Op 25 mei 2018 zal de nieuwe Europese privacy wetgeving van kracht worden, de Algemene verordening gegevensbescherming (AVG). De internationale benaming is GDPR (General Data Protection Regulation). Deze wetgeving zal behoorlijk wat consequenties hebben voor website eigenaren en (internet)ondernemers.

De AVG is al in mei 2016 in werking getreden, maar er is toen een periode van 2 jaar ingesteld tot het daadwerkelijk van toepassing worden van deze wetgeving. Vanaf 25 mei wordt de wetgeving dus daadwerkelijk van kracht in de gehele EU en zal er op gehandhaafd worden.

wetgeving

Het niet (volledig) naleven van deze wetgeving kan resulteren in forse boetes van max 4% van de jaaromzet of 20 miljoen euro.

Wat houdt de AVG in?

In de AVG is vastgelegd hoe organisaties om moeten gaan met gegevens die ze verzamelen van mensen. Dit kunnen gegevens van klanten zijn maar ook gegevens van bijvoorbeeld medewerkers.

De volgende regels zullen gaan gelden voor het vastleggen en verwerken van persoonsgegevens:

  • Voor het vastleggen en verwerken van gegevens dient expliciet toestemming te worden gegeven.
  • De gegevens mogen alleen worden verzameld en verwerkt voor een specifiek aangegeven doel en mogen dus niet voor andere doeleinden worden gebruikt.
  • Alleen de gegevens die noodzakelijk zijn voor het betreffende doel mogen worden verzameld. Er mogen dus niet meer gegevens worden verzameld dan nodig is voor het doel.
  • De gegevens moeten correct zijn en blijven.
  • De gegevens mogen niet langer bewaard blijven dan noodzakelijk is voor het betreffende doel.
  • De gegevens moeten worden beschermd tegen toegang door onbevoegden, diefstal of verlies.
  • De partij die de gegevens verzamelt en verwerkt moet kunnen aantonen hoe aan bovenstaande verplichtingen wordt voldaan.
Daarbij zullen personen van wie de gegevens worden verzameld en verwerkt de volgende rechten hebben:

  • Recht op inzage: het recht om toegang te krijgen tot de eigen gegevens en tot informatie over hoe deze gegevens worden gebruikt en verwerkt. Op verzoek moeten categorieën van gegevens verstrekt kunnen worden en de daadwerkelijk vastgelegde gegevens. Ook moet aan de betreffende persoon informatie geleverd kunnen worden over de verwerking van de gegevens, het doel van deze verwerking, hoe de gegevens zijn verkregen en met wie deze gegevens worden gedeeld.
  • Recht op correctie en verwijdering: het recht om te verzoeken dat de vastgelegde gegevens gecorrigeerd dan wel verwijderd worden.
  • Recht op dataportabiliteit: het recht om de eigen persoonsgegevens van het ene verwerkingssysteem naar het andere te kunnen overdragen. De vastlegger en verwerker van de gegevens dient hiertoe de gegevens in een open elektronische standaard kunnen aanleveren. Geanonimiseerde gegevens waarbij de informatie niet te herleiden is naar een persoon, vallen hier buiten.
Wanneer een organisatie of onderneming (ook wanneer je onderneming alleen uit jezelf bestaat) persoonsgegevens verzamelt en verwerkt, dan is deze wetgeving daarop van toepassing. Dus, ook al verzamel je alleen namen van mensen, dan verzamel je dus persoonsgegevens en is het dus op jou van toepassing en moet je aan de wetgeving voldoen.

Voor meer informatie over de AVG wil ik je graag doorverwijzen naar de website autoriteit persoonsgegevens.

Wat is het doel van de AVG?

De wet is bedoeld om burgers (dus ook jij en ik) meer rechten en mogelijkheden te geven ten aanzien van de verzameling, verwerking en bescherming van hun persoonlijke gegevens door anderen.

