AVG/GDPR stappenplan

De nieuwe AVG ofwel de Algemene Verordering gegevensbescherming die per 25 mei in gaat brengt nogal wat teweeg. Het lijkt ingewikkeld en veel tijd te kosten. Maar op zich valt dat mee in de meeste situaties en je zult het maar geregeld hebben. Vandaar dat wij dit stappenplan hebben opgetuigd waarin je precies kunt zien wat je zoal moet regelen.

Bij vetgedrukte stappen 2, 5, 6 en 7 kunnen wij je van dienst zijn. Mocht je dit willen laten uitvoeren dan kan je simpelweg contact met ons opnemen of klik onderin op een van de aanvraag links.

We hebben ook een Online aanvraagformulier gemaakt waar onze klanten gebruik van kunnen maken. Wanneer je die invult weet je direct wat er nog moet gebeuren en kunnen wij direct voor je aan de slag. Om deze in te vullen klik je hier.

Wat moet je zoal doen. De stappen:

Stap 1. Privacyverklaring schrijven
Stap 2. Link naar privacyverklaringpagina
Stap 3. Bewerkers overeenkomsten regelen
Stap 4. Cookie verklaring
Stap 5. Cookie melding
Stap 6. SSL certificaat
Stap 7. Service Level Agreement (SLA) ofwel Onderhouds Overeenkomst
Stap 8. Extra to-do’s

Stap 1 is een Privacyverklaring maken/schrijven.

Lees hieronder wat je privacyverklaring zoal moet bevatten. Er is ondertussen ook een hele handige tool gemaakt die je kan gebruiken om je privacyverklaring te maken deze vind je op de volgende link.

Online je privacyverklaring maken: https://veiliginternetten.nl/privacyverklaring-generator-start/generate/#q1-0-0

Wat moet er in je privacyverklaring staan?

  1. Identiteit
    Je bedrijfsnaam, adresgegevens, contactgegevens zoals deze bekend zijn bij de KvK.
  2. Doeleinden en rechtsgronden voor de verwerking
    Wat is het doel waarvoor de gegevens verstrekt moeten worden? Bijv. t.b.v. marketingdoeleinden of het verzenden van een nieuwsbrief.
  3. Persoonsgegevens
    Welke persoonsgegevens verwerk je?
  4. Duur van de opslag
    Hoe lang bewaar je de gegevens of wat bepaald die duur.
  5. Recht op inzage, rectificatie of wissen van de persoonsgegevens
    Vermeld dit recht aan de betrokkene en laat weten hoe ze dit kunnen doen.
  6. Recht op indienen van een klacht bij de Autoriteit Persoonsgegevens
    Meld dat dit kan en mag.
  7. Beveiligingsmaatregelen
    Welke maatregelen tref je.
  8. Cookies
    Welke cookies worden er gebruikt. Lees bij stap 4. meer hierover.
    .
    De volgende zaken gelden in sommige gevallen
    .
  9. Contactgegevens van ‘de functionaris gegevensbescherming’.
    Alleen als daar sprake van is, of je vermeld je eigen emailadres bijvoorbeeld.
  10. Categorieën van ontvangers van de persoonsgegevens
    Je moet vermelden aan wie de gegevens worden doorgegeven. Bijv. wanneer het bij dienstverleners van SaaS-oplossingen wordt opgeslagen. Denk aan facturatieprogramma’s, boekhoudprogramma’s, betaaldiensten etcetera.
  11. Worden de gegevens aan een ‘derde land’ verstrekt.
    Bijv. wanneer de servers in een ander land staan. Zo ja moet je ook vermelden dat het land adequaat is verklaard. Dit geldt i.i.g. voor alle landen binnen de EU.
  12. Intrekken toestemming.
    Je moet ook vermelden dat de gegeven toestemming weer ingetrokken mag worden.
  13. Geautomatiseerde besluitvorming of profiling
    Wanneer hier sprake van is moet je vermelden waarom dit gedaan wordt en wat de verwachte gevolgen daarvan zijn.
    .
    Wanneer gegevens niet van betrokkene zelf zijn verkregen

    .
  14. Bron waar persoonsgegevens vandaan komen
    Deze moet je dan ook vermelden ook wanneer ze van een openbare bron komen

Stap 2 Link naar privacyverklaring pagina

Maak een link naar je privacyverklaring. Meestal doe je dit in de footer van de site of je plaatst hem in je menu.

Maar je dient ook overal waar gebruikers persoonsgegevens achterlaten (welke ergens worden opgeslagen) op je site dit melden. Dus bij een nieuwsbrief inschrijving, informatieaanvraag etcetera. Een contactformulier die per mail verzonden wordt waar je verder de gegevens niet van gebruikt is voor ons nog niet duidelijk.

