De Algemene Verordening Gegevensbescherming, kort gezegd: de AVG. Heb je er al over gehoord? Deze nieuwe privacywet is sinds 25 mei 2018 van kracht en heeft gevolgen voor alle bedrijven en organisaties. Oók voor astrologen.

Wij werken namelijk met privacygevoelige informatie zoals geboortedatum, -plaats en -tijd. Voldoe je niet aan de nieuwe richtlijnen, dan riskeer je dikke boetes.

Wat moet een astroloog doen om aan die nieuwe, strenge privacywet te voldoen?

In deze blog lees je wat de AVG precies inhoudt en hoe je je astrologiepraktijk in 10 stappen AVG compliant maakt.

 

Waarom een nieuwe privacywet?

We zijn met z’n allen een stuk digitaler geworden. We doen steeds meer aankopen online, we bankieren online en we krijgen dagelijks misschien wel meer e-mails dan brieven per post. Dat is allemaal heel handig.

De keerzijde is echter dat bedrijven online veel gegevens over ons (kunnen) verzamelen. Wordt al die data gecombineerd, dan krijgen ze een behoorlijk goed beeld van ons: onze interesses, ons uitgavepatroon, etc.

Het was dus hoog tijd voor een nieuwe privacywet: de AVG.

 

Wat is de AVG?

De AVG is een wet die tot doel heeft onze persoonsgegevens (nog beter) te beschermen. Persoonsgegevens zijn alle data die te herleiden zijn tot een persoon: je naam, e-mailadres, telefoonnummer, geboortedatum, etc. De AVG geldt voor de gehele Europese Unie en is ook wel bekend onder de naam General Data Protection Regulation (GDPR).

De AVG vervangt de Wbp (Wet Bescherming Persoonsgegevens) uit 2001. Destijds stonden internet en e-mail nog in de kinderschoenen. Tegenwoordig doen we steeds meer online. Dat betekent dat er ook meer gegevens over ons online zijn komen te staan. Het was dus hoog tijd voor nieuwe regelgeving.

De AVG is nog maar de eerste stap, begin 2022 komt daar de ePrivacy Verordening bij. Beide wetten hebben te maken met onze privacy, maar elk met een eigen insteek. Wat is het verschil tussen deze twee  Verordeningen?

 

AVG vs. ePrivacy

Bij de AVG staat de verwerking van persoonsgegevens centraal. De AVG in een notendop; individuen krijgen sterkere privacyrechten en bedrijven/ organisaties moeten aan meer regels voldoen om te zorgen dat ze zorgvuldig met persoonsgegevens omgaan.

De ePrivacy Verordening gaat specifiek om je ONLINE privacy: cookies, e-mail, apps, WhatsApp, SMS en telemarketing. De ePrivacy Verordening beschrijft waaraan bedrijven moeten voldoen om de veiligheid van je digitale communicatie te kunnen garanderen.

De ePrivacywet staat dus los van de AVG en wij astrologen moeten aan beiden voldoen. De ePrivacywet is er nog niet door, daarom focussen we ons in deze blog verder alleen op de AVG.

 

Meer privacyrechten voor mensen

Zoals gezegd worden onder de AVG de privacyrechten van individuen uitgebreid. Je had al het recht om in te zien welke persoonsgegevens een organisatie van je heeft.

Nieuw is dat je nu ook het recht hebt om je gegevens mee te nemen (het recht op dataportabiliteit) en dat bedrijven/ organisaties je gegevens moeten verwijderen uit hun systemen als je daarom vraagt (het recht op vergetelheid).

 

Meer verantwoordelijkheden voor bedrijven/ organisaties

Bedrijven daarentegen krijgen meer verantwoordelijkheden, ook astrologen.

We verzamelen, naast adresgegevens voor de factuur, heel specifieke persoonsgegevens: bijvoorbeeld geboortedatum, -plaats en -tijd.

Dat is ook helemaal prima; je mág gegevens vastleggen, de AVG vraagt alleen wel om een stukje bewustwording. Wat leg je vast, waarvoor heb je deze gegevens nodig en met wie deel je ze. En wat je niet nodig hebt, moet je uit je systemen verwijderen.

Aan welke systemen je dan moet denken? Voor een astroloog zijn dat al gauw je astrologieprogramma (geboortegegevens van de cliënt), je mobiel (telefoonnummer van de cliënt), je e-mailprogramma (het e-mailadres van de cliënt) en misschien een Word document waarin je zijn horoscoop hebt uitgewerkt. Ga maar eens na waar jij informatie opslaat, het zal je nog verbazen hoeveel dat is!

 

Privacy by design & Privacy by default

Voorkomen is beter dan genezen; je moet dus al bij het maken van je website of een contactformulier nadenken over de gegevens die je van mensen vraagt.

Persoonsgegevens mogen nu alleen nog verzameld worden volgens de richtlijnen Privacy by design en Privacy by default. Dat is de nieuwe norm.

Privacy by design wil zeggen dat je tijdens de ontwikkeling van een product of dienst zo goed mogelijk rekening houdt met de privacy van de gebruiker. Welke gegevens heb je echt nodig en welke niet?

