De informatie uit dit artikel komt van de website van de Autoriteit Persoonsgegevens (de handhaver van de AVG-wet in Nederland) en uit de "Handleiding Algemene Verordening Gegevensbeschermingen" uitgegeven door het Ministerie van Justitie en Veiligheid en is via de bovenstaande link te downloaden.
Onder het motto "Leuker kunnen we het niet maken, wel makkelijker" hebben we onderstaande informatie voor je verzameld die je helpt om de juiste keuzes te maken in stap 01 t/m 06 van ons stappenplan. Lees dus eerst onderstaande informatie volledig door, helemaal onderaan vind je de links naar de 6 stappen.
Voor GraagGoedOnline.nl klanten:
Jouw keuze voor “De gevolgen voor je site/shop en je bezoekers/klanten”
Wanneer je in het keuzeformulier hebt gekozen voor "LATEN DOEN" dien je ook onderstaande informatie door te nemen zodat je ons inzicht kunt geven in jouw offline gegevensverwerking (dit zijn persoonsgegevens die je verwerkt op papier of via softwarepakketten zoals een CRM systeem of boekhoudpakket). Dit moet namelijk volgens de AVG-wet ook zijn verwerkt in je privacyverklaring, zo voldoet je privacyverklaring helemaal aan de AVG-wet.
Wanneer je hebt gekozen voor "LATEN DOEN" kun je na het lezen van de informatie in dit artikel onderaan direct doorklikken naar "Stap 06 Privacyverklaring - Je site of shop AVG-compliant maken".
Is de AVG-wet op jou van toepassing? Verwerk je persoonsgegevens?
Ga via onderstaand stroomschema na of de AVG-wet op jou situatie van toepassing is. Je zult zien dat dit bijna altijd het geval is omdat de naam van je klant, werknemer of website bezoeker al een persoonsgegeven is.
Ben je een verwerkingsverantwoordelijke of verwerker?
In de relatie klant (jij) < - > GraagGoedOnline.nl (leverancier van je website/shop) is de klant, ben jij, de "1) verwerkingsverantwoordelijke" en GraagGoedOnline.nl de
"2) verwerker." Jouw klant, medewerker of website/webshop bezoeker is de
"4) betrokkene" (degene wiens persoonsgegevens het betreft). Wij schakelen als jouw verwerker ook leveranciers in, dit noemt de AVG-wet een "3) sub-verwerker".
Nog even op volgorde:
Verwerkingsverantwoordelijke (jij)
↑ tussen deze partijen moet een verwerkersovereenkomst worden gesloten ↓
Deze overeenkomst regelen wij voor je (klik hier).Verwerker (GraagGoedOnline.nl is voor jouw website/shop de verwerker)
↑ tussen deze partijen moet een verwerkersovereenkomst worden gesloten ↓
Deze overeenkomst sluiten wij of hebben we al gesloten met onze sub-verwerkers.Sub-verwerkers (leveranciers van GraagGoedOnline.nl)
Betrokkenen (jouw klanten, website bezoekers of werknemers)
Nu ken je de vier rollen die de AVG-wet omschrijft, deze zul je nog vaker horen ;-). Aan de hand van onderstaand schema kun je bovenstaande toetsen.
Welke uitvoeringswet is van toepassing?
Het onderstaande schema laat voor veelvoorkomende situaties zien welke uitvoeringswetgeving van toepassing is (de Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming of de uitvoeringswetgeving van een andere lidstaat). Houd er bij het gebruik van dit schema rekening mee dat jouw situatie er misschien niet bijstaat en dat voor de keuze van het toepasselijke recht ook de keuzes in de uitvoeringswetgeving van de andere lidstaten van belang zijn.
Is je gegevensverwerking rechtmatig?
Als GraagGoedOnline.nl klant kunnen we je vast geruststellen; jouw/onze gegevensverwerkingen zijn in 99% van de gevallen via jouw website/webshop rechtmatig en sommige worden gedeeld met onze leveranciers (sub-verwerkers) die zich o.a. in Amerika bevinden. Zij vallen onder het EU-VS privacyschild waardoor de ook deze gegevensverwerkingen rechtmatig zijn.
4 redenen om 'gewone' persoonsgegevens te mogen verwerken
Persoonsgegevens rechtmatig verwerken mag op basis van een 'grondslag'. Er zijn 6 grondslagen waarop je 'gewone' persoonsgegevens mag verwerken. Hiervan zijn er 4 interessant voor 'gewone' ondernemingen van GraagGoedOnline.nl klanten. We lichten deze hieronder toe.
Grondslag 1: toestemming
Bijvoorbeeld voor een contactformulier op je website heb je GEEN toestemming nodig voor het verwerken van de persoonsgegevens. De toestemming volgt namelijk al uit de aard oftewel het doel van het formulier. Dit betekent dat het doel per webformulier helder moet zijn, denk aan "inschrijven nieuwsbrief", "solliciteren" of "offerte aanvragen".
