De AVG en jouw website: Persoonsgegevens bewaren

Deel 1: Persoonsgegevens bewaren

• Intro
• Persoonsgegevens bewaren en de grondslag hiervan

Deel 2: Verwerkers overeenkomsten en direct mailing

• Verwerkers- en verwerkersverantwoordelijke &+ verwerkersovereenkomst
• (Bestaande) klanten benaderen en mailingen (deel 1)

Deel 3: Direct mailing en portretrecht

• (Bestaande) klanten benaderen en mailingen (deel 2)
• Gebruik van foto's en video's (persoonsgegevens)

Vanaf 25 mei 2018 heeft elke ondernemer in Europa zich te houden aan de nieuwe wetgeving, met als doel: meer controle, meer rechten voor betrokkenen en bescherming tegen (cyber)dreiging. Om te zorgen dat de nieuwe wetgeving wordt nageleefd, wordt gedreigd met boetes. En deze boetes zijn niet mals. Hoewel het niet direct zo'n vaart zal lopen, is dit wel hét moment om voor jezelf na te gaan hoe jij met persoonsgegevens omgaat en welke stappen je moet ondernemen indien je te maken krijgt met een datalek.

Persoonsgegevens bewaren & de grondslag

Grondslag, een woord dat je m.b.t. de AVG bijna iets te vaak hoort. De grondslag - reden om dingen te doen en/of bewaren - is dan ook binnen de AVG en alles daaromheen een belangrijk ding. Indien je gegevens bewaart, kies je op voorhand de grondslag voor het verzamelen/opslaan van deze gegevens. Een grondslag kan bijvoorbeeld zijn: toestemming, uitvoering van een overeenkomst, wettelijke verplichting of doelbinding (voor marketingdoeleinden).

Laat ik dit hoofdstuk - proberen - te vereenvoudigen met een simpel voorbeeld. Stel, je hebt een contactformulier op je website of in je webwinkel. Dit formulier bestaat uit een aantal velden. Naam, adres, telefoonnummer, e-mailadres en interesses. Oh ja. Je kunt ook nog je vraag of opmerking kwijt in een tekstveld.

Een prima formulier, zo lijkt het. Toch zit hier een kleine ‘maar’ aan. Immers; wat is de grondslag van al deze velden? Heb je wel een adres nodig? Je kunt ook contact opnemen via een telefoonnummer of via het e-mailadres. En wat moet je met de interesses van die persoon? Heb je daar geen gegronde reden voor, dan mag je ze niet meer vragen. Zo simpel is het. Belangrijk hierbij is het BSN (burgerservicenummer), deze mag je namelijk alleen opvragen/ bewaren indien hier een wettelijke grondslag voor is (dus niet d.m.v. toestemming). Heb je die niet, dan mag je deze niet meer verwerken.

En dan?

We gaan een stapje verder. Je hebt ondertussen een e-mail ontvangen of op een andere manier contact (en dus persoons)gegevens van iemand ontvangen. Het maakt eigenlijk niet uit hoe je deze gegevens hebt ontvangen en waar je ze vanaf nu bewaart. Misschien staan ze wel in je mailbox, of in een CRM of schrijf je het op en bewaar je het in een map. Het is van belang dat je vanaf nu precies weet wat je ermee doet.

Je hebt namelijk van die persoon(sgegevens) een logboek nodig. Wanneer heb je de gegevens ontvangen? Zijn er gaandeweg dingen aan gewijzigd? Zo ja, wat? Waarom? En hoe lang bewaar je de gegevens? Je mag ze namelijk - als daar geen grondslag voor is - niet oneindig bewaren. Wist je bijvoorbeeld dat je gegevens van een sollicitant na vier weken volledig moet verwijderen, mits je een grondslag hebt om dat niet te doen?

Los van het gegeven wat je met de gegevens doet, waar je ze hebt opgeslagen en wanneer je ze verwijdert, is het ook van belang dat je de gegevens goed beveiligt. Wat doe je om de gegevens zo veilig mogelijk te bewaren? En wat doe je niet? Stel dat de gegevens via jou wel op straat komen, wat doe je dan? Je hebt vanaf 25 mei 2018 een meldingsplicht voor lekken en incidenten. Handig om je daar ook in te verdiepen.

Nogmaals. Bovenstaande is niet alleen voor websites, maar dit geldt voor iedere ondernemer.