wat houdt de avg in? - wyns electrode internationale benaming is gdpr (general data protection...
Post on 22-May-2020
3 Views
Preview:
TRANSCRIPT
Op 25 mei 2018 zal de nieuwe Europese privacy wetgeving van kracht worden,
de Algemene verordening gegevensbescherming (AVG). De internationale
benaming is GDPR (General Data Protection Regulation). Deze wetgeving zal behoorlijk
wat consequenties hebben voor website eigenaren en (internet)ondernemers.
De AVG is al in mei 2016 in werking getreden, maar er is toen een periode van 2 jaar
ingesteld tot het daadwerkelijk van toepassing worden van deze wetgeving. Vanaf 25
mei wordt de wetgeving dus daadwerkelijk van kracht in de gehele EU en zal er op
gehandhaafd worden.
Het niet (volledig) naleven van deze wetgeving kan resulteren in forse boetes van max
4% van de jaaromzet of 20 miljoen euro.
Wat houdt de AVG in?
In de AVG is vastgelegd hoe organisaties om moeten gaan met gegevens die ze
verzamelen van mensen. Dit kunnen gegevens van klanten zijn maar ook gegevens van
bijvoorbeeld medewerkers.
De volgende regels zullen gaan gelden voor het vastleggen en verwerken van
persoonsgegevens:
• Voor het vastleggen en verwerken van gegevens dient expliciet toestemming te worden
gegeven.
• De gegevens mogen alleen worden verzameld en verwerkt voor een specifiek
aangegeven doel en mogen dus niet voor andere doeleinden worden gebruikt.
• Alleen de gegevens die noodzakelijk zijn voor het betreffende doel mogen worden
verzameld. Er mogen dus niet meer gegevens worden verzameld dan nodig is voor het
doel.
• De gegevens moeten correct zijn en blijven.
• De gegevens mogen niet langer bewaard blijven dan noodzakelijk is voor het
betreffende doel.
• De gegevens moeten worden beschermd tegen toegang door onbevoegden, diefstal of
verlies.
• De partij die de gegevens verzamelt en verwerkt moet kunnen aantonen hoe aan
bovenstaande verplichtingen wordt voldaan.
Daarbij zullen personen van wie de gegevens worden verzameld en verwerkt de
volgende rechten hebben:
• Recht op inzage: het recht om toegang te krijgen tot de eigen gegevens en tot
informatie over hoe deze gegevens worden gebruikt en verwerkt. Op verzoek moeten
categorieën van gegevens verstrekt kunnen worden en de daadwerkelijk vastgelegde
gegevens. Ook moet aan de betreffende persoon informatie geleverd kunnen worden
over de verwerking van de gegevens, het doel van deze verwerking, hoe de gegevens
zijn verkregen en met wie deze gegevens worden gedeeld.
• Recht op correctie en verwijdering: het recht om te verzoeken dat de vastgelegde
gegevens gecorrigeerd dan wel verwijderd worden.
• Recht op dataportabiliteit: het recht om de eigen persoonsgegevens van het ene
verwerkingssysteem naar het andere te kunnen overdragen. De vastlegger en verwerker
van de gegevens dient hiertoe de gegevens in een open elektronische standaard
kunnen aanleveren. Geanonimiseerde gegevens waarbij de informatie niet te herleiden
is naar een persoon, vallen hier buiten.
Wanneer een organisatie of onderneming (ook wanneer je onderneming alleen uit jezelf
bestaat) persoonsgegevens verzamelt en verwerkt, dan is deze wetgeving daarop van
toepassing. Dus, ook al verzamel je alleen namen van mensen, dan verzamel je dus
persoonsgegevens en is het dus op jou van toepassing en moet je aan de wetgeving
voldoen.
Voor meer informatie over de AVG wil ik je graag doorverwijzen naar de
website autoriteit persoonsgegevens.
Wat is het doel van de AVG?
