AVG? Hoe en Wat?

Heb jij de privacy al goed geregeld? Vanaf 25 mei 2018 is de nieuwe Algemene Verordening Gegevensbescherming in werking getreden. Lees snel wat en hoe je het moet regelen!

“AVG? Wat is dat eigenlijk?”
“Wat betekent dit voor mijn website, webshop of organisatie?”
“En mag ik mijn klanten nog wel emails versturen?”
“Is een dubbele opt-in nu verplicht?”
“Kan ik Google Analytics en Facebook nog wel gebruiken?”
“AVG & Joomla. Hoe stel ik dat allemaal in?”

We hebben de belangrijkste informatie + tips over AVG en Joomla even voor je op een rijtje gezet.

Dit kun je verwachten

Wat is de AVG?

Vanaf 25 mei 2018 gaat de Algemene verordening gegevensbescherming (AVG) in werking. Dit betekent dat er dan dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG is ook wel bekend als General Data Protection Regulation (GDPR).

De AVG zorgt onder meer voor:

Versterking en uitbreiding van privacyrechten door recht op vergetelheid en recht op dataportabiliteit;
Meer verantwoordelijkheden voor organisaties. Door de nieuwe verantwoordingsplicht moet je kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen.
Dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

Regelhulp Algemene Verordening Gegevensbescherming

Om snel te bepalen waar je als organisatie nog aan moet werken, heeft de Autoriteit Persoonsgegevens (AP) een regelhulp gepubliceerd. In 10 stappen ontdek je dan waar je nog aan moet werken om te voldoen aan de AVG. Hieronder volgt een samenvatting van de 10 stappen.

Stap 1: Welke persoonsgegevens verwerk je?

Kijk goed in welke categorie de persoonsgegevens vallen die je verwerkt. Dit heeft namelijk invloed op de hoogte van een eventuele boete.

Voorbeelden gewone persoonsgegevens

Klant-, cliënt-, patiënt-, inwonergegevens en personeelsgegevens. Ook logbestanden over het betreden van het gebouw;
Website of app? IP-adressen vallen ook onder persoonsgegevens.

Niet alleen het verzamelen en bewaren van gegevens, maar ook het doorgeven aan derde partijen en het pseudonimiseren en anonimiseren van gegevens vallen hier bijvoorbeeld onder.

Voorbeelden bijzondere persoonsgegevens

ras of etnische afkomst
politieke opvattingen
religieuze of levensbeschouwelijke overtuigingen
lidmaatschap van een vakbond blijken
genetische gegevens
biometrische gegevens met het oog op de unieke identificatie van een persoon
gegevens over gezondheid
gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid

In de praktijk betekent dit dat u bijvoorbeeld bijzondere persoonsgegevens verwerkt wanneer u:

via een enquête op internet vraagt naar de politieke of seksuele voorkeur van mensen;
als werkgever ziekteverzuimgegevens registreert;
via een app of wearable gegevens verzamelt over de gezondheid van mensen.

Strafrechtelijke persoonsgegevens

strafrechtelijke veroordelingen
strafbare feiten
veiligheidsmaatregelen (bijv. een straatverbod)

Meer informatie over strafrechtelijke persoonsgegevens.

Stap 2: Mag je wel persoonsgegevens verwerken?

Je mag alleen ‘gewone’ persoonsgegevens verwerken wanneer je aan ten minste 1 van de 6 AVG-grondslagen voldoet.