Maar wanneer je een ander doel toevoegt dan dien je hier expliciet toestemming voor te vragen via een niet-aangevinkte-checkbox. Dit is bijvoorbeeld het geval wanneer je in je contact-, sollicitatie- of offerte formulier ook het gevraagde e-mailadres wilt gebruiken om de bezoeker in te schrijven voor je nieuwsbrief. Dit is dus niet het geval wanneer het een nieuwsbrief inschrijf formulier betreft ;-).
Goed om te weten is dat wanneer iemand klant is je wel aanbiedingen van vergelijkbare producten of diensten of tips over de afgenomen producten of diensten mag sturen (direct-marketing) zolang men zich maar kan afmelden hiervoor. Dit valt onder grondslag 4: "gerechtvaardigd belang".
Dit is de letterlijke omschrijving van website van de Autoriteit Persoonsgegevens om aan de grondslag 'toestemming' te voldoen:
Rechtsgeldige toestemming voldoet aan de volgende eisen:
Vrijelijk gegeven: u mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren.
Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. U mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.
Geïnformeerd: u moet mensen informeren over:1) de identiteit van u als organisatie;2) het doel van elke verwerking waarvoor u toestemming vraagt;3) welke persoonsgegevens u verzamelt en gebruikt;4) het recht dat zij hebben om de toestemming weer in te trekken. U moet de informatie in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat u duidelijke en eenvoudige taal moet gebruiken.
Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien u als organisatie bij de verwerking meerdere doeleinden heeft, dient u de betrokkene hierover te informeren en betrokkene voor elk doel afzonderlijk toestemming te vragen. Het doel mag niet gaandeweg veranderen.
Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.
U moet kunnen aantonen dat u geldige toestemming heeft verkregen.
Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. U mag de persoonsgegevens dan niet verwerken.
Toestemming bij kinderen
De AVG geeft kinderen jonger dan 16 jaar extra bescherming. Want kinderen kunnen de risico’s van een gegevensverwerking niet of minder goed inschatten. Daarom moeten zij toestemming hebben van de persoon die de ouderlijke verantwoordelijkheid draagt.
Verantwoordingsplicht
Wilt u zich baseren op de grondslag toestemming? Zorg er dan voor dat u kunt aantonen dat u die toestemming op de juiste manier heeft gevraagd en gekregen. Onder de AVG heeft u namelijk een verantwoordingsplicht.
Grondslag 2: uitvoering van de overeenkomst
Bijvoorbeeld voor het verkopen van je webshop producten met bijhorend bestelproces en webformlier(en). Je moet dan de adresgegevens verwerken voor de verzending en het e-mailadres voor de communicatie over de bestelling. Je mag na de bestelling geen algemene nieuwsbrieven sturen (maar wel aanbiedingen van vergelijkbare producten of diensten of tips over de afgenomen producten of diensten zolang men zich maar kan afmelden) of het koopgedrag analyseren zonder toestemming van deze persoon. Wil je dit wel doen dan kun je het beste direct bij het plaatsen van de bestelling om toestemming hiervoor vragen (zie grondslag 1).
Dit is de letterlijke omschrijving van website van de Autoriteit Persoonsgegevens om aan de grondslag 'uitvoering van de overeenkomst' te voldoen:
U mag zich op deze grondslag baseren als u een overeenkomst heeft met iemand en hiervoor het verwerken van persoonsgegevens noodzakelijk is. De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben.
Soms heeft u toestemming nodig
Let op dat u geen persoonsgegevens verwerkt die niet noodzakelijk zijn voor de uitvoering daarvan. Doet u dat wel? Dan moet u daarvoor rechtsgeldige toestemming of een andere grondslag hebben.
Voorbeeld: als u online een product verkoopt, moet u adresgegevens verwerken om het product bij iemand te kunnen bezorgen. Wilt u de persoonsgegevens daarnaast ook nog gebruiken om het koopgedrag van iemand te analyseren? Dan moet u hiervoor rechtsgeldige toestemming hebben van de betrokken persoon.
Verantwoordingsplicht
Zijn de persoonsgegevens echt noodzakelijk voor de naleving van de overeenkomst met ieder betrokken individu? Zorg ervoor dat u goed kunt onderbouwen dat u zich op deze grondslag mag baseren. Onder de AVG heeft u namelijk een verantwoordingsplicht.
Grondslag 3: wettelijke verplichting
Het vaakst voorkomende voorbeeld is het maken en 7 jaar bewaren van een factuur.
