Zijn jullie bezig met de AVG / GDPR regelgeving?

[Mathias@evelo]

Hallo,

 

Zoals de titel het zegt; zijn jullie daarmee bezig?

 

Ik heb er net wat over zitten lezen maar het is mij nog niet duidelijk of deze regels ook gelden voor een eenmanszaak/zelfstandige. Ik vermoed van wel.

 

Zelf verzamel ik niet actief persoonsgegevens bij mijn job maar als ik er over nadenk dan beschik ik toch wel over (relatief) veel adresgegevens, telefoonnummers, mails van klanten,...

 

Mijn facturatie doe ik via de website van Harvest. Dat is een amerikaans bedrijf. Zou ik best overwegen van over te schakelen naar een meer lokale service? Op zich geen groot probleem maar er komt wel wat gedoe bij kijken.

 

Hoe denken jullie over de GDPR?

 

[Mod edit: titel verduidelijkt met de NL-term]

 

[Floor May]

Helemaal mee eens, Norbert.

 

Hoe ik dit zie? Ik denk dat organisaties hier creatief mee om moeten gaan. Vooral goed moeten kijken naar hun doelgroep en daar dit beleid op afstemmen. Zo zijn er inderdaad ondernemingen die de privacyverklaring visueel maken (filmpje) of een push bericht sturen bij een app. Een goede vind ik zelf ook een gelaagdheid aanbrengen: zo kan de klant zelf op het kopje drukken wat hij op dat moment wil lezen, is het overzichtelijk en geef je toch alle info.

[pe7er]

Maar... een forum is dus één grote berg gebruikersgegevens. De software (phpBB) houdt automatisch IP-adressen bij, en een werkend e-mailadres is verplicht bij aanmelding. Ik vraag geen NAW gegevens, maar mensen delen die wel eens via het forum, hoezeer ik ook afraad om dat te doen. Erger nog, mensen bespreken er medische zaken, eigen medische diagnoses, politieke voorkeuren etc.

 

Ik help als Moderator op een internationaal community forum dat phpBB3 gebruikt. Het forum wordt voor en door de leden gebruikt voor technische ondersteuning. Wij krijgen wel eens verzoeken om accounts + berichten te verwijderen. In principe verwijderen we geen berichten omdat dan de discussies onleesbaar worden. Wel vragen we degene die hun account verwijderd wil hebben om de berichten met persoonlijke informatie te rapporteren. Vervolgens verwijderen wij daar de persoonlijke informatie uit en anonymiseren wij daarna het forum account (zetten het account uit, veranderen de forumnaam in iets als guest123123, verwijderen email adres/ signatuur etc).

 

Voor sommige webapplicaties zijn al "remove account" uitbreidingen beschikbaar.

Misschien ook voor phpBB3? Zie de beschikbare uitbreidingen/modificaties op https://www.phpbb.com/customise/

Of vraag op https://www.phpbb.com/community/

 

Ik zie door de bomen het bos niet meer. Betekent deze regelgeving het einde van mijn forum? Van alle fora?

 

Ik zou beginnen met de volgende dingen:

1. Inventariseer je verwerkingsactiviteiten (welke persoonlijke gegevens je verzamelt, met welk doel, hoe lang je het bewaart, wie de verwerkers zijn (hosting bedrijf,. accountant)). Je kunt dit gewoon in een spreadsheet doen.

2. Maak een overzicht met de technische en organisatorische maatregelen die je neemt om die gegevens te beschermen.

3. Zorg voor een verwerkersovereenkomst met partijen die de gegevens verwerken of bij de persoonlijke gegevens kunnen (bijv hosting bedrijf, accountant)

4. Zorg voor een privacy verklaring op je website.

Via https://veiliginternetten.nl/privacyverklaring/ kun je een basis daarvoor genereren.