Stel dat je een contactformulier op je website zet. Welke gegevens vraag je aan je websitebezoeker? Vaak worden deze gegevens gevraagd:

• naam
• e-mailadres
• berichtje

De eerste twee velden (naam en e-mailadres) zijn persoonsgegevens. Je zou natuurlijk ook kunnen vragen naar geslacht (m/v) of de geboortegegevens, maar heb je dat wel (meteen) nodig? Vraag alleen datgene wat je nodig hebt om de vraag te kunnen beantwoorden, dat is privacy by design.

Privacy by default kan je zien als een onderdeel van Privacy by design. Het betekent dat de standaardinstellingen altijd zo privacy-vriendelijk mogelijk moeten zijn.

Stel dat je een account aanmaakt bij een webshop. Vaak krijg je dan de mogelijkheid om je te abonneren op de nieuwsbrief. De webshop zou de checkbox bij “Ja, stuur mij de nieuwsbrief” liefst standaard willen aanvinken. Met een beetje geluk zie je het vinkje over het hoofd en heeft de webshop toestemming om jou de nieuwsbrief te sturen. Dat mag niet meer met de AVG; de klant moet het vakje bewust aanvinken.

 

In 10 stappen AVG compliant

Nu je weet wat er wel mag en wat er niet mag, komt de HOE vraag. Wat moet je concreet doen om AVG compliant te worden?

Om je hierbij te helpen heb ik de belangrijkste stappen voor je op een rijtje gezet:

 

#1 Inventarisatie persoonsgegevens

Breng eerst in kaart welke gegevens je van je cliënten vastlegt, waarvoor je die nodig hebt, hoe lang je ze bewaart en met wie je deze gegevens deelt. Denk hierbij bijvoorbeeld aan de NAW gegevens (Naam-Adres-Woonplaats) en de geboortegegevens (voor de horoscoop).

 

#2 Herzie je Privacyverklaring

Als je helder hebt hoe je met privacygegevens omgaat, is het tijd om een duidelijke privacyverklaring op je website te zetten.

Daar heb je geen jurist voor nodig, dat kan je prima zelf. De overheid heeft een website gemaakt waarop je je eigen Privacyverklaring kunt samenstellen door een aantal vragen te beantwoorden.

Ga naar de website Veilig Internetten, stel je eigen Privacyverklaring samen en plaats hem op je website.

 

#3 Vraag een SSL certificaat aan

Nu is het zaak om ervoor te zorgen dat de privacy van je website bezoekers gewaarborgd wordt.

Vraag hiervoor een SSL certificaat voor je website aan bij je webhoster. Dat is eigenlijk geen certificaat, zoals de naam doet vermoeden, maar een stukje software.

Die software zorgt er (onder meer) voor dat berichten die mensen op je contactformulier achterlaten, versleuteld worden verzonden. Daardoor kan het bericht onderweg niet onderschept worden en blijven de gegevens veilig.

Bel je webhoster en vraag een SSL certificaat aan.

 

#4 Beveilig je data

Natuurlijk moeten ook alle apparaten thuis (computer, tablet, mobiele telefoon) beveiligd worden met goede antivirussoftware. Dat kan je bijvoorbeeld doen met McAfee LiveSafe of met Norton Security Premium; met één abonnement zijn al je apparaten thuis gedekt, dus zowel je computer(s), je tablet als je smartphone.

Beveilig je computer, telefoon en andere devices ook met goede passwords (bestaande uit minimaal 8 karakters) en bedenk een plek om alles te bewaren als je niet thuis bent. Bijvoorbeeld in een kast die op slot kan.

Wordt je computer gestolen of gehackt, dan hebben anderen toegang tot de persoonsgegevens van jouw (potentiële) cliënten en/of nieuwsbrief inschrijvers. Er is dan sprake van een datalek. Je bent verplicht die binnen 72 uur (na ontdekking) te melden bij de Autoriteit Persoonsgegevens.

 

#5 Houd je website up to date

Houd de software op je website up to date door minimaal één keer per maand een update te draaien. Met deze updates worden niet alleen verbeterpunten doorgevoerd, maar ook eventuele lekken gedicht.

 

#6 Vraag toestemming voor cookies

Een cookie is een klein tekstbestandje dat tijdens een bezoek aan een website op je computer wordt gezet. Sommige cookies zijn onschuldig, maar er zijn ook cookies die een inbreuk vormen op je privacy. Er zijn drie soorten cookies:

• functionele cookies – deze zijn nodig om de website te laten werken, bijvoorbeeld door te onthouden wat jij in je winkelmandje hebt gestopt
• analytische cookies – houden bij hoe vaak een website wordt bezocht of hoe vaak een bepaalde blog is gelezen
• tracking cookies – deze cookies volgen je gedrag online. Dat betekent dat als jij een paar schoenen hebt gekocht op Zalando, die je online overal achtervolgen. Deze cookies worden vaak als vervelend ervaren.

