De AVG voor websites en webshops

De Algemene Verordening Gegevensbescherming, ook AVG of GDPR genoemd, is een privacywetgeving die op 25 mei 2018 voor praktisch iedere organisatie van toepassing is. De nieuwe wetgeving moet ervoor zorgen dat de persoonsgegevens van consumenten en andere betrokkenen beter wordt beveiligd en de privacy beter wordt gewaarborgd. Daarnaast krijgt deze groep onder andere de volgende rechten:

  • Recht om vergeten te worden – gegevens van de persoon die zich op dit recht beroept moeten uit de database worden verwijderd.
  • Recht op rectificatie en aanvulling – de persoon die zich op dit recht beroept mag de gegevens die worden verwerkt aanpassen en aanvullen.
  • Recht op inzage – de persoon die zich op dit recht beroept mag de gegevens inzien die van hem of haar worden verwerkt.

“ De AVG is een complexe wetgeving, maar in de praktijk is het voor bijvoorbeeld website en webshopeigenaren prima te doen. ”

Maar hóé word ik AVG-compliant?

Om te voldoen aan de AVG is het belangrijk dat je begrijpt wat de bedoeling van de wetgeving is en welke onderdelen binnen je organisatie aangepast of aangevuld moeten worden. Er bestaan tientallen checklists waarop alle onderwerpen worden behandeld en alle eventuele actiepunten die daarbij horen worden toegelicht. Persoonlijk vind ik dat veel van deze checklists de kern missen: wat moet ik nu precies doen? Veel van de onderdelen die worden behandeld in deze checklists zijn namelijk niet voor mij of voor jou van toepassing. Het is heel begrijpelijk dat veel ZZP’ers en kleinere organisaties geen tijd en zin hebben om zich te verdiepen in alle facetten van de AVG. Daarom heb ik dit artikel geschreven.

Is het echt zo complex?

Ja en nee. De AVG is een complexe wetgeving, maar in de praktijk is het voor website en webshopeigenaren prima te doen. Hoe complex de wetgeving voor jou is, hangt heel erg af van de schaal waarop persoonsgegevens binnen je organisatie worden verwerkt. Voor een grote organisatie met meer dan 250 werknemers zijn de eisen om aan de AVG te voldoen heel anders dan voor bijvoorbeeld een website eigenaar die op kleine schaal persoonsgegevens verzamelt. Denk bij de laatste aan een website waarop persoonsgegevens worden verzameld door middel van:

  • Google Analytics
  • Contactformulier (of antwoordformulier)
  • Nieuwsbriefaanmelding

Voor de eerste groep kan de AVG complex zijn en is het vaak nodig om een juridisch expert in te schakelen. Voor de tweede groep zijn veel minder punten uit de wetgeving relevant. Websites en webshops die op kleine schaal persoonsgegevens verzamelen kunnen in 6 stappen voldoen aan de AVG.

Bekijk hier het 6-stappenplan voor kleinere organisaties en zzp-ers om te voldoen aan de AVG

Wat doe ik met gegevens die ik voor de AVG heb verzameld?

Belangrijk om te weten is dat de AVG op 24 mei 2016 al officieel in werking is getreden. De periode tot 25 mei 2018 is een overgangsperiode. Vanaf die dag mag de Autoriteit Persoonsgegevens organisaties die niet voldoen een straf opleggen. Dit betekent dat in principe alle persoonsgegevens die vanaf 24 mei 2016 zijn verzameld niet bewaard mogen worden als deze niet op een bepaalde grondslag zijn verzameld.

Er zijn veel organisaties die de afgelopen jaren bijvoorbeeld door middel van een nieuwsbrief een mailinglijst hebben opgebouwd. Volgens de AVG moeten alle persoonsgegevens op een bepaalde grondslag worden verzameld. Voor een nieuwsbrief geldt eigenlijk altijd de grondslag toestemming: de betrokkene heeft expliciet toestemming gegeven dat zijn emailadres wordt bewaard en enkel wordt gebruikt voor de nieuwsbrief. Als het mailadres na 24 mei 2016 is verkregen en de persoon die het mailadres heeft opgegeven geen expliciete toestemming heeft gegeven, dan mag het mailadres na 25 mei 2018 niet meer worden bewaard.

Kortom: als u dit mailadres wilt bewaren, moet u achteraf om toestemming vragen.

Bekijk hier hoe u het beste mailadressen die eerder zijn verzameld kunt bewaren

Leave a Comment

Your email address will not be published.