In een uur klaar voor de AVG

Ben jij al AVG-ready?

Nog een paar dagen en dan wordt de AGV van kracht. De Algemene verordening gegevensbescherming. Je kunt er niet omheen. Via radiospotjes en andere media word je als consument geïnformeerd dat privacy iedereen aangaat en welke nieuwe rechten je vanaf 25 mei hebt.

Als actieve internetgebruiker krijg je de laatste weken steeds de vraag om de nieuwe privacy verklaring van sites waarop je ooit eens je e-mail adres hebt achtergelaten te accepteren. En als ondernemer is de AVG natuurlijk al lang gesneden koek. Want “dit is de nieuwe Europese privacywet waar iedere organisatie zich vanaf 25 mei 2018 aan moet houden” (bron: https://rvo.regelhulpenvoorbedrijven.nl/avg).

Dus ben jij vast al lang klaar voor de AVG. Of toch niet? Lees dan snel verder, want voor een kleine organisatie kost het echt niet veel tijd om te voldoen aan de nieuwe richtlijnen. Als je maar weet waar je je informatie moet zoeken en gebruikmaakt van wat handige hulpjes. Die heb ik voor je opgezocht!

Organisaties

De AVG geldt voor iedere organisatie. Dus niet alleen voor bedrijven met een commerciële doelstelling. Want “een organisatie is een samenwerkingsverband tussen twee of meer personen. Hierbij worden kracht, kennis en vaardigheden gebundeld om een doel te bereiken of in een behoefte te voorzien.” (bron: https://www.ensie.nl/redactie-ensie/organisatie). Of je nu kinderfeestjes organiseert voor het goede doel, zoals mijn dochter, busreisjes zonder winstoogmerk, zoals mijn schoonvader, of een bedrijf hebt zoals mijn zwager (ja, ik heb een ondernemende familie), de AVG geldt ook voor jou.

Bloggers

Zelfs als je niets organiseert, maar om welke andere reden dan ook persoonsinformatie verwerkt, geldt de AVG ook voor jou. Verwerken begint met verzamelen en wie verzamelt er nu niet telefoonnummers (ja, dat is ook persoonsinformatie) in zijn telefoon. Dus strikt genomen zou misschien wel iederéén moeten voldoen aan de AVG. Ik neem niet aan dat de nieuwe regels zó strikt geïnterpreteerd gaan worden, maar als je bv. een website onderhoudt waar mensen op kunnen reageren, zoals een blog of een website met een reactieformulier, verzamel je óók persoonsgegevens. Zoals bijvoorbeeld voor- en achternamen en e-mail adressen. En zoals gezegd, het is niet heel veel werk om ook dan aan de AVG te voldoen.

Dreams Matter en de AVG

Dat de AVG zeker ook voor Dreams Matter geldt is direct duidelijk als je even mijn diensten bekijkt. Want met Dreams Matter werk ik altijd samen met twee of meer personen: mezelf en degene die ik coach of waarmee ik een workshop organiseer. Dreams Matter is dus een organisatie en ik verzamel persoonsinformatie. Onder andere met mijn website: namen, e-mail adressen en hier en daar een droom. Althans, dat probeer ik.

Gelukkig bleek het nogal mee te vallen om de AVG richtlijnen toe te passen op Dreams Matter. Ik was er een uurtje mee bezig. Als jij een kleine organisatie runt en onderstaande stappen volgt ben ook jij binnen een uur klaar voor de AVG. Start de tijd!

 

 

Wat houdt de AVG in?

Mijn startpunt was de Regelhulp Algemene verordening gegevensbescherming (https://rvo.regelhulpenvoorbedrijven.nl/avg). Deze regelhulp biedt via een vraag- en antwoordspelletje heel snel inzicht in wat de AVG nu eigenlijk inhoudt en waar je aan moet voldoen.

Bijvoorbeeld over het verschil tussen persoonsgegevens (vraag 1) en bijzondere persoonsgegevens (vraag 2). Door op het ? te klikken krijg je uitleg over, in dit geval, bijzondere persoonsgegevens en kun je goed inschatten of jij die wel of niet verwerkt.

