In mei 2018 is de nieuwe Europese privacywet GDPR/AVG ingegaan. De rechten en plichten rondom bescherming van persoonsgegevens zijn flink uitgebreid en iedere organisatie heeft met de nieuwe regels te maken gekregen. Het is complexe materie, zelfs voor mensen die bekend zijn met het onderwerp. In dit blog geven we een beknopt overzicht van de wijzigingen en waarmee je rekening dient te houden.
De informatie in deze blog is geschreven om onze klanten te informeren over de in mei 2018 ingegane Europese privacywet GDPR/AVG. Heb je specifieke vragen, maar ben je geen klant van Logic4, dan adviseren wij je om de officiële website van de Autoriteit Persoonsgegevens te bezoeken en contact op te nemen met je eigen softwareleverancier.
GDPR staat voor General Data Protection Regulation, in het Nederlands Algemene Verordening Gegevensbescherming (AVG). Dit is een wet die erop gericht is om de privacyrechten van personen te versterken en uit te breiden, om organisaties die persoonsgegevens verwerken meer verantwoordelijkheid te geven, en om dezelfde wetgeving te hanteren binnen alle Europese lidstaten.
Hieronder valt alle informatie die gerelateerd is aan een (geïdentificeerd of identificeerbaar) natuurlijk persoon, maar ook informatie over een rechtspersoon die direct te herleiden is naar een natuurlijk persoon. Bedrijfsgegevens zijn geen persoonsgegevens, tenzij de rechtspersoon hetzelfde is als de natuurlijke persoon, zoals bij een eenmanszaak. Verder hangt het van de context van het gebruik af of het wel of niet gaat om persoonsgegevens. Een IP-adres kan namelijk te herleiden zijn naar een specifiek persoon, tenzij het een adres is dat door veel mensen gebruikt wordt. En een order valt niet onder persoonsgegevens, maar de NAW-gegevens die erop staan wel. Dit is een grijs gebied waarin nu nog geen hard onderscheid te maken valt.
Onder de volgende voorwaarden (grondslagen) mogen persoonsgegevens verzameld worden. Geldt geen van deze grondslagen? Dan is opslaan of verwerken van persoonsgegevens niet toegestaan en kan jouw organisatie als verantwoordelijke een flinke boete krijgen.
Onder betrokkene wordt de eindgebruiker verstaan. In dit geval is dat uw webshopklant of contactpersoon bij een zakelijke klant.
Als een organisatie persoonsgegevens gebruikt, heeft de betrokkene het recht om de naam en het adres van de organisatie te weten, en waarvoor de gegevens worden gebruikt. Als de betrokkene een bestelling plaatst via een webshop, of op een andere manier een formulier invult, moet deze informatie verstrekt worden vóórdat de gegevens daadwerkelijk worden verstuurd of opgeslagen. Bijvoorbeeld via een duidelijke verwijzing naar het privacystatement.
Als een betrokkene inzage in zijn persoonsgegevens vraagt, dan moet jij hem laten weten of je persoonsgegevens van hem gebruikt, om welke gegevens het gaat, wat het doel is, wat de herkomst van de gegevens is en eventueel aan wie de gegevens zijn verstrekt. Wanneer je als organisatie veel informatie van een betrokkene hebt, mag je hem vragen aan te geven welke gegevens hij precies wil inzien. Ook kun je zelf beslissen hoe je de betrokkene inzage geeft. Dit kan een volledig overzicht zijn, of een kopie/afdruk, maar je kunt de betrokkene ook uitnodigen om ter plekke zijn gegevens te komen inzien. Betrokkenen hebben geen recht op inzage in de persoonsgegevens van iemand anders.
Betrokkenen mogen een organisatie (verwerkingsverantwoordelijke) vragen om bepaalde persoonsgegevens te verbeteren, aan te vullen of af te schermen. Bijvoorbeeld als de gegevens feitelijk onjuist zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld. Dit onder de voorwaarde dat het technisch mogelijk is en het niet gaat om gegevens die in een openbaar register, zoals het Handelsregister van de KvK, te vinden zijn.
In het algemeen geldt dat een betrokkene op ieder moment beroep kan doen op zijn recht om vergeten te worden. Bijvoorbeeld als hij niet wil dat zijn persoonsgegevens worden gebruikt voor digitale direct marketing. Post sturen of bellen mag je echter altijd doen zonder dat de betrokkene daarvoor toestemming heeft gegeven. En ook voor bestaande klanten geldt een uitzondering. In sommige gevallen is het recht om vergeten te worden gebonden aan beperkingen, bijvoorbeeld als het verwerken nodig is om te kunnen voldoen aan wettelijke verplichtingen. Ook betekent het recht om vergeten te worden niet per se dat de verantwoordelijke alles compleet moet verwijderen. Om de boekhouding netjes te doen, moeten orders namelijk wel beschikbaar blijven. In dit geval zouden de persoonsgegevens die bij de order horen geanonimiseerd kunnen worden.