De wet is bedoeld om burgers (dus ook jij en ik) meer rechten en mogelijkheden te
geven ten aanzien van de verzameling, verwerking en bescherming van hun
persoonlijke gegevens door anderen.
Wanneer je actief bent op het internet, dan laat je eigenlijk overal je sporen na. Overal
wordt data over je vastgelegd. Dit kan data zijn die je zelf verstrekt, maar ook data die
bijvoorbeeld via cookies over jou wordt verzameld.
Persoonsgegevens zijn zeer waardevol, daarom moeten ze met veel meer
zorgvuldigheid behandeld worden en beschermd worden dan tot nu toe het geval is
geweest.
De huidige wetgeving stamt uit een tijd dat er nog geen internet was en voldoet dus niet
meer. Met de AVG krijg je recht op meer inzicht in de gegevens die over jou zijn
verzameld, je krijgt recht om je gegevens in te zien, te laten wijzigen of te laten
verwijderen. Verder bepaalt deze wetgeving dat je toestemming moet geven, voordat er
gegevens van jou mogen worden verzameld en/of verwerkt.
Consequenties voor website eigenaren
De voorgaande paragraaf over wat de AVG inhoudt, is wellicht wat lastig te lezen en te
doorgronden. Ik heb getracht één en ander in mijn eigen woorden op te schrijven, maar
je zult begrijpen dat het niet eenvoudig is om wetten te vertalen naar glasheldere tekst.
Waar je je in ieder geval bewust van moet zijn, is dat de AVG consequenties heeft voor
website eigenaren. Wanneer je een website hebt, dan is de kans groot dat je
persoonsgegevens verzamelt.
Heb je bijvoorbeeld een contactformulier op je website, dan dienen mensen daarin een
naam en email adres in te vullen om contact met je te kunnen opnemen. Je verzamelt
dan dus gegevens.
Heb je een webshop en doe je verkopen via je website, dan heb je gegevens van
mensen nodig om deze verkopen daadwerkelijk te kunnen realiseren en goed te kunnen
afronden. Ook dan verzamel en verwerk je dus gegevens en is de AVG van toepassing.
Kortom, voor de meeste website eigenaren zal dus deze wetgeving gaan gelden en zal
je er dus actie op moeten ondernemen. In de volgende paragrafen zal ik ingaan op de
acties die je als website eigenaar zult moeten gaan nemen.
Ik ben natuurlijk geen jurist en kan natuurlijk zaken over het hoofd zien of verkeerd
interpreteren. Dit artikel dient dus ook beschouwd te worden als een poging om jou te
helpen met de voorbereiding op de AVG wetgeving. Ik adviseer je om naast dit artikel
ook zeker andere bronnen te raadplegen.
De belangrijkste dingen waar je als website eigenaar of internet ondernemer aan moet
denken zijn:
• Je moet expliciet toestemming vragen voor het verzamelen van gegevens.
• Je moet transparant zijn over wat je met deze gegevens doet en met wie je ze deelt.
• Je mag alleen die gegevens verzamelen die echt noodzakelijk zijn.
• Je moet de verzamelde gegevens beveiligen.
Wat moet je doen?
Ik zal proberen een zo volledig mogelijk lijst te maken van zaken waar je aan kunt
denken en die je kunt doen om je website en je internet activiteiten zoveel mogelijk te
laten voldoen aan de AVG wetgeving.
Leg vast welke persoonsgegevens je verzamelt
Denk hierbij aan alle gegevens die iets zeggen of gekoppeld zijn aan een natuurlijk
persoon. Dus:
• Naam
• Achternaam
• Adres
• Email adres
• IP adres
• Geboortedatum
• Enzovoorts
Dus alle gegevens die zijn te koppelen aan een natuurlijk persoon vallen onder de AVG.
Geanonimiseerde gegevens die niet te zijn herleiden naar een natuurlijk persoon vallen
buiten de scope van de AVG.
Naast het vastleggen welke gegevens je verzamelt, dien je ook aan te geven:
• hoe je dit doet
• met welk doel je dit doet
• hoe je de gegevens beveiligt
• hoe lang je de gegevens bewaart
• met wie je ze deelt.
