GDPR en AVG stappenplan en checklist zakelijk, mkb en zzp

Adequate beveiliging vaststellen met GDPR en AVG stappenplan en checklistNiet goed toepassen van de GDPR en AVG regels kan boetes tot 20 miljoen opleveren. Wil je dat voorkomen, lees dan onderstaand GDPR en AVG stappenplan voor zakelijk, mkb en zzp. Helaas is het geen GDPR en AVG quickscan voor dummies. Daarvoor zijn de regels en de impact te groot. Wel is het een GDPR en AVG checklist. Gebruik het als GDPR en AVG stappenplan met 6 stappen.

GDPR en AVG Checklist: persoonsgegevens (stap 1)

Ieder gegeven dat herleidbaar is tot een natuurlijk persoon is een persoonsgegeven. Dat is een heel brede definitie. Je hebt vaak meer persoonsgegevens dan je denkt. Ik ben begonnen met een uitgebreide audit. In Excel heb ik genoteerd welke gegevens er worden verwerkt en welke risico’s dat met zich meebrengt. Belangrijk voor de GDPR / AVG regels is dat je weet en documenteert wat je verwerkt. Besef hierbij dat verwerken alle handelingen zijn die je met een gegeven doet. Ook het opslaan valt onder verwerken. Hierbij maakt het niet uit dat een gegeven direct daarna weer wordt gewist.

GDPR en AVG Stappenplan: gegevensaudit

De eerste stap om te voldoen aan GDPR / AVG is een uitgebreide audit van de klantgegevens die  je verwerkt. Veelgebruikte klantgegevens die binnen GDPR en AVG ook als persoonsgegeven worden aangemerkt zijn:

  • e-mail adres (persoonlijk)
  • mobiel of direct telefoonnummer
  • combinatie voor en achternaam
  • combinatie huisnummer en postcode
  • IP-adressen
  • klant-, bestel- en/of ordernummer
  • foto- en/of video-opnamen
  • bankrekeningnummers
  • chatgesprekken
  • klikgegevens

Deze lijst is zeker niet uitputtend. Merk op dat ook gegevens die op zich niet herleidbaar zijn tot een persoon, als persoonsgegeven kunnen worden aangemerkt. Hier is de gedachte dat het analyseren of combineren van die gegevens maakt dat ze wél te herleiden zijn.

De genoemde klikgegevens over gedrag op een website kunnen in combinatie met een IP-adres en/of GPS-locatie aan een persoon worden gekoppeld. En zo is volgens de rechter ook het IMEI-nummer van een smartphone een persoonsgegeven. Want door dit te volgen kun je zien waar iemand woont of werkt. Om dezelfde reden kunnen ook zakelijke gegevens (bijvoorbeeld een zakelijk e-mail adres) als persoonsgegeven worden aangemerkt.

Privacy Impact Analyse (PIA)(stap 2)

Wanneer medische gegevens onrechtmatig worden gebruikt is de impact groter dan wanneer een e-mail adres op straat komt te liggen. Nadat je hebt vastgesteld welke gegevens je verwerkt, bepaal je per gegeven hoe groot de impact is voor betrokkenen als ze onrechtmatig worden gebruikt. Daaronder wordt verlies en diefstal verstaan, maar ook bewerkingen zonder verwerkingsgrondslag (zie onder stap 4) zijn onrechtmatig. Het onrechtmatig verkrijgen of gebruiken van persoonsgegevens wordt aangemerkt als een ‘datalek’. Hoe te handelen bij een datalek wordt besproken in mijn uitgebreide artikel over de GDPR en AVG.

Is je beveiliging geschikt of ongeschikt voor GDPR en AVG? Zijn je beveiligingsmaatregelen geschikt volgens het GDPR en AVG stappenplan?

GDPR en AVG Stappenplan: beveiligingsmaatregelen

De GDPR schrijft voor dat gegevens ‘passend en doelmatig’ worden beveiligd. Wat ‘passend en doelmatig’ is, wordt niet beschreven. ‘Passend en doelmatig’ wil in ieder geval zeggen dat de beveiliging moet voldoen aan de standaarden in de markt. En die standaarden zijn hoger naarmate de impact bij misbruik groter is. Geen bank beveiligd zijn online omgeving nog met alleen een wachtwoord. De impact (en aantrekkelijkheid voor criminelen) zijn daarvoor te groot. Voor een e-mail omgeving is alleen wachtwoordverificatie op dit moment weer wel geaccepteerd.