AVG-Grondslagen

toestemming
Mensen moeten de vrije keuze hebben om toestemming te geven. Het product moet dus ook te gebruiken zijn zonder deze toestemming te geven indien de gegevens niet direct noodzakelijk zijn voor de werking van het product.
nodig voor de uitvoering van een overeenkomst
Adresgegevens van klanten zijn bijvoorbeeld nodig om de bestelde producten bij hen thuis te bezorgen en dus noodzakelijk om de overeenkomst met de klanten na te kunnen komen.
nodig voor het nakomen van een wettelijke verplichting
Een bevel van de politie kan een reden zijn om bepaalde persoonsgegevens aan hen te verstrekken. Controleer wel of de gegevensverwerking die u op deze grondslag uitvoert, daadwerkelijk als zodanig in een wet staat omschreven.
nodig ter bescherming van vitale belangen
Alleen bij een zaak van leven of dood en als je niet van tevoren om toestemming kunt vragen. Bijvoorbeeld het geven van toegang tot een medisch dossier bij een spoedgeval.
nodig voor een taak van algemeen belang of uitoefening van openbaar gezag
Noodzakelijk voor een taak die is vastgelegd in een wet. Bijvoorbeeld: cameratoezicht op openbare plaatsen voor de openbare veiligheid.
nodig voor de behartiging van de gerechtvaardigde belangen
Het moet gaan om een gerechtvaardigd belang. De verwerking moet voldoen aan de eisen van proportionaliteit en subsidiariteit . Er moet een afweging gemaakt worden tussen jouw belangen en de belangen van de personen van wie de persoonsgegevens worden verwerkt.

Je mag in principe geen bijzondere en strafrechtelijke persoonsgegevens verwerken!

Tenzij het wel mag. Kijk op de website van de Autoriteit Persoonsgegevens voor meer informatie over bijzondere persoonsgegevens of over strafrechtelijke persoonsgegevens.

Stap 3: Heb je een functionaris (FG) gegevensbescherming nodig?

Je hebt een functionaris gegevensbescherming nodig in de volgende gevallen:

Je bent een overheidsinstantie of overheidsorgaan
Je verwerkt bijzondere en/of strafrechtelijke persoonsgegevens op grote schaal en het is een kernactiviteit van de organisatie
Je observeert betrokkenen regelmatig of stelselmatig op grote schaal en dit is een kernactiviteit van de organisatie

Stap 4: Moet je een data protection impact assessment (DPIA) uitvoeren?

Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Voldoe je aan 2 of meer van de onderstaande criteria dan moet je waarschijnlijk een DPIA uitvoeren.

Je beoordeelt mensen op basis van persoonskenmerken
Bijvoorbeeld profiling en het maken van prognoses, met name op basis van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen.
Je neemt geautomatiseerde beslissingen met rechtsgevolgen
Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd. Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium.
Je doet aan stelselmatige en grootschalige monitoring
Bijvoorbeeld monitoring van openbaar toegankelijke ruimten dmv cameratoezicht waarbij het onmogelijk is om zich aan deze gegevensverwerking te onttrekken.
Je verwerkt gevoelige gegevens of gegevens van zeer persoonlijke aard
Bijvoorbeeld informatie over iemands politieke voorkeuren, strafrechtelijke gegevens, elektronische communicatie, locatiegegevens en financiële gegevens.
Je verwerkt op grote schaal persoonsgegevens
Je gebruikt gekoppelde databases
Bijvoorbeeld databases uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verantwoordelijken, op een manier die men niet redelijkerwijs kan verwachten.
Je verwerkt gegevens over kwetsbare personen
Bijvoorbeeld als er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke. Het kan bijvoorbeeld om werknemers, kinderen en patiënten gaan.
Je gebruikt nieuwe technologieën
De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacyrisico’s.

Stap 5: Werk je volgens privacy by design en privacy by default?

Producten, diensten en systemen standaard privacyvriendelijk ontworpen
Technische en organisatorische maatregelen om de privacyrisico's voor mensen zo klein mogelijk te maken. Bijvoorbeeld door te pseudonimiseren en niet meer persoonsgegevens te verwerken dan noodzakelijk.
Hoe lang worden de persoonsgegevens bewaard?
Niet langer mag bewaren dan noodzakelijk.
Producten of diensten standaard privacyvriendelijk
Gebruikers hoeven niets aan de instellingen en functies te wijzigen om hun privacy te beschermen.