Al deze informatie leg je vast in een privacy verklaring op je website.
Plaats een privacy verklaring op je website
Wanneer je via je website persoonsgegevens verzamelt en verwerkt, dan dient dit in een
privacy verklaring expliciet en in heldere taal genoemd en uiteengezet te worden. De
privacyverklaring die je op je website dient te plaatsen, moet in ieder geval de volgende
informatie bevatten:
• Informatie over jouw identiteit of de identiteit van je bedrijf.
• Je contactgegevens (of die van je bedrijf).
• Het doel (doelen) waarvoor je persoonsgegevens verzamelt.
• Wie deze persoonsgegevens ontvangen (dus met wie deel je ze).
• Hoe lang je de gegevens opslaat en obv welke criteria je de opslagtermijn bepaalt.
• Dat mensen het recht hebben tot inzage in hun gegevens en correctie en/of verwijdering
van hun gegevens.
• Dat mensen het recht hebben om tegen het verzamelen en verwerken van hun
gegevens bezwaar aan te tekenen.
• Dat mensen het recht hebben om eerder gegeven toestemming tot het verzamelen en
verwerken van gegevens in te trekken.
• Dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit
Persoonsgegevens.
• Of het wettelijk verplicht is dat men gegevens aan jou beschikbaar stelt, of dat het
verstrekken van persoonsgegevens een contractuele verplichting is of dat het
voorwaardelijk is voor de uitvoering van een contract of de levering van een dienst.
Tevens dient duidelijk gemaakt te worden wat de gevolgen zijn wanneer iemand zijn of
haar persoonsgegevens niet aan jou ter beschikking stelt.
• Indien er sprake is van geautomatiseerde besluitvorming of profilering moet dit gemeld
worden en moet ook vermeld worden wat daarvan het het belang is en wat de gevolgen
ervan.
Het lijkt ingewikkeld om zo’n privacy verklaring te maken. Deze privacy verklaring
generator kan een handig hulpmiddel zijn.
Cookies
Cookie zijn kleine bestanden die door een website worden opgeslagen op de PC van
een bezoeker. Deze cookies bevatten informatie over de bezoeker. Er zijn grofweg twee
soorten cookies: functionele cookies en tracking cookies.
Functionele cookies zorgen dat bepaalde functionaliteit op je website goed werkt. Heb je
bijvoorbeeld een webshop, dan zorgt een cookie er voor dat de inhoud van het
winkelwagentje bewaard wordt (handig wanneer iemand nog wat verder wil winkelen op
je webshop).
Een andere functionele cookie kan zijn om bepaalde popup schermpjes uit te zetten. Als
iemand een popup weg klikt, dan kun je dit in een cookie opslaan. De cookie zorgt er
dan voor dat tijdens het website bezoek de popup niet meer geopend wordt.
Over het algemeen worden functionele cookies verwijderd, zodra iemand de website
verlaat (aan het einde van de sessie).
Tracking cookies verzamelen informatie over het surfgedrag van bezoekers. Dus, welke
pagina’s hebben ze bezocht, welke producten hebben ze bekeken etc. Met een tracking
cookie is het bijvoorbeeld mogelijk om relevante advertenties te tonen op basis van
pagina’s die mensen eerder hebben bezocht.
Voor functionele cookies hoef je in principe geen toestemming te vragen. Waar een
bezoeker wel expliciet toestemming voor dient te geven, zijn cookies die informatie
vastleggen over gedrag van individuele bezoekers (dus ook de tracking cookies).
Wanneer je een scherm toont om toestemming te vragen voor het gebruik van cookies,
dan mogen de toestemmingsvinkjes van te voren niet al zijn aangekruist. De bezoeker
moet ze dus zelf aanvinken.
De toestemming is 12 maanden geldig, daarna dien je opnieuw toestemming te vragen.