Ten opzichte van de Wet bescherming persoonsgegevens (Wbp) is het recht op dataportabiliteit nieuw in de AVG. Betrokkenen hebben het recht om de persoonsgegevens die een organisatie van hen heeft te ontvangen en op te slaan voor persoonlijk gebruik of door te geven aan een andere organisatie. Het gaat hier alleen om digitale gegevens waar de betrokkene toestemming voor heeft gegeven of die zijn verwerkt in het kader van een overeenkomst. Je bent als organisatie niet verantwoordelijk voor wat de betrokkene vervolgens met de persoonsgegevens doet. Ook hoef je persoonsgegevens niet te verwijderen, tenzij de betrokkene daarvoor een verzoek indient.
De verwerkingsverantwoordelijke is de eigenaar van de data. In dit geval is dat uw organisatie als u klant bent van Logic4. U bent ervoor verantwoordelijk dat de persoonsgegevens nauwkeurig, correct en legaal zijn, en dat u kunt voldoen aan de rechten van de betrokkene.
De AVG legt een grotere verantwoordelijkheid bij organisaties neer. De verantwoordingsplicht houdt in dat je moet kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de wet te voldoen. Hieronder vallen de volgende zaken:
Wanneer jouw organisatie regelmatig persoonsgegevens verwerkt (dat doet eigenlijk iedere organisatie), meer dan 250 medewerkers heeft, of bijzondere / hoog risico persoonsgegevens verwerkt, dan ben je verplicht om een intern register bij te houden. Deze moet je op aanvraag van de Autoriteit Persoonsgegevens kunnen laten zien. In het register van verwerkingsactiviteiten moet het volgende staan:
Wanneer je persoonsgegevens verwerkt op basis van de grondslag ‘toestemming van de betrokkene’, dan moet je kunnen aantonen dat je die toestemming daadwerkelijk heeft. Daarnaast moet je vastleggen welke informatie je de betrokkene hebt gegeven voordat hij toestemming gaf en op welke manier je de toestemming verkrijgt en registreert.
Zodra organisaties een datalek hebben, moeten zij direct een melding doen bij de Autoriteit Persoonsgegevens. In een aantal gevallen moeten ook de betrokkenen op de hoogte gesteld worden. Dit was al zo onder de Wbp en blijft grotendeels hetzelfde onder de AVG. Het was zo dat alleen datalekken gemeld moesten worden die een aanzienlijke kans hebben op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.
Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of bijzondere persoonsgegevens van individuen verwerken, zijn verplicht om vóórdat de nieuwe wet ingaat een Data Protection Impact Assessment (DPIA) uit te voeren en een Functionaris Gegevensbescherming (FG) aan te stellen. Dit geldt met name voor overheden en publieke organisaties, niet direct voor handelsorganisaties. Daarom zullen we hier nu niet verder op ingaan, maar op de website van de Autoriteit Persoonsgegevens kun je meer lezen over DPIA en FG.
Sommige organisaties zijn verplicht om een gegevensbeschermingsbeleid op te stellen, ook wel privacybeleid genoemd. Dit is wat anders dan een privacyverklaring! Of jouw organisatie verplicht is om een gegevensbeschermingsbeleid te hebben, hangt af van de aard, omvang, context en het doel van de gegevensverwerking. Helaas vertelt de AVG niet specifieker wanneer deze eis wel en niet geldt.
Er moet een privacyverklaring op de webshop staan, die gemakkelijk te vinden is voor bezoekers. Hier moet onder andere in staan met welk doel je persoonsgegevens opslaat en dat bezoekers het recht hebben op inzage, aanpassing en vergetelheid. De privacyverklaring hoeft niet expliciet geaccepteerd te worden door bezoekers van de webshop. Aan welke eisen deze precies moet voldoen, vind je in dit artikel van Frankwatching.
Formulieren moeten een duidelijke kop hebben die uitlegt wat het doel van het formulier is. ‘Contact opnemen’ of ‘Bestelling plaatsen’ zijn hier voorbeelden van. De kop zegt in deze gevallen al genoeg over waarom er persoonsgegevens gevraagd worden. Er hoeft dan geen extra uitleg of toestemmingsvinkje bij het formulier te komen. Wel moet er altijd een duidelijke link naar het privacystatement bij het formulier staan.
Gebruik je op je webshop formulieren voor meerdere doelen? Bijvoorbeeld zowel om een bestelling te kunnen verwerken, als het sturen van commerciële aanbiedingen? Dan moet je hiervoor in het bestelformulier wél een extra vakje toevoegen dat vraagt om toestemming om marketing e-mails te mogen sturen. Dit vakje mag niet standaard aangevinkt zijn.
Persoonsgegevens die je verzamelt moeten een zo kort mogelijke bewaartermijn hebben. Hiervoor zijn (nog) geen harde regels geschreven. Ook hierbij hangt het af vanuit welke grondslag je de gegevens hebt geregistreerd. Gaat het om het uitvoeren van een overeenkomst, met bijbehorende factuur en garantie, dan moet je de gegevens 7 jaar bewaren voor de Belastingdienst. Geven bezoekers toestemming om de nieuwsbrief te ontvangen? Dan zit er vanzelfsprekend geen einddatum aan. Wel moeten mensen zich makkelijk kunnen uitschrijven.
