profile image

Rick de Jong

Strategie

September 20, 2018 09:40

De AVG en jouw website: Persoonsgegevens bewaren

Voldoe aan de AVG / GDPR

Afgelopen maanden is er genoeg gezegd over de AVG en is de AVG / GDPR (Algemene verordening gegevensbescherming) veelvuldig in het nieuws geweest. Ook wij - vanuit Tussendoor en TOV - hebben de nodige trainingen en kennissessies bijgewoond. Ik neem je dan ook graag mee in een aantal punten die wat ons betreft noemenswaardig zijn.

Deze punten behandel ik in een serie nieuws- en/of blogberichten met waardevolle informatie. De serie bestaat uit drie delen, waarin de volgende onderwerpen zullen worden behandeld:

Zoekwoorden bepalen

Deel 1: Persoonsgegevens bewaren

  • Intro
  • Persoonsgegevens bewaren en de grondslag hiervan

Deel 2: Verwerkers overeenkomsten en direct mailing

  • Verwerkers- en verwerkersverantwoordelijke &+ verwerkersovereenkomst
  • (Bestaande) klanten benaderen en mailingen (deel 1)

Deel 3: Direct mailing en portretrecht

  • (Bestaande) klanten benaderen en mailingen (deel 2)
  • Gebruik van foto's en video's (persoonsgegevens)

 

 

 

Is dat dan alles wat de AVG inhoudt? Nee. Dat is het zeker niet! De AVG is (veel) meer dan dit, maar dit zijn in mijn ogen - naast de privacy verklaringen, cookies, SSL certificaten e.d. - waar ik eerder over schreef, voor jou het meest van belang in verhouding tot onze samenwerking.

Intro

Een open deur, maar al het onderstaande gaat over de AVG. Mocht je je al enigszins verdiept hebben in de AVG, dan zul je ook weten dat dit niet helemaal nieuw is. Eigenlijk bestaat de AVG al een aantal jaar, alleen de boetes die men vanuit de Autoriteit Persoonsgegevens op kan gaan leggen is nieuw en geldt vanaf 25 mei 2018. Wat dat aangaat zou je de richtlijnen van de AVG en mijn blogs dus ook al moeten volgen.

Houd er daarbij rekening mee dat wij de informatie die we delen, hebben verkregen via diverse AVG / GDPR consults en dus zelf geen AVG specialist en/of consultant zijn. Heb je specifieke vragen, raadpleeg dan een specialist! Los daarvan is het altijd verstandig om over diverse onderwerpen - die voor jou van belang zijn - meer informatie op te zoeken. Er is op Google / YouTube veel nuttige informatie te vinden.

Ook hoor ik wel eens; 'ik ben maar een eenmanszaak' of 'ik doe niet heel veel met mijn website, dan is het toch niet zo belangrijk?' Die vlieger gaat gelukkig niet op. De AVG geldt voor iedereen. Klein en groot, on- en offline. Immers; wie verwerkt nou geen gegevens van klanten?

Gewijzigde spelregels

Vanaf 25 mei 2018 heeft elke ondernemer in Europa zich te houden aan de nieuwe wetgeving, met als doel: meer controle, meer rechten voor betrokkenen en bescherming tegen (cyber)dreiging. Om te zorgen dat de nieuwe wetgeving wordt nageleefd, wordt gedreigd met boetes. En deze boetes zijn niet mals. Hoewel het niet direct zo'n vaart zal lopen, is dit wel hét moment om voor jezelf na te gaan hoe jij met persoonsgegevens omgaat en welke stappen je moet ondernemen indien je te maken krijgt met een datalek.

Persoonsgegevens bewaren & de grondslag

Grondslag, een woord dat je m.b.t. de AVG bijna iets te vaak hoort. De grondslag - reden om dingen te doen en/of bewaren - is dan ook binnen de AVG en alles daaromheen een belangrijk ding. Indien je gegevens bewaart, kies je op voorhand de grondslag voor het verzamelen/opslaan van deze gegevens. Een grondslag kan bijvoorbeeld zijn: toestemming, uitvoering van een overeenkomst, wettelijke verplichting of doelbinding (voor marketingdoeleinden).

Laat ik dit hoofdstuk - proberen - te vereenvoudigen met een simpel voorbeeld. Stel, je hebt een contactformulier op je website of in je webwinkel. Dit formulier bestaat uit een aantal velden. Naam, adres, telefoonnummer, e-mailadres en interesses. Oh ja. Je kunt ook nog je vraag of opmerking kwijt in een tekstveld.

Een prima formulier, zo lijkt het. Toch zit hier een kleine ‘maar’ aan. Immers; wat is de grondslag van al deze velden? Heb je wel een adres nodig? Je kunt ook contact opnemen via een telefoonnummer of via het e-mailadres. En wat moet je met de interesses van die persoon? Heb je daar geen gegronde reden voor, dan mag je ze niet meer vragen. Zo simpel is het. Belangrijk hierbij is het BSN (burgerservicenummer), deze mag je namelijk alleen opvragen/ bewaren indien hier een wettelijke grondslag voor is (dus niet d.m.v. toestemming). Heb je die niet, dan mag je deze niet meer verwerken.

En dan?

We gaan een stapje verder. Je hebt ondertussen een e-mail ontvangen of op een andere manier contact (en dus persoons)gegevens van iemand ontvangen. Het maakt eigenlijk niet uit hoe je deze gegevens hebt ontvangen en waar je ze vanaf nu bewaart. Misschien staan ze wel in je mailbox, of in een CRM of schrijf je het op en bewaar je het in een map. Het is van belang dat je vanaf nu precies weet wat je ermee doet.

Je hebt namelijk van die persoon(sgegevens) een logboek nodig. Wanneer heb je de gegevens ontvangen? Zijn er gaandeweg dingen aan gewijzigd? Zo ja, wat? Waarom? En hoe lang bewaar je de gegevens? Je mag ze namelijk - als daar geen grondslag voor is - niet oneindig bewaren. Wist je bijvoorbeeld dat je gegevens van een sollicitant na vier weken volledig moet verwijderen, mits je een grondslag hebt om dat niet te doen?

Los van het gegeven wat je met de gegevens doet, waar je ze hebt opgeslagen en wanneer je ze verwijdert, is het ook van belang dat je de gegevens goed beveiligt. Wat doe je om de gegevens zo veilig mogelijk te bewaren? En wat doe je niet? Stel dat de gegevens via jou wel op straat komen, wat doe je dan? Je hebt vanaf 25 mei 2018 een meldingsplicht voor lekken en incidenten. Handig om je daar ook in te verdiepen.

Nogmaals. Bovenstaande is niet alleen voor websites, maar dit geldt voor iedere ondernemer.