 

Als je die zaken hebt gedaan, wordt het bos vast al wat overzichtelijker :)

 

[John B]

Ik heb (ongeveer) die vraag gesteld aan de Autoriteit Persoonsgegevens. Het antwoord (waar ik overigens geen rechten aan mag ontlenen :() is dat zo'n mailtje beschouwd zou kunnen worden als een intentie om te komen tot een overeenkomst en dat daarom de persoonsgegevens die in die mail staan gebruikt mogen worden om tot die overeenkomst te komen. Vervolgens moet de persoon in kwestie bij het totstandkomen van de overeenkomst nog wel toestemming geven voor het vastleggen van die gegevens (bijvoorbeeld door acceptatie van de algemene voorwaarden).

 

Daarbij werd verwezen naar de wettekst, artikel 1, lid b:

 

de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen

 

Het lijkt me daarbij vanzelfsprekend dat de acquisitie waar je het over hebt alleen in het kader van de inhoud van het mailtje mag plaatsvinden.

[soep]

Hoi Norbert,

 

Ik heb gelezen wat je schreef, mijn reactie deed echter anders vermoeden, excuses daarvoor.

 

Voor privé adressen, helemaal eens. Hetzelfde geldt geloof ik ook voor privé adressen van functionarissen van rechtspersonen.

 

Wat ik eigenlijk probeer te stellen is dat de data die wordt gedistribueerd in de adresbestanden van de KvK niet onder de AVG vallen. Het betreft data geregistreerd volgens de Handelsregisterwet en volgens deze wet wordt alleen data van ondernemingen geregistreerd.

 

Ik kan geen wetstekst vinden waaruit blijkt dat eenmanszaken, etc. als natuurlijke persoon beschouwd zouden moeten worden.

 

[John B]

Ik vraag me af hoe de identificatie plaats gaat vinden van mensen die gebruikmaken van het recht op inzage / aanpassing / verwijdering van hun gegevens.

 

In de wettekst kan ik hier niets expliciets over vinden. De Autoriteit Persoonsgegevens geeft aan dat dit zou moeten gebeuren op basis van een kopie paspoort, waarbij de foto en het BSN nummer onzichtbaar / onleesbaar zijn gemaakt.

 

Maar op basis waarvan kun je dan de identificatie doen? Je ziet op die kopie paspoort wel dingen als een geboortedatum, een geboorteplaats, een datum/plaats van afgifte en een handtekening, maar als dat gegevens zijn die je niet in je bestanden hebt staan (en dat zal lang niet altijd het geval zijn, wat overigens ook geldt voor de foto en het BSN nummer), kun je die dus ook niet controleren.

 

Is dit niet behoorlijk fraudegevoelig? Kun je sowieso de echtheid van zo'n kopie paspoort bepalen?

 

[MrHTTP]

Ik heb nog een paar vragen voor de juristen hier.

 

1) Je mag iemand niet onder druk zetten of benadelen als hij geen toestemming geeft. Een cookiewall mag dus niet meer, maar hoe zit het met een gratis e-book of kortingscode als ik me inschrijf voor een nieuwsbrief? Als ik me niet inschrijf (en dus geen toestemming geef om mij te mailen) krijg ik dat niet en word ik dus benadeeld / onder druk gezet.

 

2) Je mag de gegevens alleen gebruiken voor het doel waarvoor de toestemming gegeven is. Ik mag echter wel altijd bestaande klanten mailen. Mag ik een webshop klant die mij toestemming geeft om zijn mailadres te gebruiken om de bestelling af te handelen daarna ook aanbiedingen sturen? Dat is dan immers een bestaande klant, en bestaande klanten mag ik mailen. Of geldt dat alleen voor klanten die al klant waren voor de AVG?

 

3) En hoe zit het met een contactformulier en een nieuwsbrief inschrijving, er vanuit gaande dat de verstrekte informatie alleen gebruikt wordt voor het doel waarvoor ze verstrekt zijn (dus contact opnemen of een nieuwsbrief sturen) en verder niet wordt verwerkt in een database ofzo? Is dan een vinkje voor akkoord ook verplicht?

 

 

1)

Verkeerde gedachte. Klant/Bezoeker wil e-book/kortingscode, hiervoor is e-mailadres nodig om te sturen. Klant/Bezoeker vult dit in en krijgt wat is beloofd zonder verder vast te zitten aan spam of andere zaken (zoals vooraf gecommuniceerd in de voorwaarden).