Wanneer je actief bent op het internet, dan laat je eigenlijk overal je sporen na. Overal wordt data over je vastgelegd. Dit kan data zijn die je zelf verstrekt, maar ook data die bijvoorbeeld via cookies over jou wordt verzameld.

Persoonsgegevens zijn zeer waardevol, daarom moeten ze met veel meer zorgvuldigheid behandeld worden en beschermd worden dan tot nu toe het geval is geweest.

Bescherming persoonsgegevens



De huidige wetgeving stamt uit een tijd dat er nog geen internet was en voldoet dus niet meer. Met de AVG krijg je recht op meer inzicht in de gegevens die over jou zijn verzameld, je krijgt recht om je gegevens in te zien, te laten wijzigen of te laten verwijderen. Verder bepaalt deze wetgeving dat je toestemming moet geven, voordat er gegevens van jou mogen worden verzameld en/of verwerkt.
 

Consequenties voor website eigenaren

De voorgaande paragraaf over wat de AVG inhoudt, is wellicht wat lastig te lezen en te doorgronden. Ik heb getracht één en ander in mijn eigen woorden op te schrijven, maar je zult begrijpen dat het niet eenvoudig is om wetten te vertalen naar glasheldere tekst.

Waar je je in ieder geval bewust van moet zijn, is dat de AVG consequenties heeft voor website eigenaren. Wanneer je een website hebt, dan is de kans groot dat je persoonsgegevens verzamelt.

Heb je bijvoorbeeld een contactformulier op je website, dan dienen mensen daarin een naam en email adres in te vullen om contact met je te kunnen opnemen. Je verzamelt dan dus gegevens.

Heb je een contactformulier, dan kan de avg wetgeving van toepassing zijn



Heb je een webshop en doe je verkopen via je website, dan heb je gegevens van mensen nodig om deze verkopen daadwerkelijk te kunnen realiseren en goed te kunnen afronden. Ook dan verzamel en verwerk je dus gegevens en is de AVG van toepassing.

Kortom, voor de meeste website eigenaren zal dus deze wetgeving gaan gelden en zal je er dus actie op moeten ondernemen. In de volgende paragrafen zal ik ingaan op de acties die je als website eigenaar zult moeten gaan nemen.

Ik ben natuurlijk geen jurist en kan natuurlijk zaken over het hoofd zien of verkeerd interpreteren. Dit artikel dient dus ook beschouwd te worden als een poging om jou te helpen met de voorbereiding op de AVG wetgeving. Ik adviseer je om naast dit artikel ook zeker andere bronnen te raadplegen.

De belangrijkste dingen waar je als website eigenaar of internet ondernemer aan moet denken zijn:

  • Je moet expliciet toestemming vragen voor het verzamelen van gegevens.
  • Je moet transparant zijn over wat je met deze gegevens doet en met wie je ze deelt.
  • Je mag alleen die gegevens verzamelen die echt noodzakelijk zijn.
  • Je moet de verzamelde gegevens beveiligen.

Wat moet je doen?

Ik zal proberen een zo volledig mogelijk lijst te maken van zaken waar je aan kunt denken en die je kunt doen om je website en je internet activiteiten zoveel mogelijk te laten voldoen aan de AVG wetgeving.

Leg vast welke persoonsgegevens je verzamelt

Denk hierbij aan alle gegevens die iets zeggen of gekoppeld zijn aan een natuurlijk persoon. Dus:

  • Naam
  • Achternaam
  • Adres
  • Email adres
  • IP adres
  • Geboortedatum
  • Enzovoorts


het vastleggen van persoonsgegevens



Dus alle gegevens die zijn te koppelen aan een natuurlijk persoon vallen onder de AVG. Geanonimiseerde gegevens die niet te zijn herleiden naar een natuurlijk persoon vallen buiten de scope van de AVG.

