Wat we doen
Veilige applicaties voor iedereen: gebruikers- en toegangsbeheer
Identificeer snel en veilig gebruikers en geef hen de nodige toegang tot je platform. Onze experts helpen je.
Lees meer
AVG in het kort:
De AVG is een Europese privacywet waarin gedetailleerde voorschriften voor bedrijven en organisaties zijn opgenomen over het verzamelen, opslaan en beheren van persoonsgegevens.
De regels uit de AVG gelden voor alle bedrijven en organisaties die persoonsgegevens van personen in de EU verwerken, ongeacht of die bedrijven in de EU gevestigd zijn, of daarbuiten.
Het doel van de AVG is om Europese burgers meer grip te geven op hun persoonsgegevens en hun privacy beter te beschermen.
De AVG heeft onder andere tot gevolg dat je als bedrijf moet kunnen aantonen dat je persoonsgegevens op een verantwoorde (en legale) manier verzamelt, opvraagt, bewaart of vernietigt.
Het is daarom van belang dat je in kaart brengt op welke verschillende manieren jouw bedrijf persoonsgegevens verwerkt.
Voldoe je niet aan de regelgeving uit de AVG, dan loop je het risico om een hoge boete opgelegd te krijgen: de AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Digitale consequenties van de AVG
Wanneer je gegevens verwerkt die direct of indirect tot een natuurlijk persoon te herleiden zijn, krijg je te maken met de regels uit de AVG. Denk aan NAW-gegevens bijvoorbeeld (naam, adres, woonplaats), maar ook locatiegegevens, beeldmateriaal, e-mailadressen of medische gegevens.
AVG en je website
Wat betekent de AVG voor je website? We bespreken enkele aandachtspunten om je een beeld te geven van de impact van de AVG op je website, en geven aan welke stappen je kunt nemen om je website meer in lijn te brengen met de AVG.
1. Staat er een privacyverklaring / privacypolicy op je website?
Volgens de AVG is het verplicht om de bezoekers van je website te informeren over wat er met hun persoonsgegevens gebeurt en waarom. Een helder, transparant en volledig privacy- en cookie statement zijn hiertoe noodzakelijk. Deze statements moeten op een permanente en gemakkelijke wijze toegankelijk zijn voor de bezoeker (met voorkeur in de zogenaamde footer onderaan de webpagina).
In de privacyverklaring moet in ieder geval worden vermeld:
De naam en contactgegevens van de organisatie die bepaalt waarom en hoe de persoonsgegevens worden gebruikt (de verwerkingsverantwoordelijke);
De grondslag op basis waarvan de persoonsgegevens worden verwerkt;
Welke derde partijen toegang hebben tot de persoonsgegevens, bijvoorbeeld als je gebruik maakt van een e-marketingtool;
Of je de persoonsgegevens buiten de EU doorgeeft;
Hoe lang de persoonsgegevens worden bewaard;
Wat de rechten zijn van de betrokkene en waar deze een klacht in kan dienen;
Of en waarom de betrokkene verplicht is om de persoonsgegevens aan je te geven;
Of je gebruik maakt van geautomatiseerde besluitvorming en hoe je dat doet;
Of je de persoonsgegevens van een andere organisatie hebt gekregen
Is er toestemming gegeven door de betrokkene om persoonsgegevens te verwerken? Dan moet de betrokkene even gemakkelijk de mogelijkheid hebben om deze toestemming weer in te trekken: mensen kunnen je namelijk vragen om hun gegevens te laten verwijderen.
Let op: uitgangspunt is dat de verwerking alleen plaats kan vinden wanneer hiervoor vooraf een specifiek doel is vastgesteld. De gegevens die je vraagt kunnen in beginsel ook niet voor een ander doel worden gebruikt dan is vermeld. Meer informatie vind je hier.
Verder kun je niet:
1) Méér gegevens verwerken dan je nodig hebt voor je doel;
2) De gegevens langer bewaren dan nodig is voor het vastgestelde doel.
2. Is je cookiemelding correct / up-to-date?
Bij cookies zijn er twee soorten wetten van toepassing: de AVG en de ePrivacy Verordening.