Dit is toch een transparante en overzichtelijke werkwijze. Waar zit de benadeling in?

De klant is tot niets verplicht, hij/zij heeft zelf het recht niet geinteresseerd te zijn in je aanbod in deze setting :)

 

2)

De slimme methode voor nu en dat zie ik verschillende partijen doen is dit;

- Je mag je klanten ALTIJD mailen als onderdeel de afgenomen producten (goederen en diensten). De AVG stopt je bijv. niet om betalingsherinneringen te e-mailen. Terugroepacties etc.

- Voor al het andere heb je expliciet toestemming nodig en als je dat niet feitelijk ergens in je database (op dit moment) volgens de AVG regels (ookal was de WBP van kracht) kan terugvinden kun je het volgens de huidige regels tot 25 mei opnieuw vragen aan je klanten in een mailtje en alles rechtzetten.

Iedereen die niet reageert gaat dan op 25 mei van je mailinglist af.

- Andere manier is om je AVG compliance groots aan te kondigen via een e-mail (servicee-mail, geen promotie) en naar iederen te mailen hierbij kun je verwijzen naar de instel pagina voor opt-in e-mailsmailings.

- Komt er dus opneer dat 1) of je hebt al expliciet bewijs in je database omdat je systeem al heel erg privacy by design was of 2) je haalt dat nu in.

 

3)

Zelfde eigenlijk als 2.

 

P.S.

Ben geen jurist maar heb me goed verdiept in de technische implementatie van de AVG en hoe bedrijven daarop inspelen.

Doe ermee wat je wilt.

[UwJurist]

Als ik het wetsartikel goed begrijp, moet je van elke overnachtende persoon de gegevens opschrijven, niet alleen van de contractant.

Nee, zie lid 3:

3 Op nachtverblijf, verschaft aan meereizende echtgenoten, minderjarige kinderen of aan reisgezelschappen, is het voorgaande niet van toepassing.

438 Sr

[TwaBla]

 

Klasse-foto's anno 2018 - van RTL Nieuws.

 

[John B]

Is er al een definitieve en officiële - en bij voorkeur Nederlandstalige - versie van deze regels? Op de site van de rijksoverheid heb ik die (nog) niet kunnen vinden. Ik zie wel allerlei - soms ook heel vage - verhalen op websites van aanbieders van diensten op dit gebied, maar zou het wel prettig vinden om eerst ergens te kunnen lezen wat er nu precies voor regels gelden.

[Mathias@evelo]

Ha, dan ben ik toch al niet alleen :)

 

Ik ben oa hier begonnen: http://www.smartbiz.be/achtergrond/167961/de-gdpr-wetgeving-uitgelegd-vijf-vragen/

[Norbert Bakker]

Is er al een definitieve en officiële - en bij voorkeur Nederlandstalige - versie van deze regels?

 

 

Ja, die heet AVG, Algemene Verordering Gegevensbescherming

 

De AVG op Higherlevel

[Edo van Santen]

ik wacht het wel af. ik verwerk leads en klanten data met de hand en heb geen invul formulieren op mijn websites. Mocht het nodig blijken, kan ik altijd nog een privacyverklaring opstellen en publiceren.

 

ben ook benieuwd hoe de overheid met zijn data omgaat die ze met de sleepwet verzamelen ;-)

[Cosara]

Zoals de titel het zegt; zijn jullie daarmee bezig?

Ja, maar dat is niets nieuws, want voor mij is het slechts een voortzetting en aanscherping van de reeds bestaande privacywetgeving.

 

Ik heb er net wat over zitten lezen maar het is mij nog niet duidelijk of deze regels ook gelden voor een eenmanszaak/zelfstandige. Ik vermoed van wel.

De nieuwe wet geldt voor iedereen.

 

"Deze nieuwe Europese wet dwingt u als ondernemer tot meer actie en maatregelen wanneer u gegevens over klanten, personeel of andere personen vastlegt. Dit geldt voor alle zelfstandige ondernemers. Ook als u geen personeel in dienst heeft of slechts een paar klanten heeft. Al bij het versturen van een offerte, factuur of een nieuwsbrief dient u rekening te houden met de wet."