Dit is de letterlijke omschrijving van website van de Autoriteit Persoonsgegevens om aan de grondslag 'wettelijke verplichting' te voldoen:
Noodzakelijkheid
Wilt u zich op deze grondslag baseren? Dan moet de verwerking van de persoonsgegevens noodzakelijk zijn om aan een wettelijke verplichting te voldoen. Bijvoorbeeld: u heeft een bevel van de politie om bepaalde persoonsgegevens aan hen te verstrekken. Of: u verstrekt gegevens voor de uitvoering van de belastingwet.
Het hoeft niet expliciet in de wet te staan dat u voor de uitvoering van een specifieke taak persoonsgegevens moet verwerken. Soms is de verplichting in de wet namelijk ruimer geformuleerd. Het is dan aan u om te bepalen of het verwerken van persoonsgegevens noodzakelijk is om aan uw verplichting te voldoen.
Verantwoordingsplicht
Zijn de persoonsgegevens echt noodzakelijk voor het nakomen van een wettelijke verplichting? Zorg ervoor dat u goed kunt onderbouwen dat u zich op deze grondslag mag baseren. Onder de AVG heeft u namelijk een verantwoordingsplicht.
Grondslag 4: gerechtvaardigd belang
Je hebt een gerechtvaardigd belang wanneer de verwerking binnen een klantrelatie plaatsvindt, wanneer je persoonsgegevens verwerkt voor direct-marketingdoeleinden (je mag dan aanbiedingen van vergelijkbare producten of diensten of tips over de afgenomen producten of diensten versturen zolang men zich maar kan afmelden), om fraude te voorkomen of om de netwerk- en informatiebeveiliging van je IT-systemen te waarborgen.
Dit is de letterlijke omschrijving van website van de Autoriteit Persoonsgegevens om aan de grondslag 'gerechtvaardigd belang' te voldoen:
U kunt zich op deze grondslag baseren als u aan drie voorwaarden voldoet: (1) u heeft een gerechtvaardigd belang, (2) de verwerking is noodzakelijk om dit gerechtvaardigde belang te behartigen en (3) u heeft een afweging gemaakt tussen uw belangen en die van de personen van wie u persoonsgegevens verwerkt.
1. Gerechtvaardigd belang
Ten eerste moet het gaan om een gerechtvaardigd belang. Dit belang moet rechtmatig, voldoende duidelijk verwoord en ook echt aanwezig zijn. Dat is zo wanneer een verwerking aantoonbaar noodzakelijk is om uw bedrijfsactiviteiten te verrichten. Bijvoorbeeld het voeren van een personeelsadministratie.
2. Noodzakelijkheid
Ten tweede moet de verwerking van de persoonsgegevens noodzakelijk zijn voor de behartiging van het gerechtvaardigde belang. U moet de verwerking daarom toetsen aan de eisen van (1) proportionaliteit en (2) subsidiariteit.
Dat betekent dat u moet nagaan of (1) het doel van de verwerking in verhouding staat tot de inbreuk voor de personen van wie u persoonsgegevens verwerkt en (2) of u het doel niet op een voor de betrokken personen minder nadelige manier kan bereiken.
3. Afweging belangen
Ten derde moet u een afweging maken tussen uw belangen en de belangen van de personen van wie u persoonsgegevens verwerkt. Ook moet u hierbij eventueel maatregelen treffen om ervoor te zorgen dat de rechten en vrijheden van deze personen niet zwaarder wegen dan uw gerechtvaardigd belang.
Dit betekent onder meer dat u de gegevens niet langer mag bewaren dan nodig is voor het doel van de verwerking. Gaat het bijvoorbeeld om de verwerking van persoonsgegevens van kinderen, dus jonger dan 16 jaar? Dan weegt uw gerechtvaardigd belang minder snel op tegen hun rechten en vrijheden.
Verantwoordingsplicht
Zijn de persoonsgegevens echt noodzakelijk voor de behartiging van uw gerechtvaardigd belang? Zorg ervoor dat u goed kunt onderbouwen dat u zich op deze grondslag mag baseren. Onder de AVG heeft u namelijk een verantwoordingsplicht.
Verantwoordingsplicht
Je hebt nu 4 keer de kop 'Verantwoordingsplicht' gezien. We leggen hier uit waarom we je daar niet (verder) mee kunnen helpen maar willen je er wel op wijzen dat dit belangrijk is.
Dit staat hierover op website van de Autoriteit Persoonsgegevens:
U bent verplicht verantwoording af te leggen over uw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens daar om vraagt. Zorg daarom dat u aan uw verantwoordingsplicht voldoet vanaf 25 mei 2018. Vanaf dan geldt de AVG.
Schema: is je gegevensverwerking rechtmatig?
Wanneer moet je de betrokkene informeren over een verwerking van persoonsgegevens?
De betrokkene is degene wiens persoonsgegevens je verwerkt. In het geval van je website of webshop is dat de bezoeker of een bestaande klant.