Als een bezoeker binnen deze 12 maanden alsnog zijn of haar toestemming intrekt, dan
vervalt ook de toestemming.
Wat ook niet meer mag, is een zogenaamde cookiewall. Dus een cookie melding die er
voor zorgt dat je alleen van de website gebruik kunt maken, wanneer je aangeeft dat je
akkoord bent met het gebruik van cookies door de site.
Je mag de toegang tot je site niet meer ontzeggen aan mensen die geen cookies
accepteren. Je moet mensen dus altijd toelaten op je website, ongeacht of men cookies
accepteert of niet.
Een cookie extensie voor Joomla die claimt te voldoen aan de AVG wetgeving is EU e-
privacy Directive.
Een AVG proof cookie plugin voor Wordpress is Cookiebot
Google Analytics
Met Google Analytics leg je het surfgedrag vast van de bezoekers op je website.
Hiervoor worden ook cookies gebruikt. En de data wordt gedeeld met Google. Hiervoor
dien je dus ook expliciet toestemming te vragen aan je bezoekers.
Dien je altijd toestemming te vragen voor het gebruik van Google Analytics? Nee, je kunt
ook Analytics gebruiken zonder dat hiervoor expliciete toestemming vereist is. Je moet
dan aan de volgende zaken voldoen:
• Je hebt een verwerkersovereenkomst afgesloten met Google
• De verzamelde data (IP adressen) wordt geanonimiseerd
• Je hebt het delen met Google uitgezet
• Je hebt je gebruikers in je privacy verklaring geïnformeerd over het gebruik van Google
Analytics
Email marketing
Wanneer je nieuwsbrieven verstuurt en dus mensen op een mailinglijst plaatst, dan
moeten mensen hiervoor ook expliciet toestemming geven.
Dus, wanneer je een optin box op je website hebt, waarin mensen een naam en een
email adres kunnen invullen, dan dien je expliciet aan te geven dat mensen op een
mailing lijst komen en wat voor soort emails je zult gaan versturen, hoe vaak je mailings
zult versturen, of je data aan derden verstrekt.
Tevens dienen mensen middels een vinkje te bevestigen dat ze toestemming geven om
op jouw mailinglijst geplaatst te worden. Ook hier geldt dat het vinkje om toestemming te
geven niet automatisch al mag zijn aangevinkt. Bezoekers moeten zelf de toestemming
aanvinken.
Ook dien je vast te leggen op basis van welke informatie men toestemming heeft
gegeven. Je zou dus bijvoorbeeld een schermprint kunnen vastleggen van het optin
formulier waarmee mensen hun toestemming hebben gegeven (mits op deze
schermprint inderdaad de informatie staat op basis waarvan mensen hun toestemming
hebben verleend).
Mocht je nu je mail statistieken bijhouden, dus je legt vast hoeveel mensen je mailings
openen, hoeveel mensen op links klikken in je mail etc, dan dien je je bezoekers
hierover in je privacy verklaring te informeren.
De ondubbelzinnige toestemming voor het toevoegen van mensen aan je mailinglijst
geldt ook voor mensen die zich voor 25 mei 2018 (dus voor het actief worden van de
AVG wetgeving) hebben ingeschreven op je nieuwsbrief.
Toestemming vragen
Erg belangrijk in de AVG wetgeving is dat je verplicht bent om expliciet toestemming
te vragen voor het verzamelen en verwerken van persoonsgegevens.
Niet alleen moet je toestemming vragen, je moet ook kunnen aantonen dat je
toestemming hebt gevraagd, wanneer je toestemming hebt gevraagd en waarvoor je
precies toestemming hebt gevraagd.
Tevens moet je kunnen aantonen welke informatie iemand tot zijn of haar beschikking
had toen deze persoon toestemming aan jou gaf om persoonsgegevens te verzamelen
en te verwerken. Denk bijvoorbeeld aan het opslaan van schermprints van het scherm
waarin je de toestemming vroeg.