 

Voor meer informatie: Bereid u voor op de Algemene Verordening Gegevensbescherming (AVG)

 

Met de vriendelijke groeten van Nedzhibe

[John B]

Ja, die heet AVG, Algemene Verordering Gegevensbescherming

Dankjewel. Je moet dan nog wel via het linkje naar de Autoriteit Persoonsgegevens en vervolgens via het linkje naar de AVG naar een pagina waar een linkje naar de wettekst staat.

 

Op de pagina waar jij naar verwijst wordt alleen gesproken over "uw klanten", terwijl de wettekst heel specifiek begint met "De bescherming van natuurlijke personen ...". Ik neem aan dat dat inhoudt dat de wet alleen geldt voor bedrijven die gegevens van consumenten, eenmanszaken, VoFs en maatschappen vastleggen.

 

Die wettekst omvat 88 pagina's formele en niet altijd even makkelijk leesbare tekst, wat mij het gevoel geeft - in combinatie met het aantal aanbieders van diensten op dit gebied dat je via Google vindt - dat het vooral een wet is die de consultant-business wat extra leven in gaat blazen.

 

Betekent deze wet (bijvoorbeeld) ook dat de KvK niet langer gegevens over eenmanszaken door mag verkopen aan marketingbedrijven, maar daar nu eerst officieel toestemming voor moet gaan vragen? En dan dus ook niet de gegevens met een non-mailing indicator door mag geven met de melding dat de koper die gegevens niet mag gebruiken (wat ik altijd al vreemd heb gevonden)?

 

En de vraag is bijvoorbeeld of dit ook gevolgen heeft voor dit onlangs gestarte topic, want de wettekst heeft het ook over het vastleggen van IP-adressen om natuurlijke personen te kunnen herkennen. Het willekeurig vastleggen van IP-adressen van bezoekers van een website zou dus ook niet meer mogen?

 

Ik ben ook wel benieuwd waar het recht op inzage (inclusief verstrekking van de gegevens "in een gestructureerd, gangbaar, machineleesbaar en interoperabel formaat") en verwijdering allemaal toe gaat leiden. Als mensen dit massaal gaan doen (het verkrijgen van honderdduizenden handtekeningen voor een raadgevend referendum blijkt immers ook heel gemakkelijk te zijn, dus welke zonderling start de eerste oproep?) kan dit voor een bedrijf wel eens enorme gevolgen hebben.

 

Wat de oorspronkelijke vraag betreft over de toepasselijkheid van de wet voor eenmanszaken lees ik "Voorts worden de instellingen, organen en instanties van de Unie, en de lidstaten en hun toezichthoudende autoriteiten aangemoedigd om bij de toepassing van deze verordening de specifieke behoeften van de kleine, middelgrote en micro-ondernemingen in aanmerking te nemen." Ik neem aan dat daar dus nog aanvullende regels, bepalingen en uitzonderingen voor komen?

 

Tot slot vraag ik me af of de handhaving van deze wet op dezelfde lakse wijze gaat plaatsvinden als die bij de telecommunicatiewet inzake het bel-me-niet register en de regels rondom het versturen van ongevraagde e-mails.

[Ward van der Put]

De SEO van seminarslijters is beter, maar de Autoriteit Persoonsgegevens heeft een uitgebreid dossier ingericht voor de AVG. Daarin vind je onder meer de samenvatting In 10 stappen voorbereid op de AVG (PDF).

[Mathias@evelo]

Ik heb de teksten zo goed mogelijk proberen te lezen maar naar mijn gevoel wordt niet echt duidelijk wat je nu praktisch moet doen als eenmanszaak.

 

Als ik nadenk over mijn situatie dan worden er eigenlijk voortdurend persoonsgegevens en aanverwanten uitgewisseld al van bij het eerste klantencontact: ik ga eens ter plaatse, klant stuurt een mail met uitleg/foto's, ik stuur een offerte, een factuur,...