Stap 6: Register van verwerkingsactiviteiten

Voldoet jouw organisatie aan 1 van de volgende kenmerken? Dan moet je een register van verwerkingsactiviteiten bijhouden.

De organisatie telt 250 of meer medewerkers
De verwerking van persoonsgegevens is niet incidenteel
Persoonsgegevens met een risico voor de rechten en vrijheden van personen
Bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens

Stap 7: Beveiligingsmaatregelen persoonsgegevens

Beleid voor informatiebeveiliging opgesteld
Breng de risico’s voor informatiebeveiliging in kaart. Alleen dan kunt u goed bepalen welke maatregelen u moet nemen om deze risico’s te beperken
Technische maatregelen genomen voor de beveiliging van persoonsgegevens
Voorbeelden van technische maatregelen:
- Logische en fysieke (toegangs-)beveiliging en beveiliging van apparatuur (denk niet alleen aan kluizen en portiers, maar ook aan firewalls en netwerksegregatie);
- Technisch beheer van de (zo beperkt mogelijke) autorisaties en bijhouden van logbestanden;
- Beheer van technische kwetsbaarheden (patch management);
- Software, zoals browsers, virusscanners en operating systems up-to- date houden;
- Back-ups maken waarmee u de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of u dubbele systemen nodig heeft zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt;
- Automatisch verwijderen van verouderde gegevens:
- Versleuteling van gegevens;
- Hashing. Organisaties kunnen hashing gebruiken als methode om persoonsgegevens te pseudonimiseren;
- Minder gegevens op uw servers verwerken en meer gegevensverwerkingen laten plaatsvinden op de apparatuur van de gebruiker zelf, zoals een smartphone.
- Gebruik HTTPS! Dit zorgt ervoor dat het internetverkeer tussen bezoekers van uw website en uw servers niet kan worden onderschept. Als u geen HTTPS gebruikt is de beveiliging van persoonsgegevens die worden verstuurd niet gegarandeerd.
Organisatorische maatregelen genomen voor de beveiliging van persoonsgegevens
Voorbeelden van organisatorische maatregelen:
- Toewijzen van verantwoordelijkheden voor informatiebeveiliging;
- Bevorderen van beveiligingsbewustzijn bij bestaande en nieuwe medewerkers;
- Opstellen van procedures om op gezette tijdstippen de beveiligingsmaatregelen te testen, te beoordelen en te evalueren;
- Regelmatige controle van de logbestanden;
- Opstellen van protocol voor de afhandeling van datalekken en beveiligingsincidenten;
- Sluiten van geheimhoudings- en verwerkersovereenkomsten;
- Beoordelen of u dezelfde doelen kunt behalen met minder persoonsgegevens;
- Minder mensen in uw organisatie toegang geven tot persoonsgegevens;
- Per verwerking het besluitvormingsproces en de achterliggende overwegingen vastleggen.

Stap 8: Vereiste overeenkomsten met verwerkers van persoonsgegevens

Bedrijven die namens u persoonsgegevens verwerken
Bijvoorbeeld callcenters, factureringsbedrijven, cloudproviders en aan partijen die cookies plaatsen en uitlezen
Verwerkersovereenkomsten met elk van deze bedrijven
Is de verwerkersovereenkomst volledig?
Verwerkersovereenkomsten moeten in ieder geval de volgende informatie bevatten:
schriftelijke instructies, onder meer voor de doorgifte van persoonsgegevens aan derden en het inschakelen van subverwerkers;
vertrouwelijkheid;
beveiliging van de verwerking;
verlenen van bijstand bij het vervullen van de plicht van de verwerkingsverantwoordelijke om te voldoen aan verzoeken van betrokken personen. Bijvoorbeeld wanneer iemand inzage wil in zijn of haar gegevens;
verlenen van bijstand met betrekking tot beveiliging en DPIA en voorafgaande raadpleging;
het wissen van persoonsgegevens na afloop van de dienst;
alle informatie ter beschikking stellen die nodig is om nakoming van verplichtingen aan te tonen en audits mogelijk te maken.