Gebruikt jouw webshop niet-functionele cookies, bijvoorbeeld voor remarketing? Dan moet je daarvoor een cookiemelding tonen en in een cookieverklaring uitleggen waarvoor de cookies gebruikt worden. Een voorbeeld vind je op de website van ICTRecht.
De technische beveiliging van jouw webshop moet goed zijn. De regels onder Privacy by design gaan hierover. Een essentieel onderdeel hiervan is een SSL certificaat. Hiermee worden alle gegevens versleuteld verstuurd. Het is al jaren zo dat zoekmachines en browsers de voorkeur geven aan webshops die met HTTPS beveiligd zijn ten opzichte van het onveilige HTTP. Draait jouw webshop nog zonder SSL certificaat? Dan is het nu de hoogste tijd om dit te regelen.
De persoon of organisatie die persoonsgegevens verwerkt voor de verantwoordelijke. In dit geval is Logic4 B.V. de verwerker voor jouw organisatie. De verwerker is niet verantwoordelijk voor de persoonsgegevens, maar wel voor beveiliging en geheimhouding.
Officieel is jouw organisatie als verwerkingsverantwoordelijke diegene die moet zorgen dat jij aan alle nieuwe regels van de AVG voldoet. Wel moet Logic4 – als jouw verwerker – helpen om aan die verplichtingen (zoals beveiliging, meldplicht datalekken en uitvoeren DPIA) te kunnen voldoen en meewerken aan eventuele verzoeken van de Autoriteit Persoonsgegevens. Maar omdat onze klanten allemaal met dezelfde privacyvraagstukken zitten, en het niet mogelijk is om iedereen direct invloed te laten uitoefenen op heel specifieke privacy-instellingen van de software, nemen wij een deel van de maatregelen op ons. Dit doen we in samenwerking met Nederland ICT, de grootste belangenvereniging voor bedrijven in de ICT sector.
De verwerker (Logic4) handelt in opdracht van jou als verwerkingsverantwoordelijke. De afspraken leggen we vast in een verwerkersovereenkomst. Deze bevat onder andere:
De verwerkersovereenkomst van Logic4 is gedeponeerd bij de Kamer van Koophandel te Enschede. Het document is te vinden op de pagina met algemene voorwaarden onder de naam ‘Aanvullende algemene voorwaarden Logic4 BV’. Deze zijn ingegaan per 8 mei 2018 en gelden voor alle huidige en nieuwe klanten van Logic4. Hierover is begin mei 2018 per e-mail gecommuniceerd naar al onze klanten.
De software en servers zijn bij Logic4 standaard heel goed beveiligd. Mocht vanuit een assessment van Nederland ICT blijken dat er wel extra maatregelen nodig zijn om te voldoen aan de AVG, dan zorgen we er uiteraard voor dat dit ruim binnen de deadline gerealiseerd is.
Wij documenteren voor welke organisaties wij een verwerkingsopdracht uitvoeren. Daarnaast moeten wij als verwerker ook een register van verwerkingsactiviteiten bijhouden. Deze is beknopter dan het register van verwerkingsactiviteiten dat jij als verantwoordelijke moet bijhouden. Op aanvraag van de Autoriteit Persoonsgegevens geven wij inzicht in dit register.
Logic4 heeft op haar beurt weer overeenkomsten met andere partijen, bijvoorbeeld datacenters voor de hosting van onze software. De afspraken met deze subverwerkers worden ook vastgelegd.
Dit punt is een gedeelde verantwoordelijkheid van jouw organisatie en Logic4. Aan deze maatregelen zijn echter geen harde eisen gekoppeld in de AVG wettekst. Privacy by default houdt in dat je standaard de meest privacy-vriendelijke optie gebruikt bij de verwerking van persoonsgegevens. Bijvoorbeeld door in formulieren op de webshop alleen informatie te vragen die echt nodig is. Of door het vakje ‘aanmelden voor de nieuwsbrief’ niet vooraf aan te vinken. Hierbij kunnen wij ondersteunen door in de software bepaalde default instellingen aan te passen volgens de nieuwe regels. Privacy by design heeft betrekking op het uitwerken van nieuwe producten, diensten of features. Dit moet altijd gedaan worden met de AVG-regels in gedachten. Bij de doorontwikkeling van Logic4 bedrijfssoftware en webshop software zullen we steeds rekening houden met de rechten en plichten rondom privacy.
N.B.: Wij hebben ons best gedaan om ons zo goed mogelijk te verdiepen in de nieuwe wetgeving en de regels zo helder mogelijk aan jou uit te leggen. Desondanks kan het zijn dat er onverhoopt toch onjuiste of onvolledige informatie in dit artikel is geslopen. Zie je iets dat niet klopt of niet duidelijk is? Laat het ons weten!
Blijf altijd op de hoogte van ons laatste nieuws!