AVG Checklist voor het MKB

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). Heb jij als MKB-ondernemer al actie ondernomen om aan deze privacywetgeving te voldoen?

Deze AVG checklist benoemt best-practises waar jij als mkb-ondernemer rekening mee moet houden. We proberen zo kort en praktisch mogelijk uitleg te geven. Houd er rekening mee dat je met het opvolgen van deze best-practises niet automatisch AVG-proof bent. Dit artikel is geschreven om je te informeren over de nieuwe privacywetgeving vanuit onze technische achtergrond. Wij kunnen niet instaan voor eventuele juridische gevolgen. Zeker weten of je AVG-proof bent, neem dan contact op met een juridisch specialist.

#1 Privacy Policy

Als midden- of kleinbedrijf lever je goederen en/of diensten aan klanten.
Hiervoor heb je persoonsgegevens nodig en vanaf 25 mei 2018 ben je verplicht om aan te geven wat je met deze gegevens doet. Hiervoor moet je zorgen dat je privacy policy volledig up-to-date is en voldoet aan de nieuwe privacywetgeving (de AVG).

De privacyverklaring is ook te gebruiken voor persoonsgegevens die je offline verzamelt.
Bijvoorbeeld persoonsgegevens die je via de telefoon of schriftelijk verwerkt.

Privacy Policy Generator

Stap 1: Ga naar https://veiliginternetten.nl/privacyverklaring-generator-start/start/ . Met deze privacy policy generator beantwoord je stapsgewijs de meest belangrijke vragen en kun je een privacyverklaring genereren. Let op: je zult later zelf nog een cookie policy moeten toevoegen.

Alleen voor Positie1 klanten

Stap 2: Stuur de privacyverklaring naar Positie1. Wij zullen de privacyverklaring door nemen en in een aantal gevallen moet de privacyverklaring nog worden aangevuld. Denk hierbij aan welke cookies jouw website gebruikt en de grondslagen voor verwerking van persoonsgegevens.

#2 Verwerkersovereenkomst

Als midden- of kleinbedrijf lever je goederen en/of diensten aan klanten. Om dit te kunnen doen heb jij ook leveranciers nodig. Het is zaak om met deze leveranciers een overeenkomst af te sluiten. Hierbij sluit je een overeenkomst af met ons, maar zal je ook een overeenkomst moeten afsluiten met de websitebouwer, accountant, hostingpartij, loonverwerkers organisatie, boekhoudsysteem of nieuwsbriefsysteem.

Verwerkingsovereenkomst downloaden

#3 Verwerkersregister

Breng in kaart wat je verzamelt en waarom. Dit zet je in een zogenaamd verwerkingsregister. Net als bij je uren- of rittenregistratie zijn er regels voor wat je moet kunnen aantonen. De onderstaande informatie moet je in het verwerkingsregister plaatsen:

  • Welke gegevens verzamel je?
  • Van wie?
  • Wat doe je met de gegevens? Wat is het doel? Bijvoorbeeld: een wekelijkse nieuwsbrief versturen.
  • Hoe heb je toestemming gevraagd? Waar is dat terug te vinden?
  • Hoe lang bewaar je gegevens?

Je kan een voorbeeld vinden van een verwerkingsregister op ictrecht.nl.

Gegevens per klant niet nodig in verwerkingsregister

Je hoeft hier niet alle gegevens per klant in te verwerken. Het gaat om een overzicht van jouw databases en de datastroom. Wat verzamel je, waarom, waar en hoe lang? En met wie deel je het en waarom? Jij, je klant en de AP (Autoriteit Persoonsgegevens) moeten snel inzicht kunnen krijgen waar wat staat en hoe je erbij kunt (ook om gegevens te verwijderen).

#4 Cookie Policy

Een cookie is een klein tekstbestand dat bij het eerste bezoek aan je website wordt opgeslagen in de browser van de bezoekers zijn/haar computer, tablet of smartphone. Er zijn verschillende soorten cookies welke te verdelen zijn in;

    • Functionele cookies; Deze zorgen ervoor dat de website naar behoren werkt en dat bijvoorbeeld de voorkeursinstellingen onthouden worden. Deze cookies worden ook gebruikt om de website goed te laten werken en deze te kunnen optimaliseren.
    • Analytische cookies; Deze cookies verzamelen data die gebruikt kunnen worden voor het analyseren van bezoekersgedrag; verbeteren van je website.
    • Marketing cookies; Deze cookies worden geplaatst voor marketingdoeleinden.