Voor GraagGoedOnline.nl klanten betekent dit dat bij webformulieren en eventueel bij tracking cookies informatie moet worden gegeven of zelfs toestemming (grondslag 1 "Toestemming") moet worden gevraagd.
In onderstaand schema ga je na of er een informatieplicht geldt voor jouw verwerking(en) van persoonsgegevens. Heb je ons keuzeformulier ingevuld? Dan helpen wij je met "De gevolgen voor je site/shop en je bezoekers/klanten". Hierover lees je alles in de 6 stappen (01 t/m 06) van het stappenplan.
Checklist 1: Wat zijn de plichten van de verwerkingsverantwoordelijke?
Op grond van de Verordening moet elke verwerking van persoonsgegevens voldoen aan de volgende beginselen (we houden hier uiteraard ook rekening mee als jouw verwerker, dit vind je terug in onze verwerkersovereenkomst):
de verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn (“rechtmatigheid, behoorlijkheid en transparantie”);
de verwerking moet gebonden zijn aan specifieke verzameldoelen (“doelbinding”);
de persoonsgegevens moeten toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is (“minimale gegevensverwerking”);
de gegevens moeten juist zijn (“juistheid”);
de gegevens mogen niet langer worden bewaard dan nodig (“opslagbeperking”);
gegevens moeten goed beveiligd zijn en vertrouwelijk blijven (“integriteit en vertrouwelijkheid”).
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van deze beginselen en moet ook kunnen aantonen dat een verwerking van persoonsgegevens aan deze beginselen voldoet (de verantwoordingsplicht). Concreet dient de verwerkingsverantwoordelijke hiertoe:
een register van verwerkingsactiviteiten bij te houden (de registerplicht);
onder bepaalde omstandigheden een functionaris voor gegevensbescherming aan te stellen;
voorafgaand aan risicovolle verwerkingsactiviteiten een gegevensbeschermingseffectbeoordeling uit te
voeren;de Autoriteit Persoonsgegevens onder bepaalde omstandigheden voorafgaand aan een nieuwe risicovolle
verwerkingsactiviteit te raadplegen (voorafgaande raadpleging);bij het inrichten van verwerkingen rekening te houden met het principe van privacy door ontwerp en
standaardinstellingen (privacy by design & default);passende beveiligingsmaatregelen te treffen met het oog op de bescherming van persoonsgegevens;
in het geval van een datalek melding te doen bij de Autoriteit Persoonsgegevens en onder bepaalde
omstandigheden ook bij de betrokkenen;afspraken te maken met verwerkers (een verwerkersovereenkomst);
medewerking te verlenen aan de Autoriteit Persoonsgegevens.
Tenslotte dient de verwerkingsverantwoordelijke de rechten van de betrokkenen te respecteren en in te vullen (zie Checklist 3 en Hoofdstuk 7 uit de Handleiding Algemene Verordening Gegevensbeschermingen). Hier gaan we verder op in bij Stap 03 Rechten van je bezoekers en klanten en Stap 06 Privacyverklaring.
Checklist 2: Wat zijn de plichten van de verwerker?
GraagGoedOnline.nl is jouw verwerker als het gaat om je website of webshop. De belangrijkste plichten op grond van de Verordening voor de verwerker zijn:
de verwerker mag alleen handelen in opdracht van de verwerkingsverantwoordelijke;
de verwerker wordt verplicht een overzicht bij te houden van alle categorieën persoonsgegevens die hij verwerkt in opdracht van de verwerkingsverantwoordelijke (registerplicht);
de verwerker moet passende technische en organisatorische beveiligingsmaatregelen nemen die een passend beschermingsniveau bieden met het oog op het risico van de gegevensverwerking voor
betrokkenen;de verwerker mag geen sub-verwerkers inschakelen zonder toestemming van de
verwerkingsverantwoordelijke;de verwerker moet de verwerkingsverantwoordelijke onverwijld op de hoogte stellen van een datalek;
de verwerker is verplicht medewerking te verlenen bij een verzoek van de toezichthouder (Autoriteit Persoonsgegevens) in het kader van de uitoefening van diens taken;
de verwerker dient in bepaalde gevallen een functionaris voor gegevensbescherming aan te stellen.
Stappenplan
In 6 stappen geven we per stap relevante achtergrondinformatie om vervolgens onderaan ieder artikel oftewel stap de acties te begrijpen en uit te (laten) voeren.
Wanneer je als GraagGoedOnline.nl klant in ons keuzeformulier hebt gekozen voor "LATEN DOEN" kun je direct doorklikken naar Stap 06 Privacyverklaring - Je site of shop AVG-compliant maken.
Disclaimer: de inhoud van dit artikel dient enkel ter informatie en niet als juridisch advies.