Stap 9. Voldoe je aan uw informatieplicht?

Welke gegevens, waarom en met welke grondslag
Privacyverklaring of ander document waarin je betrokkenen informeert over de verwerking van persoonsgegevens
Privacydocument moet voldoen aan de informatie eisen van de AVG
Geef in ieder geval de volgende informatie:
- De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en/of de vertegenwoordiger in de EU; De contactgegevens van de FG als je die hebt.
- De doeleinden en rechtsgrond van de verwerking, en/of een gerechtvaardigd belang.
- De (categorieën van) ontvangers van de persoonsgegevens.
- Of je van plan bent de persoonsgegevens door te geven buiten de EU of een internationale organisatie en op welke juridische grond.
- De bewaartermijn van de gegevens.
- De rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering.
- Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken.
- Dat de betrokkene een klacht kan indienen bij de relevante privacytoezichthouder.
- Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt.
- Of je gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe je besluiten neemt.
- Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en of zij afkomstig zijn van openbare bronnen.
Het privacydocument wordt op een toegankelijke plek aangeboden
In principe schriftelijk. De beste manier is het publiceren van een online privacyverklaring. Daarnaast mag je andere middelen inzetten om de inhoud van uw privacybeleid toegankelijk te maken. Zoals het tonen van pop-ups met een toelichting bij elke toestemmingsvraag, het gebruik van iconen of een video.
Het is geschreven in begrijpelijke taal
Persoonsgegevens voor een andere doel dan waarvoor u de persoonsgegevens heeft verzameld

Stap 10: Privacy rechten van mensen

Onder de AVG gelden de volgende rechten:

Recht op inzage
Recht op rectificatie en aanvulling
Recht op vergetelheid
Recht op dataportabiliteit
Recht op beperking van de verwerking
Rechten met betrekking tot geautomatiseerde besluitvorming en profilering
Recht van bezwaar

Om volgens de regels op een verzoek te reageren moet je het volgende weten en doen:

Welke privacyrechten gelden er en wanneer wel of niet gehoor geven aan een verzoek
Hoe ga je aan de verzoeken voldoen?
Wijs mensen op de privacy rechten die zij hebben
Informeer mensen duidelijk over hoe zij een verzoek kunnen indienen
Is het makkelijk om een verzoek bij te doen?
Reageer binnen 1 maand op een verzoek

Jouw Joomla website AVG klaar in 5 stappen

Stap 1: Zorg voor een veilige Joomla website

Heb je een beheer en onderhoudsabonnement bij 73 Orange? Dan ben je verzekert van regelmatige en tijdige updates, backups en veiligheidsscans en kun je deze stap overslaan.

Regelmatige Joomla en Joomla extensie updates
Om ervoor te zorgen dat jouw Joomla website veilig is, is het heel belangrijk om regelmatig Joomla updates en Joomla extensie updates te installeren. Mocht er een critische update zijn van Joomla of een extensie, dan is het zelfs zaak om deze zo snel mogelijk te installeren! Tijdige updates garanderen niet dat jouw website niet gehacked kan worden, maar maakt de kans wel veel kleiner.
Beveilig jouw Joomla administratie omgeving
Door een andere url te gebruiken voor de administratie omgeving van Joomla en door het beperken van de toegang tot bepaalde IP adressen kun je de administratie van Joomla een stuk veiliger maken.
Zorg voor een aparte loginnaam en een sterk wachtwoord
We komen het nog regelmatig tegen dat men als login admin gebruikt en als wachtwoord wachtwoord01.
Dit is NIET veilig!
Zet gebruikersregistratie uit als je het niet nodig hebt
Als gebruikers zich kunnen registreren, wordt het gevaar van DDos of andere aanvallen groter. Als je het niet nodig hebt, zet het dan uit de gebruikers opties.