Naast het vastleggen welke gegevens je verzamelt, dien je ook aan te geven:

  • hoe je dit doet
  • met welk doel je dit doet
  • hoe je de gegevens beveiligt
  • hoe lang je de gegevens bewaart
  • met wie je ze deelt.
Al deze informatie leg je vast in een privacy verklaring op je website.

Plaats een privacy verklaring op je website

Wanneer je via je website persoonsgegevens verzamelt en verwerkt, dan dient dit in een privacy verklaring expliciet en in heldere taal genoemd en uiteengezet te worden. De privacyverklaring die je op je website dient te plaatsen, moet in ieder geval de volgende informatie bevatten:

  • Informatie over jouw identiteit of de identiteit van je bedrijf.
  • Je contactgegevens (of die van je bedrijf).
  • Het doel (doelen) waarvoor je persoonsgegevens verzamelt.
  • Wie deze persoonsgegevens ontvangen (dus met wie deel je ze).
  • Hoe lang je de gegevens opslaat en obv welke criteria je de opslagtermijn bepaalt.
  • Dat mensen het recht hebben tot inzage in hun gegevens en correctie en/of verwijdering van hun gegevens.
  • Dat mensen het recht hebben om tegen het verzamelen en verwerken van hun gegevens bezwaar aan te tekenen.
  • Dat mensen het recht hebben om eerder gegeven toestemming tot het verzamelen en verwerken van gegevens in te trekken.
  • Dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
  • Of het wettelijk verplicht is dat men gegevens aan jou beschikbaar stelt, of dat het verstrekken van persoonsgegevens een contractuele verplichting is of dat het voorwaardelijk is voor de uitvoering van een contract of de levering van een dienst. Tevens dient duidelijk gemaakt te worden wat de gevolgen zijn wanneer iemand zijn of haar persoonsgegevens niet aan jou ter beschikking stelt.
  • Indien er sprake is van geautomatiseerde besluitvorming of profilering moet dit gemeld worden en moet ook vermeld worden wat daarvan het het belang is en wat de gevolgen ervan.
Het lijkt ingewikkeld om zo’n privacy verklaring te maken. Deze privacy verklaring generator kan een handig hulpmiddel zijn.

Cookies

Cookies en de AVG (GDPR)



Cookie zijn kleine bestanden die door een website worden opgeslagen op de PC van een bezoeker. Deze cookies bevatten informatie over de bezoeker. Er zijn grofweg twee soorten cookies: functionele cookies en tracking cookies.

Functionele cookies zorgen dat bepaalde functionaliteit op je website goed werkt. Heb je bijvoorbeeld een webshop, dan zorgt een cookie er voor dat de inhoud van het winkelwagentje bewaard wordt (handig wanneer iemand nog wat verder wil winkelen op je webshop).

Een andere functionele cookie kan zijn om bepaalde popup schermpjes uit te zetten. Als iemand een popup weg klikt, dan kun je dit in een cookie opslaan. De cookie zorgt er dan voor dat tijdens het website bezoek de popup niet meer geopend wordt.

Over het algemeen worden functionele cookies verwijderd, zodra iemand de website verlaat (aan het einde van de sessie).

Tracking cookies verzamelen informatie over het surfgedrag van bezoekers. Dus, welke pagina’s hebben ze bezocht, welke producten hebben ze bekeken etc. Met een tracking cookie is het bijvoorbeeld mogelijk om relevante advertenties te tonen op basis van pagina’s die mensen eerder hebben bezocht.

Voor functionele cookies hoef je in principe geen toestemming te vragen. Waar een bezoeker wel expliciet toestemming voor dient te geven, zijn cookies die informatie vastleggen over gedrag van individuele bezoekers (dus ook de tracking cookies).

Wanneer je een scherm toont om toestemming te vragen voor het gebruik van cookies, dan mogen de toestemmingsvinkjes van te voren niet al zijn aangekruist. De bezoeker moet ze dus zelf aanvinken.