Op basis van de gegevensaudit weet je nu welke persoonsgegevens je verwerkt. De PIA (Pricay Impact Assesment of Pricay Impact Analyse)  laat zien wat de impact is bij misbruik (‘datalek’). Dat bepaalt welke beveiliging ‘passend en doelmatig’ is gezien de standaarden in de markt. De GDPR en AVG schrijven voor dat je vastlegt welke maatregelen je hebt genomen om gegevens te beveiligen. Wanneer hierom wordt gevraagd moet je dit document direct kunnen overleggen. Voorbeelden van maatregelen kunnen zijn:

  • automatisch versleutelen van gegevens op servers en bijvoorbeeld USB sticks
  • zorgen dat gegevens vanaf je site versleuteld worden verstuurd via SSL (https)
  • twee stap authenticatie invoeren voor inlog in je bedrijfsomgeving
  • persoonsgegevens alleen toegankelijk maken voor beperkt aantal personen
  • gebruik van USB-sticks verbieden
  • bewaren van laptops en externe gegevensdragers in afgesloten kasten
  • data anoniem maken in analyse-omgeving
  • etc.

GDPR en AVG Checklist: verwerkers (stap 3)

In de praktijk worden gegevens vaak gedeeld met andere partijen. Zo deel ik voor-, achternamen en e-mailadressen met Mailchimp voor het versturen van mijn nieuwsbrief. En data over het gebruik van mijn website wordt verwerkt door Google Analytics. Ook het risico van misbruik (‘datalek’) van gegevens bij verwerkers die door mij worden ingeschakeld is onderdeel van de PIA.

Ik moet inschatten of de beveiligingsmaatregelen bij deze partijen ‘passend en doelmatig’ zijn voor de gegevens die ze via mij krijgen. Daar ben ik verantwoordelijk voor. Of in termen van GDPR: ik ben verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke bepaalt het doel en middelen bij de gegevensverwerking. De verwerker voert vervolgens uit.

Voorbeeld: ik voer gegevens in bij Mailchimp met als doel het versturen van een nieuwsbrief. Ik bepaal dan het doel en het middel. Dat maakt mij verwerkingsverantwoordelijke. Mailchimp verwerkt voor mij de gegevens om een of meerdere nieuwsbrieven te kunnen versturen. Mailchimp is daarmee de verwerker.

Inschrijfformulier nieuwsbrief. Ook dit is onderdeel van je GDPR en AVG checklistOok de inschrijving en verwerking van je nieuwsbrief hoort bij je GDPR en AVG checklist

De wet bescherming persoonsgegevens kent overigens al het begrip ‘bewerkers’. In de GDPR / AVG wordt dit vervangen door ‘verwerkers’. En ongemerkt heb je meer verwerkers dan je denkt:

  • verwerkers van data rondom je nieuwsbrief  (Mailchimp, Clang, Tripolis, etc.)
  • Hotjar, Hubspot, Google etc. als verwerkers van websitedata
  • verwerkers van contactpersonen en transacties als Exact, Salesforce, etc.
  • verwerkers van salarissen en/of facturen

Lees kort en bondig wat je moet regelen als je alleen gebruik maakt van Google Analytics en/of Mailchimp voor GDPR en AVG.