 

Dan zou ik bij iedere (mogelijke) klant op voorhand een briefje moeten laten tekenen waarop staat hoe ik om ga met hun privacy?

 

[Highio]

Een eenvoudig/praktisch driestappenplan:

 

Wat zijn persoonsgegevens?

Wat kan ik zelf doen?

Thematische beleidsregels

 

Groet,

 

Highio

 

[John B]

Een eenvoudig/praktisch driestappenplan:

Uit jouw eerste link eerst de stelligheid:

 

Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens.

Om die stelligheid dan vervolgens weer af te zwakken:

 

Tevens dienen telefoonnummers, kentekens van auto's en postcodes met huisnummers onder omstandigheden als een persoonsgegeven te worden aangemerkt.

en

 

Telefoonnummers zijn niet altijd persoonsgegevens in de zin van de wet, bijvoorbeeld niet ...

Waarin dat "bijvoorbeeld" bij mij de vraag oproept welke "(bij)voorbeelden" er nog meer zijn naast dat ene genoemde ...

 

[Highio]

Ik zou daar gewoon praktisch mee omgaan, dus geen telefoonnummers of adresgegevens van klanten doorgeven aan derden, behalve bijvoorbeeld aan een transporteur om een levering uit te kunnen voeren.

 

Mijn posting was een poging als leidraad voor Mathias, al fietst die niet in NL rond.

 

Onder 'Overzicht thematische beleidsregels' in 'mijn' derde link worden als actuele thema's beveiliging van persoonsgegevens en het melden van datalekken aangehaald. Harvest ken ik verder bijvoorbeeld ;D niet. Geen idee wat voor partij dat is.

 

Groet,

 

Highio

 

[Ward van der Put]

Voor telefoonnummers geldt hetzelfde als voor IP-nummers: het nummer is een persoonsgegeven als het direct tot één persoon te herleiden is. Het Engelse personally identifiable information (PII) drukt dat duidelijker uit.

 

Een huisadres is geen persoonsgegeven maar het adres van een huis. Het wordt een persoonsgegeven als je ook weet welke persoon in dat huis woont.

 

Ik zou daar gewoon praktisch mee omgaan, dus geen telefoonnummers of adresgegevens van klanten doorgeven aan derden, behalve bijvoorbeeld aan een transporteur om een levering uit te kunnen voeren.

Daar mag best nog een schepje bovenop — en waarschijnlijk beoogt de nieuwe privacyrichtlijn mede dat er veel bewuster mee omgegaan wordt.

 

Ik zeg altijd maar: persoonsgegevens die je zelf niet meer gebruikt, kunnen alleen nog worden misbruikt door derden. Waarom zou je iets bewaren dat je toch niet gebruikt?

 

Heeft Mathias het telefoonnummer van een klant nog nodig nadat hij daar de elektra heeft hersteld?

Zo nee, dan weg ermee.

 

Het vraagt dus vooral een andere mindset: het is niet langer normaal dat je zomaar klantgegevens bewaart; daar moet een duidelijk aanwijsbare en verdedigbare reden voor zijn.

 

(Wat ik persoonlijk wel interessant is, is hoe moeilijk het eigenlijk blijkt als je consequent back-ups maakt: daar zitten vaak nog de gegevens in die je eigenlijk wilt vernietigen of dacht te hebben vernietigd.)

 

[Cosara]

Voorlopig is de huidige Wet Bescherming Persoonsgegevens nog onverminderd van kracht.

 

Als ik de voorgaande reacties lees, is de inhoud van deze wet voor menigeen nog een grote onbekende.

 

Voor meer informatie over de WBP, zie: Handleiding voor verwerkers van persoonsgegevens - Wet Bescherming Persoonsgegevens. Uitgave door het Ministerie van Justitie, Den Haag, april 2002.

 

De nieuw beoogde wet Algemene Verordening Gegevensbescherming (AVG) doet daar nog een schepje bovenop. Als ondernemer zou ik daar toch wel een serieuze zaak van (gaan) maken.