De toestemming is 12 maanden geldig, daarna dien je opnieuw toestemming te vragen. Als een bezoeker binnen deze 12 maanden alsnog zijn of haar toestemming intrekt, dan vervalt ook de toestemming.

Wat ook niet meer mag, is een zogenaamde cookiewall. Dus een cookie melding die er voor zorgt dat je alleen van de website gebruik kunt maken, wanneer je aangeeft dat je akkoord bent met het gebruik van cookies door de site.

AVG Cookiewalls mogen niet meer vanaf 25 mei



Je mag de toegang tot je site niet meer ontzeggen aan mensen die geen cookies accepteren. Je moet mensen dus altijd toelaten op je website, ongeacht of men cookies accepteert of niet.

Een cookie extensie voor Joomla die claimt te voldoen aan de AVG wetgeving is EU e-privacy Directive.

Een AVG proof cookie plugin voor Wordpress is Cookiebot

Google Analytics

Met Google Analytics leg je het surfgedrag vast van de bezoekers op je website. Hiervoor worden ook cookies gebruikt. En de data wordt gedeeld met Google. Hiervoor dien je dus ook expliciet toestemming te vragen aan je bezoekers.

AVG Hoe om te gaan met Google Analytics



Dien je altijd toestemming te vragen voor het gebruik van Google Analytics? Nee, je kunt ook Analytics gebruiken zonder dat hiervoor expliciete toestemming vereist is. Je moet dan aan de volgende zaken voldoen:

Email marketing

Wanneer je nieuwsbrieven verstuurt en dus mensen op een mailinglijst plaatst, dan moeten mensen hiervoor ook expliciet toestemming geven.

Dus, wanneer je een optin box op je website hebt, waarin mensen een naam en een email adres kunnen invullen, dan dien je expliciet aan te geven dat mensen op een mailing lijst komen en wat voor soort emails je zult gaan versturen, hoe vaak je mailings zult versturen, of je data aan derden verstrekt.

Tevens dienen mensen middels een vinkje te bevestigen dat ze toestemming geven om op jouw mailinglijst geplaatst te worden. Ook hier geldt dat het vinkje om toestemming te geven niet automatisch al mag zijn aangevinkt. Bezoekers moeten zelf de toestemming aanvinken.

Ook dien je vast te leggen op basis van welke informatie men toestemming heeft gegeven. Je zou dus bijvoorbeeld een schermprint kunnen vastleggen van het optin formulier waarmee mensen hun toestemming hebben gegeven (mits op deze schermprint inderdaad de informatie staat op basis waarvan mensen hun toestemming hebben verleend).

Mocht je nu je mail statistieken bijhouden, dus je legt vast hoeveel mensen je mailings openen, hoeveel mensen op links klikken in je mail etc, dan dien je je bezoekers hierover in je privacy verklaring te informeren.

De ondubbelzinnige toestemming voor het toevoegen van mensen aan je mailinglijst geldt ook voor mensen die zich voor 25 mei 2018 (dus voor het actief worden van de AVG wetgeving) hebben ingeschreven op je nieuwsbrief.

Toestemming vragen

Erg belangrijk in de AVG wetgeving is dat je verplicht bent om expliciet toestemming te vragen voor het verzamelen en verwerken van persoonsgegevens.

Niet alleen moet je toestemming vragen, je moet ook kunnen aantonen dat je toestemming hebt gevraagd, wanneer je toestemming hebt gevraagd en waarvoor je precies toestemming hebt gevraagd.

Tevens moet je kunnen aantonen welke informatie iemand tot zijn of haar beschikking had toen deze persoon toestemming aan jou gaf om persoonsgegevens te verzamelen en te verwerken. Denk bijvoorbeeld aan het opslaan van schermprints van het scherm waarin je de toestemming vroeg.