Stap 3 Bewerkersovereenkomsten regelen

Dit is het vervelendste punt van de hele AVG. Maak je gebruik van een online boekhoudprogramma? Of van een factuurprogramma, nieuwsbriefsysteem of anders waar gegevens van gebruikers in worden gebruikt? Dan moet je een bewerkersovereenkomst regelen met die leverancier. Dus van alle partijen waarmee jij samenwerkt inzake de verwerking van persoonsgegevens. Grote kans dat deze partijen al zo’n overeenkomst hebben klaarliggen. Maak dus een lijsten van partijen waarmee je dit moet afsluiten zoals bijvoorbeeld Google Analytics, Mailchimp, hostingbedrijf, programmeur et cetera.

Stap 4 Cookieverklaring

Door de Europese cookiewet ook wel e-privacyverordening genoemd

De inhoud van je cookieverklaring kan je opnemen in de tekst van je privacyverklaring zolang hij maar duidelijk aangegeven is. Welke cookies en informatie moet je vermelden.

Functionele cookies
Deze hoef je niet te melden in een cookie waarschuwing.
Denk hierbij aan de WordPress cookie, Google Analytics, Webshop winkelwagentje e.d.

Analytische cookies
Hierover moet je informeren in je privacyverklaring maar hoef je geen toestemming voor te vragen zolang het voor eigen gebruik is en niet met derden wordt gedeeld. Het IP-adres dient wel dan anoniem gemaakt te worden en het delen van statistieken met derden moet ook uit staan. Dat moet je in het geval van Google Analytics doen in je instellingen van Analytics.

Informeren kan je bijv. doen door in je cookieverklaring te vermelden dat:

  • je webshop gebruikt Google Analytics-cookies;
  • je hebt een bewerkersovereenkomst afgesloten;
  • je hebt gekozen voor het maskeren van het laatste octet van het IP-adres;
  • je hebt ‘Gegevens delen’ uitgezet;
  • je geen gebruik maakt van andere Google-diensten in combinatie met de Google Analytics cookies.

Tracking cookies
Hiervoor moet je zeer zeker toestemming vragen.

Stap 5 Cookie melding

Wanneer je alleen gebruik maakt van Google Analytics dan hoef je wellicht geen cookie melding op je site te plaatsen. Maar dan moet je wel Google Analytics goed instellen (privacy vriendelijk) en tevens een maatwerk bewerkersovereenkomst aanvragen bij Google. Een gedoetje dus. Makkelijker is om gewoon een cookie melding op je site te (laten) plaatsen waarin je verwijst naar je privacyverklaring waarin je cookie gebruik wordt beschreven.
Wil je een cookie-bar op je site laten plaatsen door DODO vraag er dan hier een aan: https://dodo.nl/cookiebar-aanvraag

Stap 6 SSL certificaat

Simpel. Als iemand op je site iets kan invullen ben je verplicht gebruik te maken van een beveiligde verbinding en dat doe je met een SSL certificaat. Dit regel je bij je webhoster of programmeur.
Wil je een SSL-certificaat laten installeren door DODO vraag er dan hier een aan: https://dodo.nl/ssl-starter-aanvraag/

Stap 7 Service Level Agreement (SLA) ofwel Onderhouds Overeenkomst

Zorg er voor dat je site en alle elementen binnen en rondom je site altijd up-to-date is en dat alles geniet van de best mogelijke beveiliging. Lukraak op een update knop klikken is daarin niet voldoende. Zaken zoals je database, php-versie etcetera dienen ook up-to-date en veilig te zijn.
Wil je een SLA onderhoudspakket hebben van DODO vraag er dan hier een aan: https://dodo.nl/sla-aanvraag/

Stap 8 Extra to-do’s

  • Zorg er voor dat je een emailadres gebruikt waarop men terug kan mailen. Een noreply@mail.nl mag niet meer.
  • Alleen ‘naam’ en ‘emailadres’ vallen onder ‘gewone informatie’. Vraag je om bijv. een geboortedatum dan moet je laten weten waarom en het mag geen verplicht veld zijn.
  • Ga na of de softwareleverancier van je nieuwsbrief ook AVG-proof is, wanneer je een mailoplossing van ons gebruikt is dit al het geval omdat de gegevens binnen je siteomgeving opgeslagen worden.

Kansen

Zie het als een kans om je adressenbestand op te schonen en in een klap alles omtrent je website eens goed aan te pakken. Het zorgt er voor dat je gerichter en persoonlijker gaat communiceren met jouw doelgroep. Succes!

Links:

Cookiebar aanvragen: https://dodo.nl/cookiebar-aanvraag
SSL aanvragen: https://dodo.nl/ssl-starter-aanvraag
SLA aanvragen: https://dodo.nl/sla-aanvraag

 

Aan de inhoud van dit artikel kunnen geen rechten worden ontleend.