Technisch · 4 min lezen

AVG

De AVG (Algemene Verordening Gegevensbescherming) is de Europese privacywet die bepaalt hoe je als bedrijf met persoonsgegevens omgaat. Elke website met een contactformulier of analytics valt eronder.

Inhoudsopgave
  1. De AVG als huisreglement voor persoonsgegevens
  2. Wat er misgaat als je de AVG negeert
  3. Zo regel je de AVG voor jouw website
  4. AVG als verkoopargument
  5. Veelgestelde vragen

Je start een contactformulier op je website, voegt Google Analytics toe voor bezoekerscijfers en stuurt nieuwsbrieven via Mailchimp. Gefeliciteerd: je verwerkt persoonsgegevens en valt daarmee onder de AVG, de Algemene Verordening Gegevensbescherming. Dat klinkt zwaarder dan het is. De AVG is simpelweg een set spelregels voor hoe je omgaat met gegevens van echte mensen: namen, e-mailadressen, IP-adressen, telefoonnummers. Weet je wat de regels zijn, dan is het prima te beheren.

De AVG als huisreglement voor persoonsgegevens

Stel je voor dat je een kantoor hebt. Klanten laten er hun visitekaartje achter, je noteert hun telefoonnummer in een schrift en soms kopieer je hun paspoort voor een contract. Er zijn regels over wat je met die papieren doet: je gooit ze niet zomaar bij het oud papier, je deelt ze niet met iedereen en je bewaart ze niet eeuwig. De AVG is dat huisreglement, maar dan voor digitale gegevens.

De wet stamt uit 2018 en geldt voor alle bedrijven die gegevens verwerken van mensen in de Europese Unie. Groot of klein maakt niet uit. Een eenmanszaak met een contactformulier op haar website valt er net zo goed onder als een multinational. De achterliggende gedachte: mensen hebben het recht te weten wat er met hun gegevens gebeurt, en bedrijven hebben de plicht dat transparant te maken.

Conceet gaat het om drie basisregels. Je verzamelt alleen wat je echt nodig hebt. Je gebruikt het alleen voor het doel waarvoor je het hebt gevraagd. En je bewaart het niet langer dan nodig.

Wat er misgaat als je de AVG negeert

De Autoriteit Persoonsgegevens (AP) is de toezichthouder in Nederland. Ze kunnen boetes opleggen tot 20 miljoen euro of 4 procent van je wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. In de praktijk begint de AP bij kleine bedrijven doorgaans met een waarschuwing of een bindende aanwijzing. Maar reken er niet op.

Belangrijker dan de boete is het vertrouwen van je klant. Als duidelijk wordt dat jij hun gegevens slecht beheert of doorverkoopt zonder toestemming, is de reputatieschade groter dan welke boete ook. Mensen kiezen bewust voor bedrijven die zorgvuldig met hun privacy omgaan.

De meest voorkomende fouten zijn:

  • Een cookiebanner die al cookies plaatst voordat de bezoeker op "akkoord" drukt
  • Geen privacyverklaring op de website, of een verklaring die niet klopt met wat de site doet
  • Klantgegevens onnodig lang bewaren (langer dan de wettelijke termijn voor je administratie)
  • Geen verwerkersovereenkomst met externe partijen die gegevens voor je verwerken
  • Een datalek niet melden binnen 72 uur bij de Autoriteit Persoonsgegevens

Zo regel je de AVG voor jouw website

De meeste websites van kleine bedrijven en zzp'ers zijn prima AVG-compliant te maken. Dit zijn de stappen:

Privacyverklaring. Schrijf op welke gegevens je verzamelt, waarvoor je ze gebruikt, hoe lang je ze bewaart en met wie je ze deelt. Geen juridisch jargon: schrijf in gewone taal. Vermeld ook de rechten van je bezoekers, zoals het recht op inzage en het recht op verwijdering.

Cookiebanner. Plaats een banner die de bezoeker vraagt om toestemming voor niet-functionele cookies, dus analytics en marketingcookies. Pas na het klikken op akkoord worden die cookies geplaatst. Tools als Cookiebot, CookieYes of Complianz helpen je dit technisch goed in te stellen.

Verwerkersovereenkomst. Gebruik je externe diensten die gegevens voor je verwerken, denk aan je e-mailmarketingsoftware, je hosting -partij of een boekhoudsysteem? Dan moet je een verwerkersovereenkomst met ze sluiten. De meeste grote dienstverleners bieden dit standaard aan in hun instellingen.