GDPR en AVG stappenplan: verwerkersovereenkomst

Vanuit de GDPR en AVG wordt voorgeschreven dat de verwerkingsverantwoordelijke met elke verwerker een overeenkomst sluit. In de wet bescherming persoonsgegevens is deze overeenkomst bekend is als een ‘bewerkersovereenkomst’. In de GDPR / AVG is de nieuwe naam ‘verwerkersovereenkomst’. Een ververkersovereenkomst moet in ieder geval antwoord geven op de volgende vragen:

  • Wie is de verantwoordelijke en wie is de bewerker?
  • Om welke persoonsgegevens gaat het?
  • Welke verwerking mag de derde partij uitsluitend doen? (opslaan, vernietigen, …)
  • Waar worden de persoonsgegevens opgeslagen? (binnen of buiten Europa)
  • Welke beveiligingsmaatregelen worden genomen om datalekken te voorkomen?
  • Welke mogelijkheden biedt de derde partij tot toezicht op naleving?
  • Welke kosten brengt de derde partij in rekening voor medewerking aan toezicht?
  • Welke procedure wordt gevolgd bij de constatering van een datalek?
  • In hoeverre is de derde partij aansprakelijk voor door u geleden schade door een datalek?
  • Is de derde partij voldoende verzekerd voor deze aansprakelijkheid jegens u?
  • Welke mate en duur van geheimhouding is van toepassing op de gegevens?
  • Mag de derde partij zelf ook onderaannemers inschakelen voor verwerking?
  • Worden de gegevens na afloop teruggeleverd of vernietigd?

Uiteraard hoeft het initiatief voor het opstellen en voorleggen van een verwerkersovereenkomst niet bij de verantwoordelijke te liggen. Als verwerker heb ik een standaard verwerkersovereenkomst gemaakt om de samenwerking met mijn opdrachtgevers te regelen.

Zitten jouw verwerkers buiten EU en EER? Let dan op

De GDPR is een Europese regeling, waardoor het niveau van gegevensbescherming  in heel Europa gelijk is. In Nederland zijn de regels van GDPR vastgelegd in de AVG. Het doorgeven van persoonsgegevens binnen de Europese Unie (EU) mag onbeperkt. Het beveiligingsniveau is overal in de EU gelijk. Ook doorgifte naar Noorwegen, Liechtenstein en IJsland kan onder dezelfde regels als in Nederland. Deze landen zijn onderdeel van Europese Economische Ruimte (EER). Zij verwerken de GDPR regels in hun nationale wetten.

Verkeersbord grensovergangLet op bij het verplaatsen van data naar landen buiten de EU / EER

Buiten de EU / EER mogen gegevens alleen worden doorgegeven naar landen met een ‘passend beveiligingsniveau’ volgens de Autoriteit Persoonsgegevens. Besef dat de Verenigde Staten niet zijn aangemerkt als een land met een passend beveiligingsniveau. Dat is lastig. Want grote kans dat je een verwerker in de Verenigde Staten hebt. Bijvoorbeeld Google of Mailchimp. Hier speelt het EU-US Privacy Shield een belangrijke rol. Alleen wanneer je Amerikaanse verwerker zich heeft laten certificeren, is het toegestaan gegevens met hen te delen. Bekende organisaties die zich hebben laten certificeren zijn:

  • Mailchimp
  • Google
  • Salesforce
  • Hubspot

Op de site van het Privacy Shield is het complete overzicht van gecertificeerde bedrijven te vinden. Net als bij verwerkers binnen de EU / EER blijf je wel zelf verantwoordelijk voor wat de verwerkers met je gegevens doen. En dien je zelf vast stellen dat het beveiligingsniveau ‘passend en doelmatig’ is. Ook blijft het verplicht een verwerkersovereenkomst te sluiten.

GDPR en AVG Checklist: grondslag (stap 4)

Na de voorgaande stappen heb je je persoonsgegevens voldoende beveiligd en hierover afspraken gemaakt met je verwerkers. Dat betekent nog niet dat je ze ook mag verwerken. Het verwerken van persoonsgegevens mag onder de GDPR / AVG regels alleen als daar een verwerkingsgrondslag voor is. Er zijn in totaal zes mogelijke verwerkingsgrondslagen. Hier worden de drie behandeld die je in de (commerciële) praktijk tegenkomt:

  • ondubbelzinnige toestemming
  • noodzakelijk voor uitvoering overeenkomst
  • noodzakelijk in verband met wettelijke verplichting

Zie voor het complete overzicht van de verwerkingsgrondslagen mijn uitgebreide artikel over GDPR en AVG.