Recht op inzage, wijzigen, meenemen en verwijderen

In de AVG wetgeving is bepaald dat mensen het recht hebben om hun persoonsgegevens in te zien, te (laten) wijzigen, mee te nemen en te (laten) verwijderen. Iemand mag dus bij jou zijn of haar gegevens opvragen, je bent dan verplicht de gegevens kosteloos binnen 30 dagen aan te leveren.

Het recht op portabiliteit houdt in dat mensen het recht hebben om eigen persoonsgegevens die door jou zijn vastgelegd mee te nemen naar andere organisaties. Je dient hiervoor de gegevens aan te leveren in een gangbaar electronisch formaat. In de richtlijnen van de autoriteit persoonsgegevens worden oa XML en CSV genoemd.

De gegevens waarover je inzage dient te kunnen verstrekken, zijn de persoonsgegevens die iemand zelf bij jou heeft aangeleverd.

Wanneer je een kleine onderneming hebt, dan kun je in principe volstaan met het benoemen van bovenstaande rechten in je privacy verklaring. Eventuele aanvragen zou je handmatig kunnen doen.

Voor grotere organisaties kan dit lastiger zijn, en zullen er technische oplossingen bedacht en geïmplementeerd dienen te worden.

Wat te doen met backups

Artikel 17 van de AVG wetgeving betreft het recht om vergeten te worden. Wanneer iemand een beroep doet op dit recht, dan dienen alle persoonsgegevens van deze persoon verwijderd te worden.

Maar wat nu te doen met backups? In je backups bevinden zich de data van je website/organisatie. In het geval van een calamiteit heb je deze backups nodig om één en ander weer te herstellen. Het maken en houden van backups is dus essentieel.

Echter, in je backups bevinden zich waarschijnlijk ook de persoonsgegevens van mensen die deze aan je verstrekt hebben. Ook dus de persoonsgegevens die je in je productie omgeving verwijderd hebt.



AVG en backups



Hoe nu om te gaan met je backups in relatie met het recht om vergeten te worden.

Jij als website eigenaar/internet ondernemer zult stellen dat het onmogelijk is om individuele gegevens te verwijderen uit backups. Volgens de wet ben je echter verplicht om te voldoen aan de wet, dus je dient ook het recht om vergeten te worden te honoreren.

Je kunt dus stellen dat er hier twee belangen op ramkoers zijn. Het belang van de website/ondernemer om backups te houden en het recht van een persoon om vergeten te worden. Zit er hier ergens lucht waarvan we gebruik kunnen maken?

Wanneer je kijkt naar artikel 12 (Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene) punt 3, dan staat daar dat aan verzoeken van personen omtrent hun gegevens binnen een maand gehoor dient te worden gegeven.

Met andere woorden, als een persoon verzoekt om vergeten te worden, dan moet je zijn of haar gegevens binnen een maand verwijderd hebben. Zoals ik het interpreteer, betekent dit dat je backups voor een periode van maximaal een maand zou kunnen bewaren.

Verder staat er in dit zelfde punt dat bij complexe situaties of bij een groot aantal verzoeken deze periode nog met 2 maand verleng kan worden. Wanneer je kunt aangeven dat deze situatie op jou van toepassing is, dan zou je je backups nog twee maanden langer kunnen bewaren.

Ik denk dat het voor de meeste websites voldoende zal zijn om backups max 1 maand te bewaren, en dat voor grotere, complexere websites 3 maanden voldoende zal zijn.

Wel is het zeer belangrijk om in je privacy verklaring aan te geven hoe je om gaat met je backups. Dus, hoe lang bewaar je ze en hoe zorg je er voor dat ze beveiligd bewaard worden.

Uiteraard is het ook zo dat, wanneer je een backup moet gebruiken voor het herstel van je website of je data, dat je de gegevens die in de originele situatie verwijderd waren, ook moeten worden verwijderd na het restoren van de backup.

Beveiliging van gegevens

De AVG wetgeving schrijft voor dat persoonsgegevens afdoende beveiligd dienen te worden. Hoe deze beveiliging is geregeld, dient te worden opgenomen in de privacy verklaring.

