Als je bij ons een website hebt waarin je persoonsgegevens (adres, e-mail, bankgegevens, ip-addressen, etc) verzamelt, bijvoorbeeld een webwinkel of nieuwsbrief, dan ben je gehouden aan de Algemene verordening gegevensbescherming (AVG) die per 25 mei 2018 is ingegaan. Met deze Europese wet is de bescherming van privacygevoelige informatie stevig aangescherpt. Daarmee is de eerdere Wet bescherming persoonsgegevens (Wbp) komen te vervallen.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle data die te herleiden zijn naar een persoon. Bijvoorbeeld naam- en adresgegevens, telefoonnummers, foto's of ip-adressen. Er wordt ook onderscheid gemaakt tussen de gevoeligheid van persoonsgegevens. Bij bijzondere persoonsgegevens, zoals bijvoorbeeld gegevens over iemands gezondheid, etniciteit, politieke opvatting, geloofsovertuiging, kredietwaardigheid of strafrechtelijk verleden, gelden er nog strengere regels. Neem in dat geval even contact met ons op.
Meldplicht
Als eigenaar van de website heb je de rol als Verantwoordelijke en ben je aansprakelijk bij eventuele datalekken. Onder een datalek wordt o.a. verstaan toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens door onbevoegden.
Voorbeeld: een Wordpress website met daarin een database van e-mailadressen voor een wekelijkse nieuwsbrief wordt gehackt via een onveilige plugin. De verzamelde persoonsgegevens komen daarbij op straat te liggen.
Zodra je dit merkt heb je als Verantwoordelijke een meldplicht bij de Autoriteit persoonsgegevens (meldloket). Bij overtreding van de meldplicht datalekken uit de AVG kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen, dit kan flink oplopen tot maar liefst maximaal 4 procent van de jaaromzet of maximaal 20 miljoen euro.
Ons advies
Om de privacy van de belanghebbende te waarborgen heb je als Verantwoordelijke de plicht om zorgvuldig om te gaan met de verzamelde persoonsgegevens.
We adviseren je daarom het volgende:
- Houd je website en CMS veilig en up-to-date
- Sluit verwerkersovereenkomsten af met je Verwerkers
- Beperk het aantal persoonsgegevens dat je bewaart
- Verwijder verouderde persoonsgegevens die niet langer worden gebruikt
- Zorg voor een versleuteling van de verbinding met je website middels HTTPS
- Zorg voor een beveiligde verbinding met je mail, zie E-mail instellen
Neem bij twijfel contact op met je webdeveloper
Verwerkersovereenkomst met Oni
Onze rol als webhoster is die van Verwerker. Een Verwerker verwerkt persoonsgegevens ten behoeve van de Verantwoordelijke, in ons geval het beheren van de ICT-infrastructuur waar de website op draait.
In een verwerkersovereenkomst spreek je als Verantwoordelijke een aantal zaken met je Verwerker af, bijvoorbeeld over geheimhouding. Op je Profiel pagina vind je de mogelijkheid om akkoord te gaan met onze verwerkersovereenkomst.
Meer informatie
Je vindt meer informatie over de Algemene Verordening Gegevensbescherming op rijksoverheid.nl en autoriteitpersoonsgegevens.nl. Uit eigen ervaring kunnen we het Handboek AVG Compliance in de praktijk van ICTrecht aanbevelen.