheert waarop je persoonsgegevens verwerkt, dan moet je met de AVG rekening houden. Maar wat houdt persoonsgegevens verwerken precies in?
Persoonsgegevens zijn gegevens die direct over iemand gaan, of naar iemand te herleiden zijn. Dat kunnen naam, adres en telefoonnummer zijn, maar ook een IP-adres kan (als het te herleiden is naar een persoon) onder persoonsgegevens vallen. Onder de term ‘verwerken’ verstaat de wet onder meer het verzamelen, ordenen, doorsturen en combineren van gegevens.
Mag je van de AVG wel persoonsgegevens verwerken?
Om met persoonsgegevens te mogen werken, moet je een goede reden hebben en aan een aantal voorwaarden voldoen. Daarnaast moet je rekening houden met twee losse categorieën. Dat zijn ‘bijzondere persoonsgegevens’ en ‘strafrechtelijke gegevens’. Bijzondere persoonsgegevens omvatten extra gevoelige informatie (bijvoorbeeld over gezondheid, politieke voorkeur of geloofsopvatting). Strafrechtelijke gegevens gaan over veroordelingen en dergelijke.
Gegevens binnen deze twee categorieën mag je in principe niet verwerken, tenzij je onder een wettelijke uitzondering valt. Het is verstandig om een jurist te raadplegen voor je met deze gegevens in de weer gaat.
Wanneer valt jouw website onder de AVG?
Jouw website (of platform) moet aan de AVG voldoen als je er persoonsgegevens mee verwerkt. Dat kan voor de hand liggen: een webshop verzamelt namen en adresgegevens om producten op te sturen. Maar het is ook makkelijk over het hoofd te zien: je verzamelt bijvoorbeeld mailadressen voor een nieuwsbrief, of onderhoudt een lijst met veilige en geblokkeerde IP-adressen om jouw platform te beschermen. In beide gevallen verwerk je ook persoonsgegevens.
Persoonsgegevens verwerken mag, maar dan moet je daar wel een reden voor hebben, het duidelijk aankondigen en toestemming vragen. Je moet bezoekers laten weten dat je gegevens verzamelt, wat je verzamelt en waarom je dat doet. Jij moet vooraf toestemming krijgen en zorgen dat je gegevens actueel houdt. Daarnaast mag je verzamelde gegevens alleen gebruiken voor het doel waarvoor je ze verzamelt, en moet je zorgen dat je de gegevens veilig bewaart en op een gegeven moment weer verwijdert.
Wat heeft jouw website nodig om aan de AVG te voldoen?
Om aan de AVG te voldoen, heb je op jouw website minimaal een privacyverklaring, cookiebeleid en cookiebanner nodig. Met deze drie hulpmiddelen zorg je dat je bezoekers voldoende informeert en haal je de benodigde toestemming op.
-
Privacyverklaring
De privacyverklaring op je website informeert bezoekers over jouw gegevensverwerking. Deze verklaring moet eenvoudig te vinden zijn en bezoekers in duidelijke, begrijpelijke taal uitleggen wat je verzamelt, waarom je dat doet en wat je ermee doet. De privacyverklaring moet de rechten van bezoekers vermelden en contactinformatie bieden. De meeste bedrijven en organisaties baseren hun privacyverklaring op de het interne privacybeleid. -
Cookiebeleid
Als je persoonsgegevens via je website verzamelt, dan gebruik je vrijwel zeker cookies (kleine bestanden die je bij de bezoeker plaatst om informatie te verzamelen en te bewaren). De AVG eist dat je het gebruik van cookies in een cookiebeleid omschrijft en dat je dit toegankelijk op je site aanbiedt. Het cookiebeleid moet los staan van je privacyverklaring. In dit beleid moet je een definitie van cookies geven en bezoekers informeren over welke (functionele-, analytische- en tracking-) cookies jij gebruikt, waar je ze voor gebruikt en hoe bezoekers cookies kunnen weigeren. -
Cookiebanner
De AVG eist dat bezoekers vrijwillig, expliciet en geïnformeerd toestemming geven voor het plaatsen van niet-essentiële cookies. Een cookiebanner is de eenvoudigste manier om die toestemming te krijgen. Met een pop-up of melding informeer je bezoekers over jouw cookies, vraag je om toestemming en kun je gelijk een korte uitleg over jouw cookiegebruik geven (met link naar het volledige cookiebeleid). Zorg dat jouw cookiebanner de mogelijkheid biedt om alleen essentiële cookies te accepteren en geef bezoekers knoppen of schakelaars om zelf over andere cookies te beslissen. Let op dat je toestemming niet mag afdwingen, bijvoorbeeld door bezoekers de toegang tot je site te ontzeggen als ze cookies weigeren.
Wat is optioneel ook handig?
Hoewel de volgende drie documenten niet direct onder de AVG vallen, kunnen ze eventueel wel bijdragen aan de naleving van deze wet en is het handig om ze tegen de AVG aan te houden.
-
Algemene voorwaarden
In de algemene voorwaarden leg je de standaardafspraken tussen jouw organisatie en klanten, gebruikers of bezoekers vast. In de algemene voorwaarden staan jouw regels en voorwaarden rondom aansprakelijkheid, eigendomsrechten en ga zo maar door. De algemene voorwaarden kunnen verwijzen naar je privacybeleid en het verwerken van persoonsgegevens. Daarom is het verstandig om te controleren of ze voldoen aan de AVG. -
Register van toestemming
In een register van toestemming hou je bij van wie je toestemming hebt gekregen om persoonsgegevens te verwerken. In dit register staat wie de toestemming heeft gegeven, hoe je die hebt verkregen (online, via een formulier, etc.) en waar je die voor hebt. Een register van toestemming is vooral handig als je bedrijfsmatig persoonsgegevens verwerkt. Je kunt dan bij controles eenvoudig aantonen dat je aan de AVG voldoet. -
Register van verwerkingsactiviteiten
Als je als organisatie of bedrijf regelmatig persoonsgegevens verwerkt, dan kun je een wettelijke plicht hebben om die activiteiten in een register vast te leggen. In dit register staat redelijk gedetailleerd wat je met persoonsgegevens hebt gedaan, wie dat heeft gedaan en waarom dit is uitgevoerd. Bij een AVG-audit of controle door de AP wordt om dit register gevraagd.
Hoe controleer je of je AVG-compliant bent?
Voer onze gratis compliance-test uit om eenvoudig te controleren of jouw website aan de AVG voldoet. Direct testen? Doorloop deze stappen:
- Log in op jouw controlepaneel
- Kies de website die je wilt controleren
- Klik in het overzicht op ‘Scan mijn site’
Onze compliance-test scant in een paar minuten jouw website en laat je zien welke AVG-onderdelen ontbreken.