Wil je meer informatie over cookies, ga dan naar veiliginternetten.nl

Cookie-bar

Maak je voor marketing campagnes gebruik van technieken of cookies waarmee je websitebezoekers volgt? Zoals retargeting of remarketing via AdWords, Facebook LinkedIn? Dan is het verplicht om de websitebezoeker expliciet toestemming te vragen!

Een algemene cookiemelding en 1 knop om alle cookies te accepteren is niet meer genoeg. Je dient via een cookie-bar toestemming te vragen voor het plaatsen van de zogeheten analytische en marketingcookies. Daarnaast moet de website bezoeker de mogelijkheid hebben om geaccepteerde cookies ongedaan te maken.

Zorg dus voor een goede cookieoplossing waarbij dit allemaal mogelijk is. Voorbeelden hiervan zijn Diffuse cookiebar, Cookieinfo.net of ConsentCookie.

#5 Nieuwsbrief

Verstuur je regelmatig nieuwsbrieven naar je e-mailbestand; bestaande uit leads en/of klanten? Dan is het belangrijk om te weten dat je vanaf 25 mei 2018 alleen nog nieuwsbrieven mag versturen wanneer de ontvanger daar expliciet toestemming voor heeft gegeven. Heeft de ontvanger geen toestemming gegeven, dan zal je hier opnieuw toestemming voor moeten vragen of verwijderen uit je e-mailbestand. Transactionele e-mails (facturen, orderbevestigingen e.d.) mag je natuurlijk gewoon blijven versturen.

AVG en Nieuwsbrief in een notendop;

  • Transactionele e-mails mag je (blijven) versturen
  • Nieuwsbriefontvangers die geen toestemming hebben gegeven, verwijderen of toestemming vragen
  • De opt-in moet vrijwillig gegeven zijn door middel van een actieve handeling en mogen geen onderdeel zijn van de algemene voorwaarden.
  • De opt-ins moeten geregistreerd worden. Je moet dus altijd kunnen aantonen hoe je de opt-in hebt verzameld, zodat de rechtsgeldigheid ervan kan worden bewezen.
  • Afmelden (Opt-out) link in de footer van je nieuwsbrief

Voor meer informatie bekijk de privacy policy van jouw e-mailprovider.

#6 Voorkom datalekken

Om te voorkomen dat privacygevoelige gegevens van jouw bedrijf en klantenbestand in verkeerde handen terechtkomen, adviseren we je onderstaande richtlijnen te controleren.

SSL-certificaat

In de AVG wetgeving is het verplicht dat website voorzien zijn van een SSL-certificaat. Door het SSL-certificaat worden vertrouwelijke informatie versleuteld verzonden. De gegevens die op de website worden achtergelaten kunnen hierdoor niet onderschept worden.

Als jouw website voorzien is van het SSL-certificaat komt er in de zoekbalk een hangslotje te staan. Heeft jouw website dit nog niet, dan moet je contact zoeken met de websitebouwer.

Cloudopslagdiensten

Vermijd cloudopslagdiensten buiten de EU. Denk hierbij aan het opslaan van privacygevoelige informatie op dropbox, google drive of versturen van e-mails via Gmail of outlook.

Datalekken melden

Zorg voor een ‘noodplan’ mocht er toch een datalek optreden. In dit noodplan staat beschreven welke stappen er worden doorlopen en welke rollen de medewerkers hebben. Datalekker zijn nooit voor de volle 100% te voorkomen, maar met de juiste maatregelen wordt de kans wel behoorlijk kleiner.

AVG checklist afgerond?

Deze AVG checklist benoemt best-practises waar jij als mkb-ondernemer rekening mee moet houden. We proberen zo kort en praktisch mogelijk uitleg te geven. Houd er rekening mee dat je met het opvolgen van deze best-practises niet automatisch AVG-proof bent. Dit artikel is geschreven om je te informeren over de nieuwe privacywetgeving.

Door de AVG – wetgeving ligt er meer verantwoordelijkheid bij de organisatie. De AVG -wetgeving gaat daarom ook over de hele organisatie en de website is hierbij een onderdeel. Het is belangrijk om zelf te kijken naar de manier van waarop jullie organisatie omgaat met persoonsgegevens. Dit artikel is geschreven om je te informeren over de nieuwe privacywetgeving vanuit onze technische achtergrond. Wij kunnen niet instaan voor eventuele juridische gevolgen. Zeker weten of je AVG-proof bent, neem dan contact op met een juridisch specialist.

Share on facebook
Facebook
Share on linkedin
LinkedIn
Share on twitter
Twitter