Nu al ben je verplicht om datalekken te melden binnen 72 uur. De AVG stelt wel strengere eisen aan de eigen registratie van datalekke. Je moet alle datalekken documenteren. Met deze documentatie moet de autoriteit persoonsgegevens kunnen controleren of je aan de meldplicht hebt voldaan.

De autoriteit persoonsgegevens geeft op haar website aan dat de precieze richtlijnen hiervoor op dit moment nog niet definitief zijn vastgesteld.



AVG beveiliging persoonsgegevens



Een belangrijke stap in de beveiliging is het gebruiken van een beveiligde verbinding voor je website. Kijk daarom ook zeker nog eens naar mijn artikel over beveiligde verbindingen.

Een functionaris voor gegevensbescherming

In sommige situaties kan het verplicht zijn om een functionaris voor gegevensbescherming in je organisatie te hebben. Dit is verplicht wanneer:

  • Je als organisatie vanuit een kernactiviteit op grote schaal individuen volgt, bijvoorbeeld voor profilering voor het maken van risico inschattingen, gezondheid etc.
  • Je een publieke- of overheidsorganisatie bent
  • Wanneer je op grote schaal bijzondere persoonsgegevens verzamelt (bijv. ras, geloof, sexuele geaardheid, politieke opvatting etc) en dit een kernactiviteit is.


AVG functionaris gegevensbecherming



Wanneer er in jouw organisatie een functionaris voor gegevensbescherming aanwezig is, dan dienen diens contactgegevens genoemd te worden in je privacy verklaring.

Een Data Protection Impact Assessment

Een Data Protection Impact Assessment (DPIA) is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt).

Bron: autoriteitpersoonsgegevens.nl DPIA.

Verwerkersovereenkomsten

Wanneer je de door jou verzamelde persoonsgegevens laat verwerken door derde partijen, dan dien je met deze partijen een verwerkersovereenkomst (data processing agreement) af te sluiten.

Mocht je nu denken dat dit voor jou niet van toepassing, denk dan om het volgende. Gebruik je bijvoorbeeld Google Analytics, dan verwerkt Google dus gegevens voor jou. Je dient dus met Google een verwekersovereenkomst af te sluiten.

Gelukkig is Google voorbereid, in je Analytics account kun je zo’n overeenkomst afsluiten/accepteren.

Maar denk ook aan andere partijen waaraan je data verstrekt ( bijvoorbeeld voor je email marketing, je boekhouder etc).

Onder andere de volgende zaken dienen in een verwerkersovereenkomst te staan:

  • Het onderwerp en de duur van de gegevensverwerking.
  • De aard en het doel van de gegevensverwerking.
  • Het soort persoonsgegevens.
  • De categorieën van betrokkenen.
  • De rechten en verplichtingen van de verwerkingsverantwoordelijke.
Bron: website autoriteit persoonsgegevens over verwerkersovereenkomsten .

Een voorbeeld van een verwerkersovereenkomst kun je hier vinden: privacycompany.eu.

Register verwerkingsactiviteiten

Je bent verplicht om een register verwerkingsactiviteiten bij te houden wanneer je persoonsgegevens verzamelt en verwerkt op niet-incidentele basis. Aangezien het verzamelen en verwerken van persoonsgegevens zelden incidenteel is, kun je er vanuit gaan dat je een dergelijk register zult moeten bijhouden als je persoonsgegevens verzamelt en verwerkt.

Je dient het register verwerkingsactiviteiten te kunnen overleggen, wanneer de autoriteit persoonsgegevens daarom vraagt.