Door te spelen met het antwoord (ja of nee) krijg je onderaan de pagina te zien wat je moet regelen om ook bijzondere persoonsgegevens te mogen verwerken. Zo word je stap voor stap door alle AVG regels geleid. Ik was er een kwartiertje mee bezig en ontdekte onder andere dat ik met Dreams Matter:

  • Geen bijzondere persoonsgegevens verwerk.
  • Persoonsgegevens verwerk om een overeenkomst (coachingstraject, workshop) te kunnen uitvoeren.
  • Geen functionaris gegevensbescherming nodig heb, maar dat het misschien toch wel handig is om er een aan te stellen. Aangezien de keuze dan beperkt is heb ik mezelf dan ook maar meteen aangesteld.
  • Geen data protection impact assessment hoef uit te voeren, zo lang ik geen gegevens van kwetsbare personen ga verwerken. Kwetsbare personen zijn bijvoorbeeld kinderen tot 16 jaar en mensen waarmee je een ongelijke machtsverhouding hebt. Als coach en ook bij workshops streef ik juist naar een gelijke machtsverhouding.
  • Misschien behoefte heb aan een register van verwerkingsactiviteiten. Want dat is nodig als je bijbvoorbeeld persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is. Helaas is de Regelhulp niet heel duidelijk over wat dan incidenteel is (“in de praktijk zijn verwerkingen zelden incidenteel”), maar wanneer wordt zelden regelmatig? Gelukkig bleek het opstellen van een register van verwerkingsactiviteiten erg eenvoudig te zijn.
  • Zeker een “beleid voor informatiebeveiliging” oftewel een gemakkelijk te vinden privacy verklaring moet opstellen.

Ik besloot om met dat laatste te beginnen.

 

Privacy verklaring

Op internet zijn handige gratis tooltjes te vinden voor van alles en nog wat. Zo ook voor het opstellen van een privacy verklaring die voldoet aan de AVG. Na wat googelen koos ik voor de privacy verklaring generator van veiliginternetten.nl (https://veiliginternetten.nl/privacyverklaring-generator-start/start).

De tool vraagt naar de naam van je organisatie, of je mensen met u of jij aanspreekt, welke persoonsgegevens je verwerkt en waarom en nog zo wat. Allemaal vragen die helemaal overeenkomen met de vragen die ook bij de Regelhulp Algemene verordening gegevensbescherming al voorbij kwamen. De antwoorden weet je dus al en binnen een paar minuten heb je zo de basistekst voor je privacy verklaring.

Ook die basistekst aanvullen met wat onderwerpen waar de privacy verklaring generator niet expliciet naar vroeg, zoals wat dan precies de diensten zijn die je aanbiedt, kostte me niet veel tijd. Daarna nog wat opmaak toepassen en de tekst gemakkelijk vindbaar maken door die online te zetten als de privacy verklaring van Dreams Matter.

Zo was ik in twintig minuten klaar met de privacy verklaring voor Dreams Matter, waarbij het online zetten en, via linkjes op de pagina’s waar dat nodig is, goed vindbaar maken van de verklaring nog wel het meeste tijd kostte.

 

Register verwerkingsactiviteiten

Hoewel ik niet zeker weet of ik incidenteel of geregeld persoonsgegevens verwerk voor Dreams Matter leek het met een goed idee om toch wel een register van verwerkingsactiviteiten samen te stellen. Vooral toen ik las wat dat nou eigenlijk is. De site van de Autoriteit persoonsgegevens geeft daarover heel helder informatie.

Het komt er op neer dat je een bestandje bijhoudt waarin je aangeeft welke persoonsgegevens van wie je bijhoudt en wanneer je die gegevens weer zult verwijderen. Voor een kleine organisatie als Dreams Matter kan dat prima met de hand. Ik heb dus snel een Excel documentje gemaakt met daarin de kolommen:

  • Voor- en achternaam
  • E-mail adres
  • Telefoonnummer
  • Foto
  • Testimonial tekst
  • Toestemming foto + testimonial tekst
  • Coachingsgegevens
  • Verwijderen op
  • Verwijderd

In de kolommen achter de naam geef ik met vinkjes aan of ik dat type persoonsgegevens van die persoon verwerk en wanneer ik die gegevens weer zal verwijderen uit mijn systemen.

