Zoals je misschien hebt gehoord of gelezen treedt op 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze vervangt de Wet Bescherming Persoonsgegevens  (WBp). Maar wat betekent de AVG voor jou als klant van Vevida, en wat zijn eventueel de gevolgen voor jouw klanten en bezoekers? Omdat wij steeds vaker vragen krijgen over de AVG, geeft onze accountmanager Martijn de Braak je enige tekst en uitleg.

Het klopt, de AVG zorgt voor een vragenstroom aan onze klantenservice. Deze gaan vooral over de ‘Verwerkersovereenkomst’ die in deze wet genoemd wordt.  De meest gestelde vragen zijn:

  • Moet ik zelf uitzoeken wat mag en niet mag volgens de AVG of doen jullie dat?
  • Ik beheer een aantal websites, waar ligt nu precies de verantwoordelijkheid? Is dat bij mij als websitebouwer of juist bij mijn klanten?
  • Ik heb een kleine (ZZP)website, moet ik ook voldoen aan de AVG?
  • Voor de AVG heb ik een ‘Verwerkersovereenkomst’ nodig. Hebben jullie die?

Wellicht herken je deze vragen en wil je weten wat je nu precies moet doen om aan deze nieuwe Wet te voldoen. Veel van deze wet is niet nieuw en stond ook al in de WBp. Echter is er op het gebied van de ‘betrokkenen’ en de ‘handhavers’ (Autoriteit Persoonsgegevens) het één en ander veranderd. Beiden hebben met de komst van de AVG meer rechten gekregen. Ik probeer wat meer helderheid te scheppen wat dit nu allemaal voor jou als klant betekent.

Wanneer verwerk je persoonsgegevens?

Je verwerkt al persoonsgegevens zodra jij iemand vraagt om zijn e-mailadres achter te laten. Op de meeste websites staat zelfs een veel uitgebreider contactformulier. Dus vraag jij bezoekers van je website via zo’n contactformulier om hun e- mailadres of meer (telefoonnummer en dergelijke) achter te laten, dan verwerk ook jij persoonsgegevens. In dat moet je zeker voldoen aan de AVG. (Ook het gebruik van cookies en statistieken via Google analytics valt onder persoonsgegevens).

Welke gegevens heb je echt nodig?

Sommige formulieren op websites zijn wel erg uitgebreid. Heb jij ook zo’n uitgebreid formulier op je website, dan is het goed om je af te vragen of je al de persoonsgegevens die je vraagt wel echt nodig hebt. Met de komst van de AVG mag je namelijk niet méér informatie verzamelen dan strikt noodzakelijk is voor het doel waarvoor je deze gegevens nodig hebt.

We nemen even een standaard contactformulier als voorbeeld. Stel je wilt de bezoekers van jouw website de mogelijkheid geven via een formulier een vraag te stellen. Je hebt hiervoor een aantal gegevens nodig om de vraag te kunnen beantwoorden. In het formulier heb je de volgende velden opgenomen:

  • Naam
  • Dhr / Mevr
  • Adres, postcode en plaats
  • E-mailadres
  • Telefoonnummer
  • Vraag

Het doel van het formulier is om de vraag van de bezoeker, de betrokkene, te beantwoorden. Jij als verwerkingsverantwoordelijke hebt hiervoor een formulier gemaakt dat bij Vevida op de server draait. Als verwerkingsverantwoordelijke moet je je afvragen of al deze velden wel noodzakelijk zijn om het doel te bereiken.

Het antwoord hierop is ‘Nee’.

Ik leg het even uit. De velden: adres, postcode, plaats en telefoonnummer zijn niet noodzakelijk voor het vastgestelde doel. Ook het veld waarmee het geslacht kan worden vastgesteld is ‘eigenlijk’ niet nodig. De nieuwe AVG zorgt er dus voor dat je niet meer gegevens mag vragen dan strikt voor jouw doel noodzakelijk is.

Elke website waarbij persoonsgegevens worden verzameld – denk hierbij aan een reactieformulier, webshop, nieuwsbrief, forum, ledenadministratie – krijgt te maken met de AVG en moet hieraan voldoen. Vevida speelt ook een rol in dit alles. Volgens de AVG zijn wij een verwerker van persoonsgegevens. De verwerkingsverantwoordelijke heeft daarom een verwerkersovereenkomst met de verwerker nodig. Vevida heeft een en ander op dit gebied alvast geregeld. De verwerkersovereenkomst maakt binnenkort standaard onderdeel uit van onze algemene voorwaarden. Zorg ervoor dat jij verantwoordelijk en zorgvuldig omgaat met persoonsgegevens van anderen. Een eenvoudige manier is bijvoorbeeld om jouw website te beveiligen met een SSL-certificaat, zodat persoonsgegevens versleuteld worden verzonden naar jouw website.

Wie zijn de betrokkene, verantwoordelijke en verwerker?

Deze rollen kwamen in het vorige deel al voorbij. Hieronder leg ik ze nog even kort uit.

Betrokkene

Dit is een privépersoon waarvan de gegevens worden verzameld, waarmee direct of indirect deze persoon geïdentificeerd kan worden.

Verwerkingsverantwoordelijke

Dit is de partij die de gegevens verzamelt/nodig heeft. Heb je een website bij Vevida met een formulier erop, zoals genoemd in ons voorbeeld, dan ben jij verwerkingsverantwoordelijke. Omdat je niet zelf jouw website host, maar dit aan ons hebt uitbesteedt, verplicht de AVG jou om een verwerkersovereenkomst te sluiten met ons. Dit geldt niet alleen voor de overeenkomst met Vevida, maar alle partijen waaraan je die persoonsgegevens geeft.

Verwerker

Vevida is in dit artikel (sub)verwerker. Immers hosten wij voor veel verschillende klanten websites waarvan een deel vermoedelijk ook persoonsgegevens verwerkt.
Bouw jij als klant websites voor andere partijen, dan heb ook jij de rol verwerker, waarbij Vevida dan als subverwerker optreedt. In dat geval heeft jouw klant met jou een verwerkersovereenkomst en jij op jouw beurt weer met ons. De verwerkersovereenkomst van Vevida maakt binnenkort integraal deel uit van onze algemene voorwaarden. Op die manier hebben wij het geregeld.

Wat staat er in de Verwerkersovereenkomst?

In een verwerkersovereenkomst moet minimaal een aantal zaken zijn opgenomen. Zo staan er formuleringen over doeleinden van de verwerking, verplichtingen van verwerker, doorgifte persoonsgegevens, verdeling van verantwoordelijkheden, inschakelen van derden of onderaannemers, beveiliging, meldplicht, afhandeling verzoeken betrokkenen, geheimhouding en vertrouwelijkheid, audit, duur en beëindiging en een aantal overige bepalingen.

Zoals je uit de voorgaande opsomming kunt opmaken staat er veel meer in de AVG dan in dit artikel kan worden uitgelegd. Wij adviseren je dan ook om je goed te (laten) informeren wat voor jouw specifiek van belang is. Goede startpunten zijn: