AVG Checklist


Privacy- en cookieverklaring

Als website eigenaar ben je wettelijk verplicht om bezoekers te informeren over de gegevens die je verzamelt en met welk doel. Deze informatie omschrijf je in de privacy en cookieverklaring op de website. Beide moeten eenvoudig te vinden zijn door de bezoeker. (meestal doormiddel van een link in de footer). Het is ook belangrijk dat je voor ieder contact of bestel formulier verwijst naar deze pagina(s).

Privacyverklaring

Hierin staan welke persoonsgegevens je verzamelt en met welk doel. Geef ook duidelijk aan hoe lang je de gegevens bewaart en op welke manier deze gegevens worden beveiligd. Laat duidelijk weten aan de bezoeker welke privacyrechten ze hebben en op welke wijze ze een van deze rechten kunnen indienen.

Cookieverklaring

Beschrijf wat cookies zijn, welke cookies (mogelijk) worden gebruikt door de website, welk doel deze cookies dienen en hoe de bezoeker deze cookies in en uit kunnen zetten. Bepaalde cookies mogen pas opgeslagen worden zodra de bezoeker hier toestemming voor heeft gegeven. Lees hier welke cookies je mag plaatsen zonder toestemming.

 

Beveiliging van persoonsgegevens

 

Formulieren en accounts

Het is niet toegestaan om gegevens te vragen die niet noodzakelijk zijn voor het doel dat je wilt bereiken. Vermeld voor alle data welke de bezoeker achter laat wat je met deze gegevens gaat doen of waar je deze voor nodig hebt. Verwerk dus enkel persoonsgegevens die nodig zijn voor het doel dat je wilt bereiken.

 

Opt-in & opt-out

Alle bezoekers hebben het recht op beperking van de verwerking. Dit houdt in dat een gedeelte of alle gegevens van bezoekers verwijderd moeten worden indien ze hier om vragen. De bezoeker moet zich net zo makkelijk kunnen afmelden (voor bijvoorbeeld een nieuwsbrief of het plaatsen van cookies) als dat ze zich kunnen aanmelden. De knop “afmelden voor deze nieuwsbrief” als de cookie instellingen van de website moeten goed zichtbaar zijn voor de bezoeker.

Cookies mogen pas opgeslagen worden nadat de bezoeker ‘actief’ akkoord is gegaan. Dit betekent dat de bezoeker een actieve handeling (klik) moet verrichten om akkoord te gaan. In de meeste gevallen zal het gaan om een niet actieve checkbox die nog niet is aangevinkt welke de gebruiker actief aan moet vinken om akkoord te gaan. Dus het vakje ‘Ja, ik ga akkoord met…’ mag niet langer vooraf aangevinkt zijn.

De bezoeker moet makkelijk de cookie-instellingen kunnen vinden en wijzigen. Ditzelfde geldt voor het aan of afmelden voor nieuwsbrieven en het maken of verwijderen van een account.

Het is niet langer toegestaan om gebruik te maken van een cookiewall. De website moet ook functioneren als een bezoeker niet akkoord gaat met het plaatsen van cookies.

 

Verwerkersovereenkomsten

In veel gevallen worden persoonsgegevens van je website op meerdere plekken opgeslagen. Wanneer een derde partij persoonsgegevens voor je verwerkt ben je verplicht om met die partij een verwerkersovereenkomst af te sluiten. In deze overeenkomst staan afspraken over hoe een andere partij omgaat met de persoonsgegevens.

Maak een overzicht van alle partijen die persoonsgegevens van de website voor je verwerken en sluit met elk van hen een verwerkersovereenkomst af. Denk eventueel aan de software die je gebruikt voor het versturen van je nieuwsbrief, of aan de plugins die je gebruikt op je website. Maar ook je boekhouder en hostingpartij kunnen hier onder vallen.

Grotere bedrijven (Google) hebben zelf een verwerkersovereenkomst die je kunt tekenen. Indien ze er geen hebben stel er dan zelf een op of laat het doen.

Bewaartermijn van persoonsgegevens

Een van de basisbeginselen van de AVG is dat een organisatie gegevens niet langer mag bewaren dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Dus zodra je persoonsgegevens niet langer nodig hebt voor het doel waarvoor je ze verzamelt ben je verplicht deze te verwijderen uit je database. Zowel uit je eigen database als die van bijvoorbeeld je nieuwsbrief software/systeem of welk ander systeem dan ook.

De bewaartermijn mag je zelf bepalen mits je goed kan beargumenteren waarom je deze termijn hanteert. De termijn samen met een omschrijving van de gegevens die je verzamelt leg je vast in een register van verwerkingsactiviteiten. Het omschrijven van welke gegevens je verzamelt en welke bewaartermijn je hiervoor hanteert leg je vast in een register van verwerkingsactiviteiten. Lees hier of je organisatie verplicht is om een register vast te leggen en wat er in dit register van verwerkingsactiviteiten moet staan.

Voor alle persoonsgegevens die je via je website verzamelt moet je technische maatregelen nemen om ervoor te zorgen dat deze gegevens automatisch worden verwijderd nadat de door jou vastgestelde bewaartermijn is verstreken.

Lees hier voor een gedetaileerde lijst met aanbevelingen & aandachtspunten bewaartermijnen.

 

Geen van de informatie op deze pagina is bedoeld als juridisch advies en hieraan kunnen geen rechten worden ontleend.