Recht op inzage, wijzigen, meenemen en verwijderen
In de AVG wetgeving is bepaald dat mensen het recht hebben om hun
persoonsgegevens in te zien, te (laten) wijzigen, mee te nemen en te (laten)
verwijderen. Iemand mag dus bij jou zijn of haar gegevens opvragen, je bent dan
verplicht de gegevens kosteloos binnen 30 dagen aan te leveren.
Het recht op portabiliteit houdt in dat mensen het recht hebben om eigen
persoonsgegevens die door jou zijn vastgelegd mee te nemen naar andere organisaties.
Je dient hiervoor de gegevens aan te leveren in een gangbaar electronisch formaat. In
de richtlijnen van de autoriteit persoonsgegevens worden oa XML en CSV genoemd.
De gegevens waarover je inzage dient te kunnen verstrekken, zijn de
persoonsgegevens die iemand zelf bij jou heeft aangeleverd.
Wanneer je een kleine onderneming hebt, dan kun je in principe volstaan met het
benoemen van bovenstaande rechten in je privacy verklaring. Eventuele aanvragen zou
je handmatig kunnen doen.
Voor grotere organisaties kan dit lastiger zijn, en zullen er technische oplossingen
bedacht en geïmplementeerd dienen te worden.
Wat te doen met backups
Artikel 17 van de AVG wetgeving betreft het recht om vergeten te worden. Wanneer
iemand een beroep doet op dit recht, dan dienen alle persoonsgegevens van deze
persoon verwijderd te worden.
Maar wat nu te doen met backups? In je backups bevinden zich de data van je
website/organisatie. In het geval van een calamiteit heb je deze backups nodig om één
en ander weer te herstellen. Het maken en houden van backups is dus essentieel.
Echter, in je backups bevinden zich waarschijnlijk ook de persoonsgegevens van
mensen die deze aan je verstrekt hebben. Ook dus de persoonsgegevens die je in je
productie omgeving verwijderd hebt.
Hoe nu om te gaan met je backups in relatie met het recht om vergeten te worden.
Jij als website eigenaar/internet ondernemer zult stellen dat het onmogelijk is om
individuele gegevens te verwijderen uit backups. Volgens de wet ben je echter verplicht
om te voldoen aan de wet, dus je dient ook het recht om vergeten te worden te
honoreren.
Je kunt dus stellen dat er hier twee belangen op ramkoers zijn. Het belang van de
website/ondernemer om backups te houden en het recht van een persoon om vergeten
te worden. Zit er hier ergens lucht waarvan we gebruik kunnen maken?
Wanneer je kijkt naar artikel 12 (Transparante informatie, communicatie en nadere
regels voor de uitoefening van de rechten van de betrokkene) punt 3, dan staat daar dat
aan verzoeken van personen omtrent hun gegevens binnen een maand gehoor dient te
worden gegeven.
Met andere woorden, als een persoon verzoekt om vergeten te worden, dan moet je zijn
of haar gegevens binnen een maand verwijderd hebben. Zoals ik het interpreteer,
betekent dit dat je backups voor een periode van maximaal een maand zou kunnen
bewaren.
Verder staat er in dit zelfde punt dat bij complexe situaties of bij een groot aantal
verzoeken deze periode nog met 2 maand verleng kan worden. Wanneer je kunt
aangeven dat deze situatie op jou van toepassing is, dan zou je je backups nog twee
maanden langer kunnen bewaren.
Ik denk dat het voor de meeste websites voldoende zal zijn om backups max 1 maand
te bewaren, en dat voor grotere, complexere websites 3 maanden voldoende zal zijn.
Wel is het zeer belangrijk om in je privacy verklaring aan te geven hoe je om gaat met je
backups. Dus, hoe lang bewaar je ze en hoe zorg je er voor dat ze beveiligd bewaard
worden.
Uiteraard is het ook zo dat, wanneer je een backup moet gebruiken voor het herstel van
je website of je data, dat je de gegevens die in de originele situatie verwijderd waren,
ook moeten worden verwijderd na het restoren van de backup.
