Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. Vanaf die datum geldt er in de gehele EU dezelfde privacywetgeving. Voor webontwikkelaars, eigenaren van webwinkels en platformen die omgaan met persoonsgegevens kan er vanaf deze dag veel gaan veranderen.

Wat veranderd er met de AVG?

Er een aantal zaken veranderen met de invoering:

1. Versterking en uitbreiding van privacyrechten van internetgebruikers;
2. Organisaties krijgen meer verantwoordelijkheid voor de gegevens van hun gebruikers;
3. Alle Europese privacytoezichthouders krijgen bevoegdheden om grote boetes op te leggen aan bedrijven die zich niet aan de regels houden.

Natuurlijk zijn een aantal van deze termen redelijk abstract. Want wat houdt die versterking en uitbreiding nou precies in? En op welke manier krijgen organisaties meer verantwoordelijkheid? Middels een aantal praktijkvoorbeelden proberen we de belangrijkste vragen te beantwoorden.

Vanaf 25 mei levert Eye Entertainment haar websites, webhops en apps in ieder geval op met de nieuwe privacywet in het achterhoofd.

Kosteloos opgeslagen informatie opvragen

Het moet op ieder willekeurig moment mogelijk zijn om kosteloos informatie op te vragen over alle informatie die is opgeslagen bij een website, webshop of app. Voor de eigenaar en bouwer is het daarom van belang om hier direct rekening mee te houden bij de ontwikkeling. Zodoende kun je later veel tijd besparen om eventuele gefragmenteerde data handmatig te moeten bundelen.

Naast het bovenstaande moeten gebruikers op ieder moment hun accountgegevens kunnen wijzigen, blokkeren of verwijderen.

Vertel wat je doet met opgeslagen informatie

Transparantie.. een woord die te pas en te onpas wordt gebruikt, maar hier aardig van toepassing. Ben je van plan informatie op te slaan? Vertel dan aan de gebruikers wat je met de informatie doet. Is het alleen voor praktische doeleinden zoals bijvoorbeeld een e-mailadres om mailings te versturen, of wil je als platformhouder je gebruikers monitoren om ze de best mogelijke producten aan te bieden? Delen is weten.

Privacy by design & privacy by default

Vanaf de eerste virtuele ‘schep in de grond’ moeten ontwikkelaars rekening houden met het doel en omgang van de gebruikersdata.

Privacy by design houdt simpelweg in dat je tijdens de ontwerpfase van een applicatie, website of webhop al rekening houd met de persoonsgegevens. Verzamel alleen gegevens die je echt nodig hebt, bewaar ze niet langer dan noodzakelijk en zorg ervoor dat de gegevens goed beschermd worden.

Privacy by default richt zicht voornamelijk op platformen waarbij gebruikers zelf persoonsgegevens kunnen delen. Hierbij kun je denken social media platformen als Facebook en Instagram. De privacy-instellingen zullen ‘by default’ op de hoogst mogelijke stand moeten staan en alleen de gebruiker zelf kan dit versoepelen.

Voorbeelden:
1. Ga je een app ontwikkelen? Heb je de locatie van een gebruiker hier niet perse voor nodig? Dan mag deze ook niet meer gebruikt worden.
2. Wil je gebruikers graag automatisch abonneren op een nieuwsbrief? Helaas, het vinkje mag niet meer automatisch op ‘ja’ staan. Gebruikers moeten dit zelf aangeven.
3. Vraagt u gebruikers voor een nieuwsbriefinschrijving per e-mail? Dan is alleen het e-mailadres relevant. Andere persoonsgegevens zoals een adres of telefoonnummer mag voor deze doeleinden niet niet gevraagd worden.

Veilige gegevensoverdracht met SSL

Persoonlijke gegevens moeten veilig worden opgeslagen en kunnen worden ingevoerd. Websites moeten daarom beveiligd worden met een zogenaamd SSL-certificaat. Wat is dan een SSL-certificaat? Een simpele uitleg is dat de verbinding tussen de computer van de gebruiker en de server van jouw website of webshop is versleuteld (beveiligd). Voor kwaadwilligen (lees: hackers) wordt het via deze manier minder makkelijk om deze gegevens uit te lezen.

Procedure bij datalekken

Wat gebeurd er op het moment dat een website gehackt wordt en alle gegevens op straat komen te liggen? Goede vraag. In het verleden werden datalekken nog wel is onder de radar gehouden. Het was al verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens (AP), maar bij de invoering van de AVG worden de regels omtrent datalekken verder aangescherpt. Niet alleen moeten de lekken nu worden gemeld. Elk lek moet ook gedocumenteerd worden. Met deze documentatie moet het AP kunnen controleren of u aan de meldplicht heeft voldaan.

Tot slot

Zoals je kunt lezen komt bij de invoering van de AVG privacywetgeving nogal wat kijken. Sla je persoonsgegevens op? Controleer dan goed of je organisatie voldoet aan deze regelgeving. En heb je hierbij toch wat hulp nodig? Dan assisteren we je natuurlijk graag om je product of dienst te controleren op de juiste implementatie. Neem gerust contact op om een afspraak te maken.

Voor meer informatie verwijzen we je door naar de website van de Autoriteit Persoonsgegevens.