Formulieren. Vraag alleen wat je echt nodig hebt. Voor een contactformulier op een gewone website laten maken is naam plus e-mailadres in de meeste gevallen genoeg. Verplicht geen veld dat je niet gebruikt.

Bewaartermijnen. Stel in je systemen in hoe lang je gegevens bewaart. Financiële gegevens bewaar je 7 jaar op grond van de belastingwet. Contactformulierdata heeft geen wettelijke bewaartermijn: verwijder het zodra je de vraag hebt afgehandeld.

Bouw je een webshop laten maken ? Dan speel je met meer gegevens: factuurdata, bezorgadressen, betalingsgegevens. Zorg dat je betaalprovider (via iDEAL of Stripe) zelf PCI-DSS gecertificeerd is, zodat jij geen ruwe betaalgegevens opslaat.

AVG als verkoopargument

De wet zit slim in elkaar: wie de AVG serieus neemt, geeft zijn klanten een reden om hem meer te vertrouwen. Een privacyverklaring die gewoon leesbaar is, een cookiebanner die niet manipulatief is en een formulier dat om niets vraagt wat je niet nodig hebt: dat zijn kleine dingen die samen een betrouwbare indruk geven.

Bij Laanify regelen we bij elk webdesign -project de technische kant van AVG-compliance mee: cookiebanner, privacyverklaring, formulierbeveiliging. Zo start je compliant en hoef je er achteraf niet alsnog werk van te maken.

Veelgestelde vragen

Geldt de AVG ook voor mijn eenmanszaak?

Ja. De AVG kijkt niet naar de rechtsvorm of omvang van je bedrijf, maar naar of je persoonsgegevens verwerkt. Heb je een contactformulier, nieuwsbrief of analytics? Dan valt je website eronder.

Wat is het verschil tussen de AVG en de GDPR?

Niets inhoudelijks. AVG is de Nederlandse naam (Algemene Verordening Gegevensbescherming) en GDPR de Engelse afkorting (General Data Protection Regulation). Het is exact dezelfde Europese wet.

Moet ik een datalek altijd melden?

Alleen als het datalek een risico vormt voor de rechten en vrijheden van de betrokkenen. Raak je iemands naam en e-mailadres kwijt? Dan hangt de meldingsplicht af van de context. Raak je medische gegevens of wachtwoorden kwijt? Dan meld je het binnen 72 uur bij de Autoriteit Persoonsgegevens, en mogelijk ook bij de betrokkenen zelf.

Hoe lang mag ik klantgegevens bewaren?

Niet langer dan nodig voor het doel. Facturen en financiële gegevens bewaar je 7 jaar voor de Belastingdienst. Nieuwsbriefadressen bewaar je zolang iemand zich niet heeft afgemeld. Contactformulierdata kun je na afhandeling van de vraag verwijderen.

Heb ik een verwerkersovereenkomst nodig met Google Analytics?

Ja. Als je Google Analytics gebruikt, verwerkt Google persoonsgegevens in jouw opdracht. Google biedt standaard een Data Processing Amendment (verwerkersovereenkomst) aan die je via je accountinstellingen kunt accepteren. Doe dat ook.

Veelgestelde vragen

Geldt de AVG ook voor mijn kleine eenmanszaak?

Ja. De grootte van je bedrijf maakt niet uit. Zodra je persoonsgegevens van EU-inwoners verwerkt, valt je website onder de AVG. Een contactformulier met naam en e-mailadres is genoeg.

Wat moet er in mijn privacyverklaring staan?

Welke gegevens je verzamelt, waarom, hoe lang je ze bewaart, of je ze deelt met derden, en hoe bezoekers hun rechten kunnen uitoefenen.

Wat is de boete voor overtreding van de AVG?

De AP (Autoriteit Persoonsgegevens) kan boetes opleggen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. In de praktijk krijgen kleine bedrijven bij een eerste overtreding vaak een waarschuwing.

Is een AVG-privacyverklaring hetzelfde als een cookiebanner?

Nee. Een privacyverklaring is een document dat uitlegt hoe je met gegevens omgaat. Een cookiebanner is het toestemmingsmechanisme voor cookies. Je hebt beide nodig.

JL

Joey Laan

Oprichter van Laanify

Joey bouwt en onderhoudt websites en webshops voor ondernemers in heel Nederland. Vaste prijzen, korte lijnen en geen jargon.

Plan een kennismaking →

Klaar voor een website die klanten oplevert?

Vertel kort wat je nodig hebt. Je krijgt binnen 24 uur een eerlijk antwoord en een vaste prijs.