Noodzakelijk voor uitvoering of wettelijke verplichting

Als iemand zich inschrijft voor een van mijn workshops heb ik bepaalde gegevens nodig om de overeenkomst uit te kunnen voeren. Ze zijn noodzakelijk voor de uitvoering van de overeenkomst. Denk aan een e-mail adres en telefoonnummer om te kunnen communiceren. En adresgegevens voor de facturering. Die gegevens mag ik verwerken zonder dat daar expliciet toestemming voor is gegeven. Hier zijn wel voorwaarden aan verbonden:

  • de gegevens mogen alleen verwerkt worden voor het doel waarvoor ze zijn verstrekt (inschrijven voor een workshop)
  • er mogen niet meer gegevens worden gevraagd dan strikt noodzakelijk voor uitvoering van overeenkomst
  • de gegevens moeten worden vernietigd als ze niet langer nodig zijn

Andere voorbeelden van gegevensverwerking voor uitvoering van de overeenkomst zijn is het verwerken van personeelsgegevens voor salarisbetalingen of incassogegevens verwerken voor het incasseren van betalingen. Na uitvoering van de overeenkomst is de stelregel daarom dat de gegevens worden verwijderd. De salarisbetalingen zijn terugkerend, daar is verwijdering niet aan de orde. Wanneer je producten verkoopt met een garantie- of retourtermijn is het voor de uitvoering daarvan noodzakelijk de gegevens te bewaren. Zodra deze termijn voorbij is, zullen de gegevens wel moeten verwijderd.

Incassogegevens zouden na afloop wel gewist moeten worden. Alleen bestaat daar nog een andere grondslag: de wettelijke verplichting. Ik ben verplicht mijn administratie 7 jaar te bewaren voor de Belastingdienst. Onderdeel daarvan zijn ook op naam gestelde facturen en geïncasseerde bedragen. Deze persoonsgegevens mag ik zonder verdere toestemming bewaren, omdat de wet dit voorschrijft. Ook hier geldt weer dat ik ze alleen mag verwerken overeenkomstig het doel waarvoor ik ze heb verzameld. En ze moet vernietigen zodra de door de wet gestelde bewaartermijn is verstreken.

GDPR en AVG stappenplan: ondubbelzinnige toestemming

Voor de verwerking van veel gegevens is de enige grondslag ondubbelzinnige toestemming. Denk aan gegevens als:

  • klikgedrag op een website of in een nieuwsbrief
  • vastleggen van interesses, enquête-antwoorden, etc.
  • loggen van IP-nummers, GPS-coördinaten, etc.
  • foto- en video opnamen van personen
  • wifi-tracking

Belangrijke punten in deze beschrijving, waaraan de toestemming moet voldoen, zijn:

  • er is een duidelijk actieve handeling, zoals een schriftelijke of mondeling verklaring. Bijvoorbeeld het aanklikken van een button of aanvinken van een checkbox.
  • de toestemming moet in vrijheid zijn gegeven. Verstrekken van extra informatie mag bijvoorbeeld geen voorwaarde zijn om te kunnen bestellen.
  • het is duidelijk voor welke specifieke verwerking de toestemming is gegeven. Het doel waarmee de gegevens worden verwerkt moet duidelijk zijn.
  • de informatie is begrijpelijk. Het doel verhullen in moeilijke woorden, ingewikkelde zinnen en veel verwijzingen leidt daarom niet tot toestemming.
  • Tot slot moet de toestemming ondubbelzinnig zijn. De toestemming zonder enige twijfel bewust zijn gegeven.