Dit dient er in een dergelijk register te staan:

  • De naam en contactgegevens van je organisatie of de vertegenwoordiger van je organisatie.
  • eventuele andere organisaties en/of personen die gegevens voor je verwerken of met wie je gegevens deelt.
  • De Functionaris voor de gegevensbescherming (als die binnen je organisatie aanwezig is).
  • De doelen van het verzamelen en verwerken van persoonsgegevens.
  • Een beschrijving van de categorieën van personen van wie je gegevens verzamelt en verwerkt.
  • Een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen.
  • De datum waarop je de gegevens moet verwijderen (indien bekend).
  • De categorieën van ontvangers aan wie u persoonsgegevens verstrekt.
  • Of je gegevens deelt met instanties en/of organisaties buiten de EU.
  • Een algemene beschrijving van de technische en organisatorische maatregelen die je hebt genomen om persoonsgegevens die je verwerkt te beveiligen.
Op de website van de Belgische autoriteit persoonsgegevens kun je een voorbeeld register verwerkingsactiviteiten downloaden. Niet alles in dit voorbeeld is van toepassing (Franstalige benaming en KBO nummer) maar voor de rest is het prima te gebruiken voor het opstellen van je eigen register verwerkingsactiviteiten.

Een voorbeeld van een register verwerkingsactiviteiten.

Nieuwsgierig naar de complete AVG ?

Dit artikel is gebaseerd op mijn interpretatie van de AVG wetgeving en op informatie van andere bronnen.

Mocht je de gehele tekst van de wetgeving tot je willen nemen, dan kun je deze hier bekijken: de complete AVG Wet in PDF formaat.

Wat gebeurt er na 25 mei?

Je bent nu bijna aan het einde gekomen van dit best lange (en saaie) artikel. Daarvoor allereerst gefeliciteerd ;-).

Feestje



De AVG wetgeving zal actief worden vanaf 25 mei 2018. Vanaf die datum moet jouw website en/of internet onderneming voldoen aan deze wetgeving. Ik zou zeggen, wacht niet te lang met het doorvoeren van de benodigde acties, want voor je het weet is het zo ver.

Dan is er natuurlijk de vraag, in hoeverre zal men deze wetgeving echt gaan handhaven. Welke risico's loop je als je niets (of weinig) doet. Allereerst wil ik daarover het volgende zeggen:

Het kan best veel werk zijn om AVG proof te worden. Wanneer je dit artikel hebt doorgenomen en ook andere bronnen hebt geraadpleegd, duizelt je het misschien en denk je wellicht: "wat een gedoe om privacy in een tijd waarin bijna iedereen zijn hele hebben en houden op social media deelt".

Bedenk dan dat deze wetgeving er ook is om jou en je persoonlijke gegevens te beschermen. Je persoonlijke data is een belangrijk en kostbaar goed, het is dus heel mooi dat hierover nu eindelijk eens goede wetgeving voor is gemaakt.

Aan de andere kant begrijp ik ook dat het AVG proof maken van je website en je internet activiteiten best een karwei kan zijn. Ik sta zelf ook voor deze uitdaging.

Hoe en in hoeverre deze wetgeving gehandhaafd zal gaan worden, dat is afwachten. Ik kan me voorstellen dat er vooral naar de grote internet ondernemingen gekeken zal worden. Maar het kan natuurlijk ook zo zijn dat een aantal kleine websites worden aangepakt om een voorbeeld te stellen. De toekomst zal het leren.

Ik verwacht overigens niet dat je meteen hard gestraft en beboet zult worden, wanneer je nog niet helemaal voldoet aan de wetgeving na 25 mei. Ik denk dat er ook gekeken zal gaan worden wat je al wel hebt gedaan en er zal waarschijnlijk onderscheid gemaakt worden tussen websites/internet ondernemingen die te goeder trouw zijn of die met kwade opzet de regelgeving niet naleven.

Mocht je website of je internet onderneming nu eens onder de loep genomen worden en er worden een aantal zaken gevonden, dan zul je waarschijnlijk eerst een waarschuwing krijgen en de gelegenheid om de zaken op orde te maken.



politieagent

Bron: https://netspecialist.nl/  - Met toestemming geplaatst