Martijn Beumers
14-4-2020

Zó maak je jouw online platform AVG-proof

Inmiddels is de General Data Protection Regulation (GDPR) alweer een tijdje van kracht. De Europese verordening, die privacyrechten van mensen versterkt en uitbreidt. De impact voor organisaties is groot. Zeker als zij gebruikmaken van online platformen waarin veel persoonsgegevens omgaan. De gevolgen kunnen verstrekkend zijn. In actie komen dus! Maar... hoe maak je jouw online platform GDPR-proof? Lees het in deze blog.

Ben jij eigenaar van een website of webshop? Een app? Of een chatbot? Dan ben je vrijwel altijd verwerker van persoonsgegevens - misschien wel meer dan je zelf denkt. Ga maar eens na of jouw klanten, leveranciers of medewerkers weleens gegevens in moeten vullen. Gerede kans dat er functionaliteiten op jouw online platform staan - aanmelden voor nieuwsbrief, invullen van bestelformulier, communiceren via een chatbot - waarbij er persoonsgegevens aan te pas komen. En al die data sla je op. 

GDPR, een uitgebreid onderwerp waarover we in deze blog een aantal onderdelen in hoofdlijnen uitlichten, dwingt je ertoe daar uiterst zorgvuldig mee om te gaan. Wees je als eigenaar van een online platform bewust van privacy, dataveiligheid en wat de Algemene verordening gegevensbescherming (AVG), zoals de nieuwe regelgeving in het Nederlands heet, van jou vereist.

Verzamel alleen relevante informatie, sla alleen op wat je écht nodig hebt. Bewaar data op een veilige plaats. En geef mensen inzage in hun gegevens als zij daarom vragen. Zij hebben volgens de AVG namelijk onder meer recht op toegang tot de verwerkte gegevens, op beperking van de verwerking ervan, op rectificatie, op overdraagbaarheid van data (dataportabiliteit), op bezwaar (opt-in/opt-out) én ze hebben het recht om vergeten ofwel gewist te worden.

Privacy by design

Welke technische implicaties heeft dit voor jouw online platform? Hoe maak je dat AVG-proof? In elk geval door privacy by design toe te passen: al tijdens de ontwikkeling van producten en diensten houd je rekening met privacy van gebruikers. Bijvoorbeeld door (technische) maatregelen te nemen die persoonsgegevens beschermen.

Draait jouw online platform al? Ook dan helpen deze door de AVG verplichtte maatregelen, waaronder een aantal quick wins, je goed op weg:

  1. Dataminimalisatie: vraag jezelf af welke gegevens je werkelijk nodig hebt. Wat is relevant en wat niet? En voor hoe lang? Verwijder al het overbodige. Dat kan al door kritisch naar de formulieren te kijken. Is het vragen van een geboortedatum bijvoorbeeld echt nodig?
  2. Pseudonimiseren: ontdoe gegevens van direct identificerende kenmerken. Stel beleid op voor het gescheiden houden van identificerende data en overige gegevens. Ben je marketeer of onderzoeker en maak je gebruik van tools als Google Analytics of Hotjar? Houd hier dan zeker rekening mee.
  3. Encryptie (versleuteling): sla gevoelige gegevens, bijvoorbeeld over medische aandoeningen, versleuteld op.
  4. Toegangscontrole: zorg voor juiste autorisatie en authenticatie. Alleen degene die de gegevens beroepsmatig werkelijk nodig heeft, krijgt er toegang tot. Richt daarnaast een systeem in dat bijhoudt wie wanneer de gegevens inziet.
  5. Privacy by default: richt het online platform zo in, dat privacy op de eerste plaats komt. Neem privacyvriendelijke instellingen als uitgangspunt (inschrijven op een nieuwsbrief is niet inschrijven op andere communicatie-uitingen). Pas een transparante user-interface en permission management toe, op basis van opt-in of opt-out. Ga uit van het minimale dat je aan gegevens nodig hebt. En houd bij wie zich waarvoor heeft ingeschreven of uitgeschreven.
  6. Verwijderen/bewaartermijnen: vernietig gegevens na het verstrijken van de bewaartermijn. Verwijder ook de gegevens die je niet gebruikt of geen nut hebben. Mensen hebben het recht vergeten te worden. Als zij zeggen: ik wil uit de lijst, dan moet die mogelijkheid er zijn.
  7. Faciliteren van rechten: informeer mensen duidelijk over welke gegevens je verzamelt, hoe je dat doet en hoe je ze gebruikt. Maak dus een helder privacystatement: een beleid dat zegt hoe te handelen bij verzoeken tot inzage in en correctie of verwijderen van gegevens.

Minimaliseren, openheid van zaken bieden, privacy en bijbehorende rechten faciliteren: daar komt AVG-proof ondernemen met een online platform hoofdzakelijk op neer. Axendo helpt bedrijven daarbij. In samenwerking met experts voeren we inventarisaties uit en geven we advies. We beschikken over een stappenplan dat jou klaarstoomt voor de AVG. We maken quick scans van online platformen om te zien waar de knelpunten zitten. We werken bij en upgraden onderliggende systemen. Dat doen we bijvoorbeeld met Umbraco en Sitecore, maar het kan ook zijn dat we aan de voorkant formulieren, privacyverklaringen en chatbot-instellingen moeten aanpassen.

'Maar wij zijn al ISO-gecertificeerd!' roepen sommige bedrijven. Heel goed, maar dat wil niet zeggen dat je automatisch voldoet aan de nieuwe regelgeving. En de verantwoordelijkheid ligt ook niet bij een derde partij. Nee, die ligt bij jou. Wacht dus niet af. Bereid je organisatie voor. Neem maatregelen. Zodat jouw online platform AVG-proof is. 

  

Update: inmiddels heeft Umbraco ook een uitgebreid blog online gezet over Umbraco en GDPR.

Meer weten?
Heb je een brandende vraag over GDPR/AVG en jouw platform?

Martijn Beumers
Algemeen directeur
[email protected]
06 11 200 209

Waar kunnen we je mee helpen?
Even bellen? 033 432 30 38