GDPR en AVG stappenplan: privacy statement

Een veelgebruikte manier om deze ondubbelzinnige toestemming te krijgen is het opnemen van privacy statement. Onder de GDPR en AVG worden de volgende eisen gesteld aan de inhoud van een privacy statement:

  • het is duidelijk wie de verwerkingsverantwoordelijke is, en hoe deze te bereiken is
  • het doel van de verwerking wordt benoemd en de wettelijke grondslag wordt benoemd
  • verwerkers (of groepen van verwerkers) die de data ontvangen worden benoemd
  • indien data voor verwerking buiten de EU wordt gebracht, is dit vermeld
  • hoe lang de data bewaard wordt, of de richtlijnen daarvoor als dit niet op voorhand is te zeggen
  • indien gebruik wordt gemaakt van geautomatiseerde besluitvorming (bijvoorbeeld profilering), dan is dit benoemd
  • de rechten van betrokkenen zijn vermeld. Waaronder het recht om de toestemming in te trekken en/of een klacht in te dienen bij een toezichthouder

Laatste stap is nu je bezoekers akkoord te laten gaan met het privacystatement via een ‘actieve handeling’. Zoals het aanvinken van een checkbox of aanklikken van een button.

GDPR en AVG Checklist: verwerkingsdoel (stap 5)

Gegevens mogen alleen worden verwerkt overeenkomstig het doel waarmee ze verzameld zijn. Dit kwam al naar voren bij de verwerkingsgrondslagen. Deze zogenaamde ‘doelbinding’ is een van de uitgangspunten van de GDPR / AVG. Het betekent dat gegevens die bijvoorbeeld voor de uitvoering van een overeenkomst zijn verkregen, ook alleen maar voor dat doel gebruikt mogen worden. De adresgegevens van facturen verwerken om vast te stellen waar de klanten wonen die het meest besteden mag daarom niet. Tenzij de klant daar ondubbelzinnige toestemming voor heeft gegeven.

Drie pijlen in het doel. Verwerkingdoel bij GDPR en AVG moet duidelijk zijn

Doel van gegevensverwerking moet duidelijk zijn

GDPR en AVG Checklist: rechten (stap 6)

Een belangrijk doel van GDPR en AVG is de persoon veel meer zeggenschap geven over zijn eigen data. Als organisatie moet je daarom kunnen tonen welke gegevens je hebt als de betrokkene daarom vraagt. En die gegevens op verzoek van betrokkene aanpassen, overdragen aan iemand anders en/of verwijderen. Hierbij geldt de basisregel dat het verzoek tot inzage, aanpassing, overdracht of verwijdering net zo makkelijk moet kunnen worden gedaan als het geven van toestemming voor verwerking.

Dit betekent dat wanneer je je klanten via een vinkje toestemming laat geven voor verwerking van zijn of haar gegevens, je ook moet regelen dat ze via een vinkje:

  • de eigen persoonsgegevens kunnen inzien
  • correcties kunnen aanbrengen
  • toestemming voor verwerking kunnen intrekken
  • gegevens kunnen verwijderen
  • de eigen persoonsgegevens kunnen overdragen (‘data export’)

Hierbij maakt het niet uit of je een grote internationale speler bent, een mkb-bedrijf of zzp’er. De regels van GDPR en AVG gelden voor alle organisaties. Commercieel en niet-commercieel.

GDPR en AVG Stappenplan: begin bij het begin

Kun je een GDPR en AVG stappenplan voor dummies maken? Met die vraag in het achterhoofd ben ik aan bovenstaand artikel begonnen. Een GDPR en AVG stappenplan voor zakelijk, mkb, zzp of dummies schrijven. Helaas zit een quickscan ‘GDPR en AVG for dummies’ er niet in. Daarvoor is het te complex en ook teveel afhankelijk van jouw specifieke situatie. Bovenstaande is een GDPR en AVG stappenplan voor zakelijk, mkb, zzp of dummies die willen starten. Een GDPR en AVG blog om vanuit verder te werken. Eigenlijk heb ik maar één advies als je het zelf niet (volledig) begrijpt en wel met persoonsgegevens werkt: huur een expert. Dat kost nu even geld, maar kan je straks heel wat besparen. Tot 20 miljoen euro.

Tot slot

Dit artikel is bedoeld om een GDPR en AVG stappenplan te schetsen. Het is niet bedoeld om juridische beslissingen op te baseren. Raadpleeg voor jouw specifieke situatie altijd een expert, net zoals ik doe bij juridische kwesties. 


Over de auteur

Nick Nijhuis vergroot als marketingcoach de opbrengsten uit online marketing. Daarnaast is hij hogeschooldocent en projectleider op het gebied van digital marketing.