Met de ePrivacy regels komt de verplichting dat je toestemming moet vragen voor het plaatsen van een cookie. De ePrivacy wetgeving is specifieker dan de AVG en bepaalt onder andere wanneer het plaatsen van cookies wel en niet is toegestaan:
Een cookiewall is niet toegestaan: bezoekers moeten ook gebruik kunnen maken van je website als ze niet akkoord gaan met het plaatsen van cookies.
Voor noodzakelijke of functionele cookies hoef je de gebruiker geen toestemming te vragen: die onthouden geen persoonsgegevens.
Ook voor analytische cookies is geen toestemming nodig, mits deze gegevens geanonimiseerd zijn. Je moet hier de bezoekers wel over informeren en het delen van deze informatie met derden mag niet.
Voor tracking cookies, waarmee je het surfgedrag van je sitebezoekers in kaart brengt, is wel toestemming vereist.
3. Heeft je website een SSL-certificaat?
Verwerking van persoonsgegevens betekent ook het optimaal beschermen daarvan. Dit nalaten kan leiden tot een hoge boete en een beveiligingslek moet je melden! Zorg dus dat je CMS up-to-date is en dat de webserver goed wordt onderhouden. Het is verplicht om elke pagina waar persoonsgegevens worden verzameld te beveiligen met HTTPS (een SSL certificaat). Hierdoor worden de gegevens die je sitebezoeker achterlaat versleuteld verstuurd. Denk bijvoorbeeld aan een offerte aanvraag of (nieuwsbrief-) aanmelding.
4. Heb je verwerkersovereenkomsten afgesloten?
Verwerkt er iemand gegevens voor je bedrijf? Beheert een SEO (Search Engine Optimization) specialist jouw website of verzorgt een clouddienst je back-ups? Dan zouden ze toegang kunnen hebben tot persoonsgegevens en dien je een verwerkersovereenkomst met hen af te sluiten. Hierin staan onder andere afspraken over geheimhouding, beveiliging en datalekken, en hoe jullie met de vertrouwelijke gegevens omgaan. Ook met Google dien je een verwerkersovereenkomst af te sluiten wanneer je gebruikmaakt van Google Analytics. Dit stappenplan helpt je op weg.
5. Staan er formulieren op je website?
Het is alleen toegestaan persoonsgegevens te verwerken die noodzakelijk zijn voor het beoogde doel. Dat heeft ook betrekking op de formulieren op je website, zoals het contactformulier of het aanmeldformulier voor je nieuwsbrief. De standaardinstellingen van deze formulieren moeten zo privacy-vriendelijk mogelijk zijn. Dat betekent geen vooraf aangevinkte checkboxes. En is het opvragen van de adresgegevens écht noodzakelijk voor de aanmelding van een nieuwsbrief? Hoe meer gegevens je op wilt vragen, hoe meer werk en (juridische) verplichtingen daarbij komen kijken. Keep it simple.
6. Welke andere digitale systemen maken gebruik van persoonsgegevens?
Naast je website zullen er hoe dan ook andere systemen zijn waarmee je persoonsgegevens verwerkt. Denk bijvoorbeeld aan je e-mailmarketing software of je CRM-systeem. Breng je gegevensverwerkingen daarom in kaart in een verwerkingsregister: documenteer welke persoonsgegevens je verwerkt, met welk doel je dit doet en wat de bewaartermijn is, waar deze gegevens vandaan komen en met wie je ze deelt. Zo krijg je inzicht in hoe je bestaande procedures en processen aan kunt passen op de AVG.
Meer weten over de AVG?
Bovenstaande is een greep uit de consequenties die de AVG heeft op functionaliteiten binnen je website of webplatform. Dit overzicht is natuurlijk niet allesomvattend. De richtlijn gaat veel verder dan alleen je website. Op de website van de Autoriteit Persoonsgegevens staat helder uitgelegd wat er nog meer bij komt kijken bij de AVG. Twijfel je over een van de aspecten van de AVG zoals hierboven genoemd? Neem dan contact met ons op!
Privacy by Design & Privacy by Default
Bij het ontwerpen en maken van je website of applicatie houdt iO rekening met de nieuwe privacyregels. Door zowel middels ontwerp (Privacy by Design) als middels techniek (Privacy by Default) een zorgvuldige omgang met persoonsgegevens af te dwingen.