 

zie ook: Autoriteit Persoonsgegevens.

 

Met de vriendelijke groeten van Nedzhibe

[Norbert Bakker]

De nieuw beoogde wet Algemene Verordening Gegevensbescherming (AVG) doet daar nog een schepje bovenop. Als ondernemer zou ik daar toch wel een serieuze zaak van (gaan) maken.

 

Het regent al stappenplannen, softwaretools en adviseurs op dat gebied, maar waar het uiteindelijk om draait is daadkracht en bewustwording.

 

Voor de liefhebbers van achtergrondinformatie en software of gebied van AVG/GDPR: komende week op 1 en 2 november is de Infosecurity beurs in de Jaarbeurs. Deelname na registratie is gratis.

 

^{(ondergetekende is er op woensdag 1 november, ik zal later op deze dag een agenda-item aanmaken voor als er meer HL-leden gaan en we elkaar kunnen/willen treffen)}

 

En voor de IT en security specialisten of juristen onder de HL-leden en lezers: een column over een vooral praktische "gezond boeren verstand" aanpak van AVG voor de ondernemer wordt zeer op prijs gesteld

(ja, ik zou m zelf wel weer kunnen schrijven: maar laat graag ruimte aan een ander ;))

 

[Maxn]

Zelf verzamel ik niet actief persoonsgegevens bij mijn job maar als ik er over nadenk dan beschik ik toch wel over (relatief) veel adresgegevens, telefoonnummers, mails van klanten,...

 

Ken de Belgische regels niet.

Maar in Nederland moet je nu ook al melding bij de Autoriteit Persoonsgegevens doen als je dergelijke persoonsgegevens langdurig wilt opslaan.

 

Alleen als je de klantgegevens binnen twee jaar verwijderd, of als je de gegevens op basis van andere wetgeving (zoals de fiscale bewaarplicht) langer moet bewaren, ben je vrijgesteld.

 

http://wetten.overheid.nl/BWBR0012461/2017-05-25#Hoofdstuk2_Paragraaf3_Artikel13

 

==

 

Ik ben ook wel benieuwd waar het recht op inzage (inclusief verstrekking van de gegevens "in een gestructureerd, gangbaar, machineleesbaar en interoperabel formaat") en verwijdering allemaal toe gaat leiden.

 

Het recht op inzage en verwijdering heb je nu toch ook al?

Alleen het recht op dataportabiliteit is nieuw.

Het is dus straks mogelijk om de gegevens in digitaal formaat te ontvangen.

 

[Floor May]

Kort samengevat: de reikwijdte van de AVG is enorm. Een uitbreiding ten opzichte van de WBP.

Als ik zo in de praktijk kijk, zal eigenlijk iedere organisatie die iets met persoonsgegevens doet ook iets met de privacyregels moeten doen. Dat was overigens nu onder de WPB ook al, maar het heeft veel meer aandacht nu (vermoedelijk vanwege de hoge boetes).

 

Door de bank genomen zullen er door eenmanszaken minder maatregelen getroffen hoeven worden dan door multinationals. Maar er zijn uitzonderingen, want niet alleen de omvang van organisaties speelt een rol. Ook is van belang of je veel data verzamelt. Of je trackt/monitort. En of je bijzondere persoonsgegevens verwerkt (denk aan medisch, religie etc).

 

Ik begrijp dat deze wet voor veel mensen als last wordt gezien, maar in het algemeen is het -wat mij betreft, en gelet op de wetgeving ook wat Europa betreft- niet erg dat organisaties transparant moeten zijn in wat ze met persoonsgegevens doen. Een groot misverstand is dat door de wet niets meer mag. Er mag een hele hoop, maar er gelden wel bepaalde regels waar je aan moet voldoen.

 

[John B]

Het recht op inzage en verwijdering heb je nu toch ook al?

Natuurlijk, maar net zoals Floor aangeeft komt er nu opeens weer een heleboel aandacht voor deze wetgeving en dat zou in deze tijd met allerlei nieuwe media en eenvoudig te communiceren massa-oproepen nog wel eens voor verrassingen kunnen zorgen.