De AVG komt eraan, bent u er al klaar voor?


Op een verjaardagsborrel of gewoon bij het koffiezetapparaat. Het gaat de laatste weken nergens anders over. Verwerkt u als ondernemer persoonsgegevens? Dan bent u een van de velen die te maken krijgt met de nieuwe wet. Onder verwerken wordt verstaan het opslaan en gebruiken van de gegevens. Hier gaat het niet alleen om gegevens van klanten, maar ook om die van medewerkers, partners en opdrachtgevers. Bent u al klaar voor de nieuwe wetgeving rondom privacy? De belangrijkste aspecten zullen we hieronder voor u uitlichten.


Een bewerkingsovereenkomst.

Een van de nieuwe bijkomstigheden is dat u voortaan als ondernemer actief moet kunnen aantonen dat u zich aan de privacywet houdt. Als bedrijf moet u voortaan zo min mogelijk data verwerken en alleen opslaan wat belangrijk is. Daarnaast bent u verplicht klanten en medewerkers te wijzen op recht van inzage van gegevens en verwijdering hiervan. Het aantonen van het houden aan de privacywet gebeurt door alles te documenteren in een verwerkingsregister. In dit register legt u vast welke data u verzamelt, welk doel hieraan verbonden is en voor hoelang u deze data verzamelt of houdt. Het Autoriteit Persoonsgegevens gebruikt het verwerkingsregister om na te gaan of u uw zaken rondom privacy op orde hebt.


Verantwoordelijke & verwerkers

Voor het bijhouden van een verwerkingsregister heeft u zowel een verantwoordelijke nodig als verwerkers. Dit zijn, door de verantwoordelijke ingeschakelde, hulppersonen. Ook zij moeten een register bijhouden. De verantwoordelijke is de partij die bepaalt welke persoonsgegevens worden verwerkt, voor welk doel, en met welke middelen.


Inhoud van het verwerkingsregister

1. Geheimhouding – Door de geheimhouding kunt u een bepaalde geheimhoudingsplicht worden opgelegd. Wanneer u deze overtreedt dan staat daar eventueel een boetebeding op.

2. Bewerking met instructies – De afnemer en verwerker spreken met elkaar af dat de verwerker de aangeleverde informatie alleen mag gebruiken voor de afgesproken doeleinden. Het is dus niet toegestaan om persoonsgegevens voor eigen doeleinden in te zetten.

3. Beveiligingsmaatregelen – De verwerker dient op een redelijke wijze zowel technische als organisatorische maatregelen te nemen om verlies van de persoonsgegevens tegen te gaan.

4. Inschakelen van derden en onderaannemers – Er dient vastgelegd te worden of de bewerker gebruik maakt van sub-bewerkers, wie dit zijn en onder welke voorwaarden zij deze gegevens mogen verwerken.

5. Audits – De verantwoordelijke wordt in de gelegenheid gesteld om controles uit te voeren bij de verwerker om te testen of deze zich houdt aan de gemaakte afspraken. In de verwerkingsovereenkomst kan worden vastgelegd met welke frequentie en welk type audit deze worden uitgevoerd.

6. Aansprakelijkheid – De AVG wetgeving zegt dat de verantwoordelijke aansprakelijk kan worden gesteld als er schade wordt geleden doordat de Wet Bescherming Persoonsgegevens niet wordt nageleefd. Zelfs als dit komt door nalatigheid van de verwerker. In de verwerkingsovereenkomst kunt u hier aanvullende afspraken over vastleggen.



Wat moet u concreet doen?

U moet nagaan wie de verwerker is van uw gegevens. Aggeloo is een verwerker van uw persoonsgegevens wanneer u gebruik maakt van een van onze producten, maar bijvoorbeeld PostNL ook wanneer u door hen uw post laat versturen. De Aggeloo verwerkingsovereenkomst kunt u hier downloaden. Het is belangrijk dat u deze opneemt in uw administratie. Wanneer u deze ondertekend retour stuurt aan administratie@aggeloo.com dan kunnen wij deze ook opnemen in onze eigen administratie.

Verwerkingsovereenkomst downloaden


Een privacy policy.

Naast een verwerkingsovereenkomst moet u als bedrijf ook een overeenkomst met uw klanten aangaan, wanneer u persoonsgegevens verwerkt in uw organisatie bent u wettelijk verplicht om een privacy policy op te stellen. In uw privacy policy legt u uw klanten uit waarom u persoonsgegevens opslaat en wat u ermee doet. Bijvoorbeeld: De gegevens die u van een familie opslaat nadat u een uitvaart hebt verzorgd of een voorbespreking heeft gehad. 

Een aantal belangrijke onderwerpen uit de privacy policy zijn onder andere: 

•    Doelomschrijving van de persoonsgegevens 
•    Beveiliging van de persoonsgegevens
•    Verstrekkingen van gegevens aan derden
•    Cookies, tracking en Google Analytics
•    Inzet van onderaannemers (verwerkers)
•    Recht van Inzage, correct en verwijdering
•    Klachten en aansprakelijkheid 

Privacy Policy downloaden


Overige zaken.


Mogelijkheid tot verwijderen gegevens

De AVG verplicht het om het voor uw klanten mogelijk te maken om een account te verwijderen. Wij hebben in onze privacy policy opgenomen dat alle persoonsgegevens van klanten worden verwijderd binnen 3 maanden na een opzegging. Houdt er rekening mee dat deze vraag ook aan u gesteld kan worden door uw eigen klanten.

Cookies

Er wordt onderscheid gemaakt tussen twee type cookies. Niet voor alle cookies hoeft u toestemming te vragen. Cookies die functioneel van aard zijn of anonieme gebruiksstatistieken verzamelen mag u zonder expliciete toestemming gebruiken. Voor de overige cookies dient u wel expliciete toestemming te vragen. Dit zijn onder andere cookies voor advertenties of cookies die individueel gedrag in een webshop volgen.

SSL certificaat

Een gevolg van de AVG is dat een SSL-certificaat nu écht verplicht is voor een website die gebruikersgegevens verwerkt. Mocht u nog geen certificaat hebben dan raden wij ten zeerste aan om zo spoedig mogelijk contact op te nemen met uw webbouwer. Aggeloo heeft al zijn websites in de periode tussen eind 2016 en begin 2017 al voorzien van een SSL certificaat, als u klant bij ons bent hoeft u zich hier dus geen zorgen om te maken.

Two-factor authentication

De AVG verplicht geen two-factor authenticatie, toch hebben wij ervoor gekozen om deze inlog methode toe te voegen aan onze software producten zoals het condoleanceregister en de aannamesoftware. Deze inlog methode hebben wij niet standaard aanstaan, maar u kunt deze wel zelf activeren. Uitleg hierover vindt u in onze online helpdesk.

Google Analytics

Veel ondernemers verzamelen het gedrag van bezoekers op hun website door middel van het gebruik van Google Analytics. Om dit te mogen blijven doen dient u enkele aanpassingen door te voeren. Via deze link vindt u stapsgewijs terug wat er precies moet gebeuren.

Hopelijk bent u nu iets wijzer geworden en hebben we u duidelijk kunnen maken wat Aggeloo reeds voor u heeft gedaan. De afgelopen periode hebben wij ons erg verdiept in de veranderingen en zoveel mogelijk laten informeren om de juiste aanpassingen te kunnen doen. Wij staan open voor vragen, maar wanneer u juridisch advies wilt kunt u het beste contact opnemen met een adviseur.