Beveiliging van gegevens
De AVG wetgeving schrijft voor dat persoonsgegevens afdoende beveiligd dienen te
worden. Hoe deze beveiliging is geregeld, dient te worden opgenomen in de privacy
verklaring.
Nu al ben je verplicht om datalekken te melden binnen 72 uur. De AVG stelt wel
strengere eisen aan de eigen registratie van datalekke. Je moet alle datalekken
documenteren. Met deze documentatie moet de autoriteit persoonsgegevens kunnen
controleren of je aan de meldplicht hebt voldaan.
De autoriteit persoonsgegevens geeft op haar website aan dat de precieze richtlijnen
hiervoor op dit moment nog niet definitief zijn vastgesteld.
Een belangrijke stap in de beveiliging is het gebruiken van een beveiligde verbinding
voor je website.
Een functionaris voor gegevensbescherming
In sommige situaties kan het verplicht zijn om een functionaris voor
gegevensbescherming in je organisatie te hebben. Dit is verplicht wanneer:
• Je als organisatie vanuit een kernactiviteit op grote schaal individuen volgt, bijvoorbeeld
voor profilering voor het maken van risico inschattingen, gezondheid etc.
• Je een publieke- of overheidsorganisatie bent
• Wanneer je op grote schaal bijzondere persoonsgegevens verzamelt (bijv. ras, geloof,
sexuele geaardheid, politieke opvatting etc) en dit een kernactiviteit is.
Wanneer er in jouw organisatie een functionaris voor gegevensbescherming aanwezig
is, dan dienen diens contactgegevens genoemd te worden in je privacy verklaring.
Een Data Protection Impact Assessment
Een Data Protection Impact Assessment (DPIA) is alleen verplicht als een
gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen
(de mensen van wie de organisatie gegevens verwerkt).
Verwerkersovereenkomsten
Wanneer je de door jou verzamelde persoonsgegevens laat verwerken door derde
partijen, dan dien je met deze partijen een verwerkersovereenkomst (data processing
agreement) af te sluiten.
Mocht je nu denken dat dit voor jou niet van toepassing, denk dan om het volgende.
Gebruik je bijvoorbeeld Google Analytics, dan verwerkt Google dus gegevens voor jou.
Je dient dus met Google een verwekersovereenkomst af te sluiten.
Gelukkig is Google voorbereid, in je Analytics account kun je zo’n overeenkomst
afsluiten/accepteren.
Maar denk ook aan andere partijen waaraan je data verstrekt ( bijvoorbeeld voor je
email marketing, je boekhouder etc).
Onder andere de volgende zaken dienen in een verwerkersovereenkomst te staan:
• Het onderwerp en de duur van de gegevensverwerking.
• De aard en het doel van de gegevensverwerking.
• Het soort persoonsgegevens.
• De categorieën van betrokkenen.
• De rechten en verplichtingen van de verwerkingsverantwoordelijke.
Bron: website autoriteit persoonsgegevens over verwerkersovereenkomsten .
Een voorbeeld van een verwerkersovereenkomst kun je hier
vinden: privacycompany.eu.
Register verwerkingsactiviteiten
Je bent verplicht om een register verwerkingsactiviteiten bij te houden wanneer je
persoonsgegevens verzamelt en verwerkt op niet-incidentele basis. Aangezien het
verzamelen en verwerken van persoonsgegevens zelden incidenteel is, kun je er vanuit
gaan dat je een dergelijk register zult moeten bijhouden als je persoonsgegevens
verzamelt en verwerkt.
Je dient het register verwerkingsactiviteiten te kunnen overleggen, wanneer de autoriteit
persoonsgegevens daarom vraagt.
Dit dient er in een dergelijk register te staan:
• De naam en contactgegevens van je organisatie of de vertegenwoordiger van je
organisatie.
• eventuele andere organisaties en/of personen die gegevens voor je verwerken of met
wie je gegevens deelt.