Niet voor alle cookies is toestemming nodig. Voor cookies die geen of weinig inbreuk op de privacy maken, is geen toestemming van de bezoeker nodig. Dit zijn bijvoorbeeld functionele en analytische cookies. Voor tracking cookies is altijd toestemming nodig. Die toestemming kan je verkrijgen met behulp van een cookie plug-in op je website.

Dit kan je webbouwer voor je regelen.

 

#7 Herzie het inschrijfproces voor je mailinglijst

Tot nu toe was het gebruikelijk om een gratis weggever (bijvoorbeeld een eBook) aan te bieden in ruil voor inschrijving op de nieuwsbrief. Dat mag niet meer; de toestemming (om te mogen mailen) is dan niet vrijelijk gegeven. Het moet helder zijn dat men zich inschrijft op je nieuwsbrief en hoe vaak ze die kunnen verwachten. Herzie het inschrijfproces voor je mailinglijst.

 

 

Deze cartoon is overigens geen grap; bij de inschrijving van hun kind op school, moeten ouders tegenwoordig een dik pak bladen tekenen om toestemming te geven voor zaken die voorheen als heel gewoon werden beschouwd.

 

#8 Leg een Register van Verwerkingsactiviteiten aan

De AVG vraagt ondernemers verantwoording af te leggen; je moet kunnen aantonen dat je in overeenstemming met de AVG handelt. Het bijhouden van een Register van Verwerkingsactiviteiten is onderdeel van die verantwoordingsplicht.

In een Verwerkingsregister staat onder meer:

• Naam, adres en contactgegevens van de verwerkingsverantwoordelijke (dat ben jijzelf)
• Naam, adres en contactgegevens van de partijen met wie jij samenwerkt en met wie je gezamenlijk de doelen en middelen van de verwerking hebt vastgesteld. Denk aan je boekhouder en je Email Service Provider (ESP).
• De doelen waarvoor je persoonsgegevens verwerkt (bijvoorbeeld cliënten en cursisten)
• Categorieën van persoonsgegevens (de NAW gegevens, e-mailadres, telefoonnummer, geboortegegevens, etc.)
• Algemene beschrijving van de technische en organisatorische maatregelen die je hebt genomen om persoonsgegevens die je verwerkt, te beveiligen
• Hoe je omgaat met de rechten van de consument, bijvoorbeeld het recht van inzage, het recht op vergetelheid, het recht op dataportabiliteit, etc.

Let op; je moet het Register van Verwerkingsactiviteiten kunnen overleggen aan de Autoriteit Persoonsgegevens als daar om gevraagd wordt.

 

#9 Sluit Verwerkersovereenkomsten af

Je kunt je eigen zaken nog zo goed voor elkaar hebben, maar hoe zit het met de bedrijven met wie jij samenwerkt? Denk hierbij bijvoorbeeld aan je boekhouder, je Email Service Provider (ESP), je webhoster of je betaaldiensten. Deze partijen hebben ook toegang tot de persoonsgegevens die jij hebt opgeslagen. Hoe gaan zij met de persoonsgegevens om?

Om zeker te weten dat deze partijen ook zorgvuldig omgaan met de persoonsgegevens van jouw (potentiële) klanten en nieuwsbrief inschrijvers, sluit je Verwerkersovereenkomsten met hen af.

Werk je samen met grotere bedrijven, zoals je webhoster, dan bieden zij jou doorgaans zelf al zo’n overeenkomst aan. Je kunt zo’n overeenkomst op hun website vinden en digitaal ondertekenen.

 

#10 En dan… opschonen!

Loop na wat je allemaal aan persoonsgegevens hebt opgeslagen en verwijder alles wat je niet nodig hebt.

 

Ook Amerikaanse astrologen zijn de pineut

Wist je dat onze Amerikaanse collega’s ook de pineut zijn? Sterker nog, alle bedrijven/ organisaties buiten de Europese Unie moeten zich ook aan de AVG houden.

Europese inwoners zouden, al surfend over het internet, tenslotte zomaar op de website van een Amerikaans bedrijf kunnen komen, zich inschrijven voor de nieuwsbrief of iets kopen. Op dat moment verwerken ze persoonsgegevens van burgers uit de Europese Unie en moeten ze voldoen aan de AVG. Wat zullen ze blij met ons zijn…

 

AVG boete

Het is een flinke klus, maar we zullen er toch aan moeten geloven. De AVG is sinds 25 mei 2018 van kracht, dus je moet nú al kunnen aantonen dat je in overeenstemming met de AVG werkt.

Voldoe je niet aan de regels, ben je niet AVG compliant zoals dat heet, dan kan de Autoriteit Persoonsgegevens je een boete opleggen tot maximaal 4% van de jaaromzet of 20 miljoen euro. Tijd voor actie dus!

Hoe heb jij het AVG project aangepakt? Waar liep je tegenaan en hoe heb je dat opgelost?

 

 

*** Disclaimer – zie dit als een startpunt om je bedrijf AVG compliant te maken. Lees je goed in op de website van de Autoriteit Persoonsgegevens en laat bij twijfel e.e.a. checken door een jurist.