Welke persoonsgegevens je exact mag en kan verwerken - en wat dat betekent voor je website - hangt af van de situatie. Onze experts kunnen ervoor zorgen dat je bestaande of nieuwe website of applicatie is ingericht volgens de eisen van de AVG en eventuele aanpassingen voor je doen.
Gerelateerde artikelen
Wat we doen
Technology & security audit, voor optimale digitale bescherming
Hoe gun je je organisatie blijvende bescherming? Met een helder overzicht van de zwakke plekken, kwetsbaarheden en veiligheidsrisico’s in je digitale ecosysteem. Lees hoe een technology & security audit je business case helpt.Lees meer
Blog
Bescherm je platform tegen hackers met een Web Application Firewall zoals Cloudflare
Het internet is een vijandige plek. Er draaien tal van scripts die niets anders doen dan zoeken naar kwetsbare digitale platformen met oude(re) softwareversies. En los van het feit dat hackers hun best doen om misbruik te maken van kwetsbare plekken, hebben ook platformen zónder kwetsbaarheden daar last van. Hoe verweer je je tegen dit soort aanvallen? En hoe voorkom je dat jouw platform ongewild slachtoffer wordt van performance degradatie als je wél je zaken goed op orde hebt?Lees meer
Blog
Een stap voorblijven op cyberaanvallen - veilige applicaties bouwen met de Secure Software Development LifeCycle (SSDLC)
Hackers zijn drukke innovators die hun arsenaal aan methoden voor cyberaanvallen steeds verfijnen en uitbreiden. Ze zijn constant op zoek naar zwakke plekken in bedrijfskritische toepassingen met als doel: data stelen, ransomware-aanvallen uitvoeren, IT-infrastructuur misbruiken voor hun eigen doeleinden of de continuïteit van diensten bij hun doelwitten verstoren via (D)Dos-aanvallen. Wat betekent dit voor ons bij iO als applicatiebouwer?Lees meer
Blog
Single Sign-On checklist: hoe kies je de geschikte oplossing?
Steeds meer bedrijven kiezen ervoor om hun digitale serviceomgevingen, van commerce platforms tot service- en aanvraagportalen, APIs en apps, op te bouwen uit losse componenten. Dat is een voordeel voor de flexibiliteit en time-to-market, maar het betekent ook iets voor het beheer van gebruikers en rollen. Technology Director van iO in Eindhoven, Friso Geerlings, legt uit waar je rekening mee moet houden en hoe je een passende Single Sign-On (SSO) oplossing kiest.Lees meer
Blog
Maak van technologie een katalysator voor innovatie
Begin dit jaar lanceerden we het Opportunity Report 2023: een verzameling expertvisies en inzichten om je te helpen alles uit het nieuwe jaar te halen. Op 9 maart, tijdens het Opportunity online live event, brachten we deze inzichten naar een geïnteresseerd publiek met als thema 'Accelerate your business in 2023'. In dit artikel delen we de belangrijkste punten uit de sessie van Raymond Muilwijk - slechts enkele manieren waarop moderne technologie de rol van enabler voor digitale transformatie kan spelen.Lees meer
Case
Hoe maak je het online aanvragen van medicijnen makkelijker?
Ook online je diensten aanbieden in de zorg? Maak het aanvraagproces makkelijker met een app.Bekijk dit klantverhaal
Case
Hoe innoveer je het openbaar vervoer met één portal voor reis- en betaalgegevens?
Databronnen koppelen door registratie van persoons- en creditcardgegevens op een online portalBekijk dit klantverhaal
Case
Hoe zorg je voor directe actie bij water- en gaslekken met één centrale bedrijfsapp?
Lees hoe we een business-app op maat maakten die semiautomatisch de meest efficiënte oplossing inplant en snelle rapportage realiseert.Bekijk dit klantverhaal
Case
Hoe transformeer je online banking met innovatieve apps en portalen – jarenlang?
Ontdek hoe iO een online platform en iOS- en Android-apps ontwikkelden voor de online bank Knab, van UX/UI design tot en met development. Lees de case.Bekijk dit klantverhaal
Case
Hoe zorg je voor een onvergetelijke ervaring voor reizigers op Brussels Airport?
Brussels Airport: In dit caseverhaal lees je hoe iO is uitgegroeid tot een verlengstuk van de luchthaven.Bekijk dit klantverhaal