• De Functionaris voor de gegevensbescherming (als die binnen je organisatie aanwezig
is).
• De doelen van het verzamelen en verwerken van persoonsgegevens.
• Een beschrijving van de categorieën van personen van wie je gegevens verzamelt en
verwerkt.
• Een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-
gegevens, telefoonnummers, camerabeelden of IP-adressen.
• De datum waarop je de gegevens moet verwijderen (indien bekend).
• De categorieën van ontvangers aan wie u persoonsgegevens verstrekt.
• Of je gegevens deelt met instanties en/of organisaties buiten de EU.
• Een algemene beschrijving van de technische en organisatorische maatregelen die je
hebt genomen om persoonsgegevens die je verwerkt te beveiligen.
Op de website van de Belgische autoriteit persoonsgegevens kun je een voorbeeld
register verwerkingsactiviteiten downloaden. Niet alles in dit voorbeeld is van toepassing
(Franstalige benaming en KBO nummer) maar voor de rest is het prima te gebruiken
voor het opstellen van je eigen register verwerkingsactiviteiten.
Een voorbeeld van een register verwerkingsactiviteiten.
Nieuwsgierig naar de complete AVG ?
Dit artikel is gebaseerd op mijn interpretatie van de AVG wetgeving en op informatie van
andere bronnen.
Mocht je de gehele tekst van de wetgeving tot je willen nemen, dan kun je deze hier
bekijken: de complete AVG Wet in PDF formaat.
Wat gebeurt er na 25 mei?
Je bent nu bijna aan het einde gekomen van dit best lange (en saaie) artikel. Daarvoor
allereerst gefeliciteerd ;-).
De AVG wetgeving zal actief worden vanaf 25 mei 2018. Vanaf die datum moet jouw
website en/of internet onderneming voldoen aan deze wetgeving. Ik zou zeggen, wacht
niet te lang met het doorvoeren van de benodigde acties, want voor je het weet is het zo
ver.
Dan is er natuurlijk de vraag, in hoeverre zal men deze wetgeving echt gaan handhaven.
Welke risico's loop je als je niets (of weinig) doet. Allereerst wil ik daarover het volgende
zeggen:
Het kan best veel werk zijn om AVG proof te worden. Wanneer je dit artikel hebt
doorgenomen en ook andere bronnen hebt geraadpleegd, duizelt je het misschien en
denk je wellicht: "wat een gedoe om privacy in een tijd waarin bijna iedereen zijn hele
hebben en houden op social media deelt".
Bedenk dan dat deze wetgeving er ook is om jou en je persoonlijke gegevens te
beschermen. Je persoonlijke data is een belangrijk en kostbaar goed, het is dus heel
mooi dat hierover nu eindelijk eens goede wetgeving voor is gemaakt.
Aan de andere kant begrijp ik ook dat het AVG proof maken van je website en je internet
activiteiten best een karwei kan zijn. Ik sta zelf ook voor deze uitdaging.
Hoe en in hoeverre deze wetgeving gehandhaafd zal gaan worden, dat is afwachten. Ik
kan me voorstellen dat er vooral naar de grote internet ondernemingen gekeken zal
worden. Maar het kan natuurlijk ook zo zijn dat een aantal kleine websites worden
aangepakt om een voorbeeld te stellen. De toekomst zal het leren.
Ik verwacht overigens niet dat je meteen hard gestraft en beboet zult worden, wanneer
je nog niet helemaal voldoet aan de wetgeving na 25 mei. Ik denk dat er ook gekeken
zal gaan worden wat je al wel hebt gedaan en er zal waarschijnlijk onderscheid gemaakt
worden tussen websites/internet ondernemingen die te goeder trouw zijn of die met
kwade opzet de regelgeving niet naleven.
Mocht je website of je internet onderneming nu eens onder de loep genomen worden en
er worden een aantal zaken gevonden, dan zul je waarschijnlijk eerst een waarschuwing
krijgen en de gelegenheid om de zaken op orde te maken.
top related