Stap 2: Zorg voor een goede cookie melding of vraag om toestemming

Indien je gebruikers volgt dmv cookies, moet je expliciet toestemming vragen. Gaat het om anonieme trackingcookies en/of cookies die nodig zijn voor de orderafhandeling, dan is een melding voldoende. Bij ons beheer en onderhoudsabonnement is de installatie van de cookie plugin van Web357 inclusief. Deze plugin voldoet aan de eisen van de AVG.

Stap 3: Plaats een privacyverklaring op de website

Onder de AVG is het verplicht om jouw bezoekers, gebruikers en klanten goed te informeren over het hoe, waarom, hoelang, etc van het gebruik van privacy gegevens. Op de website van veiliginternetten.nl kun je een privacy verklaring genereren die voldoet aan de eisen van de AVG.

Stap 4: Bepaal en monitor wie er toegang heeft tot privacy gevoelige informatie

Onder de AVG is het ook belangrijk dat je bepaald wie er toegang heeft tot bepaalde privacy gevoelige informatie. Zorg er dus voor dat je dmv gebruikersrechten instelt wie, waar toegang heeft. De Joomla ACL extensie is hierbij een heel handig hulpmiddel. Daarnaast kun je mbv Google Analytics in de administrator van jouw Joomla website bijhouden wie, welk scherm op welk moment bekeken heeft. Wil je ook weten wie er bepaalde gebruikersinformatie heeft gewijzigd? Gebruik dan de extensie content statistics van JoomlaThat.

Stap 5: Sluit een verwerkersovereenkomst af met jouw website host en/of website beheerder

Omdat een webhost of website beheerder toegang kan hebben tot privacy gevoelige informatie, moet je een verwerkersovereenkomst met hem/haar afsluiten. Hierin staat onder andere wie, wanneer en waarom toegang heeft tot de informatie, dat er een geheimhoudingsplicht geldt, hoe e.e.a. beveiligd is, etc.

Google Analytics & AVG

De verwerkingsovereenkomst met Google Analytics

Omdat Google een verwerker is onder de AVG, moet je een verwerkingsovereenkomst afsluiten met Google. Klik hiervoor op Beheer > Accountinstellingen en vervolgens op de button Aanpassing bekijken. Hierna opent er een scherm met de inhoud van de verwerkingsovereenkomst. Lees de overeenkomst goed door en klik vervolgens op accepteren. Je hebt namelijk niet heel veel keus als je Analytics wilt blijven gebruiken.

Meld of vraag toestemming voor het plaatsen van een cookie

Je hoeft niet langer expliciet toestemming te vragen voor het plaatsen van niet privacygevoelige cookies. Een cookie melding is al voldoende.

Helaas valt Google Analytics standaard niet onder de niet privacygevoelige cookies. Als je Analytics volledig wilt gebruiken dan moet je nog steeds expliciet toestemming vragen aan jouw bezoekers om het te mogen gebruiken.

Wil je dit niet? Volg dan de aanvullende stappen hieronder. De statistieken worden dan iets minder nauwkeurig, het is in het voordeel van de privacy van jouw bezoeker.

Stop met het delen van gegevens

Ga in het beheer dashboard van Google Analytics naar Accountinstellingen en verwijder alle vinkjes bij Instellingen voor gegevens delen.

Pas de Google Analytics trackingcode aan

Pas de onderstaande wijzigingen toe aan de Google Analytics trackingcode. Hierdoor wordt er altijd gebruik gemaakt van een https verbinding en wordt het IP adres van de bezoeker geannonimiseerd.

ga('set', 'forceSSL', true) // Gebruik https

ga('set', 'anonymizeIp', true) // zet IP-masker aan

Informeer de bezoeker

Geef in jouw privacyverklaring duidelijk aan dat je Google Analytics gebruikt. Hierbij geef je aan dat je het delen van informatie hebt uitgezet, dat je een verwerkingsovereenkomst hebt afgesloten met Google en dat je daarmee voldoet aan de richtlijnen van het College Bescherming Persoonsgegevens.