Privacywet AVG GDPR
Waarschijnlijk heeft u wel eens gehoord van de nieuwe privacywet die vrijdag 25 mei 2018 in gaat. Deze nieuwe wet -afgekort AVG of GDRP - heeft betrekking op iedereen die met (persoons)gegevens werkt. Dus zowel bedrijven, verenigingen als stichtingen. Klein of groot, B2B of B2C. In de praktijk blijkt dat 80% van de betrokkenen hier nog niet volledig van op de hoogte zijn en nog niet de nodige stappen hebben ondernomen, terwijl de tijd dringt!
Naast de informatie op deze pagina hebben wij voor stichtingen en verenigingen op een speciale pagina de meest gestelde vragen over AVG GDPR op een rij gezet. Uiteraard kan dit ook veel vragen voor ondernemers beantwoorden.
Persoonsgegevens
Voor het vastleggen van (persoons)gegevens voor leden of relaties voldoet een Excel, Word of Access bestand niet meer aan de eisen en indien dit wordt gemeld aan de Autoriteit Persoonsgegevens, kan dit een forse boete opleveren. Vanaf 25 mei mogen namelijk alleen die gegevens worden opgeslagen die van belang zijn voor een bepaald doel of functie en dient hiervoor door de betrokkene toestemming te worden gegeven. Daarnaast heeft de betrokkene recht op het inzien, wijzigen, verwijderen en exporteren van diens gegevens. Zoals u begrijpt, kan dit alleen met een online register. Gegevens mogen niet meer open en bloot rondslingeren of onbeschermd worden opgeslagen. Ook niet als contact op uw mobiele telefoon! Tenzij het privé is.
Oplossing
DigiBit heeft de afgelopen twee jaren en vooral de laatste maanden hard gewerkt aan een oplossing voor dit probleem door ons eigen CMS systeem “DiCo” rigoureus aan te pakken. Wij hebben het CMS namelijk uitgebreid met een CRM gedeelte voor het beheren van de gegevens van leden of relaties. Daarnaast is de beveiliging van het systeem enorm verbeterd door enerzijds het toevoegen van een strenge controle op ip-adres en anderzijds het gebruik van een tweeweg identificatie met behulp van Google autenticator. Dit laatste was voorheen optioneel en kon dus worden uitgezet, maar het gebruik van de autenticator zal vanaf 25 mei verplicht worden vanwege de nieuwe privacywet. Wij zullen u hierover benaderen, maar neem gerust eerder contact met ons op zodat wij samen kunnen bekijken hoe we dit nog voor 25 mei voor u kunnen realiseren.
SSL certificaat
Naast een veilige omgeving voor alle (persoons)gegeven is een veilige versleutelde verbinding voor de overdracht van deze gegevens van groot belang. Vandaar dat een open overdracht van gegevens vanaf 25 mei wettelijk niet meer wordt geaccepteerd en strafbaar is. Een SSL certificaat hebben wij vorig jaar al aangeraden vanwege het vertrouwen dat een certificaat de bezoeker geeft en de positieve invloed die dit certificaat heeft op de ranking in Google. Maar dit SSL certificaat zal vanaf 25 mei verplicht zijn zodra er gegevens worden overgedragen middels bijvoorbeeld een contactformulier of het aanmelden voor een nieuwsbrief. Mocht u dit nog niet geregeld hebben, neem dan contact met ons op. U kunt al over een SSL certificaat beschikken vanaf 5 euro per maand!
Cookies
Iedereen met een website en cookies moet nu ook al aan de cookiewet voldoen. De cookiewet maakt een uitzondering voor cookies die niet privacygevoelig zijn zoals analytische en functionele cookies. Deze cookies maken geen of weinig inbreuk op de privacy. Voor het plaatsen van cookies die inbreuk maken op de privacy, moet altijd om toestemming gevraagd worden. In de nieuwe opzet zal één cookiewall niet meer volstaan, maar zal de bezoeker de keuze hebben in het accepteren van diverse soorten cookies zoals bijvoorbeeld: noodzakelijk, voorkeuren, statistieken en marketing. DigiBit heeft een nieuw script gerealiseerd waarmee het maken van deze keuze mogelijk is.
In tien stappen kunt u aan de AVG voldoen
- Zorg voor bewustwording (directie/bestuur en medewerkers)
=> Formuleer het beleid, maak een plan van aanpak en maak (structureel) budget vrij voor implementatie - Zorg voor een verwerkingenregister
=> Maak een overzicht van alle verwerkingen van persoonsgegevens en houd deze actueel. - Maak een Data Protection Impact Assessment (DPIA)
=> Voor kleinere organisaties kan dat op een A4’tje – uit dit assessment blijkt waar de risico’s op een datalek bij uw organisatie zitten en waar u maatregelen moet nemen. - Bekijk of u niet meer data verzamelt dan nodig is en of u de gegevens mag verzamelen
=> Dataminimalisatie is het uitgangspunt; Privacy by Design/Privacy by Default. - Bepaal of u een FG (Functionaris voor de Gegevensbescherming)/DPO (Data Protection Officer) moet aanstellen
=> Bijvoorbeeld overheden en publieke organisaties zijn daartoe verplicht. - Maak een protocol voor het omgaan met datalekken
=> Zorg voor een goed systeem om datalekken te documenteren (en zo nodig te melden) - Zorg ervoor dat u een verwerkersovereenkomst sluit als u data elders verzamelt
=>Bijvoorbeeld met de hostingprovider, de cloudaanbieder en de verwerker van de personeelsadministratie. - Zorg voor adequate beveiliging
=> Voorkom technische kwetsbaarheden en houd uw IT-beveiliging up-to-date. - Zorg voor transparantie in uw communicatie
=> Wat doet u met de verzamelde gegevens; zorg voor een heldere privacyverklaring. - Zorg voor een managementsysteem/incidentenbeheer
=> Hierin kunt u de verwerkingen actueel houden, datalekken documenteren en de voortgang bewaken.
Wellicht zijn niet alle punten op u van toepassing, maar het merendeel geldt voor iedereen.
Let op: met terugwerkende kracht!
De nieuwe wet gaat weliswaar pas vanaf 25 mei 2018 in, maar dit gebeurt met terugwerkende kracht. Dat betekent dat voor alle persoonlijke gegevens die u reeds voor deze datum hebt opgeslagen, opnieuw toestemming moet worden gevraagd.
Hoge Boetes
Het niet voldoen aan de nieuwe wet, kan hoge boetes opleveren tot maximaal 20 miljoen per geval! Dus onderschat het niet en neem meteen maatregel of bespreek de situatie met ons.
Stand van zaken bij DigiBit
Wij hebben vanaf november 2017 veel tijd en energie gestoken om ervoor te zorgen dat ons eigen content management systeem DiCo volledig voldoet aan de eisen van de AVG. Zelfs meer dan dat. Wij zijn er van overtuigd dat ons systeem op dat gebied uniek is op deze wereld! Tevens hebben wij een verwerkingenregister aangelegd waarin wij hebben vastgelegd waar en hoe wij alle gegevens vastleggen en met wie wij deze gegevens delen. Daarnaast hebben wij een verwerkersovereenkomst opgesteld die wij met onze leveranciers hebben afgesloten zodat wij de garantie hebben dat er correct en veilig met uw gegevens wordt omgegaan. Onze werknemers hebben een geheimhoudingscontract ondertekend en zij zijn gewezen op de richtlijnen die in de nieuwe privacywet zijn vastgelegd. Wij hebben middels in een Data Protection Impact Assessment (DPIA) vastgelegd waar de zwakke plekken lagen en de nodige maatregelen genomen om de al veilige omgeving nog veiliger te maken. Mocht er toch een datalek aan het licht komen, dan staat in het datalek protocol hoe wij hier snel en adequaat mee om zullen gaan. In ons managementsysteem incidentenbeheer documenteren wij alles wat voor onze dataverwerking noodzakelijk is. Wij hebben tevens een nieuwe privacybeleid. Dit document kunt u hier inzien.
Al met al komt het er op neer dat wij volledig AVG compliant zijn!
Uw rechten
U heeft een aantal rechten wanneer wij persoonsgegevens van u vastleggen. Deze rechten zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp), respectievelijk, per 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG).
U kunt op elk gewenst moment uw persoonlijke gegevens inzien, laten corrigeren, blokkeren of verwijderen. Een uitgebreide beschrijving van uw rechten vindt u in “Rechten van de betrokkenen”.
Indien u gebruik wilt maken van uw rechten, kunt u hiervoor contact opnemen met DigiBit.