Om een overeenkomst met een klant te kunnen uitvoeren heb ik deze gegevens nodig, en niet meer dan dat. Met één uitzondering: ‘testimonial’ is geen dienst die ik lever. Om de testimonialtekst + foto te mogen verwerken heb ik dus een andere verwerkingsgrondslag nodig. “Toestemming” is dan de enige optie, maar toestemming is zeker niet de beste verwerkingsgrondslag zoals Charlotte in onderstaand filmpje uitlegt.

 

Mijn register van verwerkingsactiviteiten is dus best belangrijk. In ieder geval om indien nodig te kunnen aantonen dat ik de testimonialtekst + foto mag verwerken. Maar ook om ervoor te zorgen dat ik coachingsgegevens niet al te lang bewaar. Want waarom zou ik coachingsgegevens blijven bewaren als een coachingstraject eenmaal goed is afgesloten?

Inclusief bekijken van het filmpje kostte deze stap me tien minuten.

 

Verwerkingsovereenkomsten

In de privacy verklaring geef je ook aan met welke systemen je de persoonsgegevens verwerkt. Dat kunnen bestanden zijn die je lokaal op één computer hebt staan. Maar als je net als ik slimmer werkt maak je vast gebruik van diensten die door andere organisaties geleverd worden. Zoals bijvoorbeeld webmail of cloud opslag.

Om te voldoen aan de AVG moet je daarom verwerkingsovereenkomsten afsluiten met de leveranciers van die diensten. Als het betrouwbare diensten zijn hoef je daar zelf vrij weinig aan te doen. Want ook zij willen voldoen aan de AVG en stellen oa. hun privacy verklaringen en standaardovereenkomsten op. Die komen dus vanzelf naar je toe en je hoeft ze alleen maar te accepteren. Regelen van verwerkingsovereenkomsten kost je als het goed is dus geen tijd.

Mocht je gebruikmaken van diensten die je niet zo’n nieuwe privacy verklaring en -overeenkomst sturen, dan is dit een goed moment om die diensten in te ruilen voor andere diensten. Diensten die privacy wél serieus nemen.

Vinkje op de i – privacy by design

Toen dacht ik dat ik helemaal klaar was voor de AVG. Tot ik via een discussie in de facebookgroep WordPress support een vraag las over plugins om te voldoen aan de AVG. Plugins hebben te maken met de opbouw van je website. Omdat er in de Regelhulp geen expliciete informatie staat over websites had ik dit toch wel belangrijke punt over het hoofd gezien.

Wel geeft de Regelhulp informatie over “Privacy by design”. Eén van de ontwerpregels daarbij is dat je mensen niet vraagt om ‘by default’ in te stemmen met jouw privacy verklaring. Een doel van de AVG is juist om mensen bewust te maken dat privacy iedereen aangaat. Door alleen een tekst zoals ‘hiermee stem je automatisch in met…’ bereik je dat niet. Het is de bedoeling dat je de bezoekers van je website expliciet de mogelijkheid geeft om wel of niet in te stemmen met het verwerken van hun persoonsgegevens.

Voor WordPress zijn er verschillende plugins die je daarbij kunnen helpen, zie bijvoorbeeld https://www.sowmedia.nl/wordpress/plugins/avg-gdpr-proof/amp. Voor andere CMS’en heb ik het niet onderzocht, maar Google is daarbij vast je vriend.

Uit de lijst van Sowmedia koos ik een eenvoudige plugin waarmee ik op de plekken waar bezoekers van dreamsmatter.nl reactiemogelijkheden hebben (formulieren en blogposts) nu een hokje aantreffen dat ze kunnen aanvinken, met daarachter de link naar mijn privacy verklaring.

Implementeren van die plugin kostte niet veel tijd. Het opnieuw opmaken van de formulieren was iets meer werk, maar na nog een kwartiertje was Dreams Matter naar mijn mening helemaal klaar voor de AVG.

 

 

Disclaimer

Ik ben geen jurist of privacy expert. Bovenstaande heb ik naar mijn beste weten uitgezocht en geïmplementeerd. Je kunt er geen rechten aan ontlenen en bent als organisator zelf verantwoordelijk voor het implementeren van jouw privacy beleid. Mocht je in mijn aanpak punten missen of onderdelen zien die ik niet goed heb geïnterpreteerd dan hoor ik het graag. Ik neem privacy serieus, Jij ook?

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.