Welke eisen stelt de AVG aan mijn contactformulier

De AVG in het kort

De Algemene Verordening Gegevensbescherming (AVG) is een wetgeving van de Europese Unie die op 25 mei 2018 van kracht is geworden. Het heeft tot doel de privacy van individuen te beschermen en de verwerking van persoonsgegevens te reguleren.

Wat zijn persoonsgegevens

Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit kan informatie zijn zoals naam, adres, e-mailadres, telefoonnummer, enzovoort.
Autoriteit persoonsgegevens

Wat zijn gevoelige persoonsgegeven

Gevoelige gegevens zijn persoonsgegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens, financiële gegevens en het BSN.
Autoriteit persoonsgegevens

Wat zijn bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn gegevens die zo privacygevoelig zijn dat het een grote(re) impact op iemand kan hebben als een organisatie deze gegevens verwerkt. Bijvoorbeeld gegevens over iemands gezondheid of politieke voorkeur. Daarom krijgen bijzondere persoonsgegevens extra bescherming in de AVG.
Autoriteit persoonsgegevens

Verzamelen van persoonsgegevens met contactformulieren

Het verzamelen van persoonsgegevens met contactformulieren valt onder de AVG. Organisaties moeten ervoor zorgen dat ze een rechtmatige basis hebben voor het verzamelen van deze gegevens, zoals toestemming van de betrokkene.

Beveiligen van persoonsgegevens

Organisaties zijn verplicht om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen tegen verlies, misbruik, ongeoorloofde toegang, openbaarmaking en wijziging.

Enkele technische maatregelen op basis van voorbeelden van de autoriteit persoonsgegevens¹:

Beperk de toegang tot de gegevens tot enkel de personen die met deze gegevens moeten werken
Sla de gegevens versleuteld op (encryptie)
Verwijder verouderde informatie automatisch, bijvoorbeeld als de bewaartermijn is verstreken
Houd bij wie toegang heeft tot welke gegevens, en wanneer. Bijvoorbeeld met behulp van logbestanden
Houd software up-to-date, zoals browsers, virusscanners en besturingssystemen

Enkele voorbeelden van organisatorische maatregelen:

Wijs een verantwoordelijke aan voor de informatiebeveiliging
Vergroot het beveiligingsbewustzijn bij medewerkers
Beoordeel regelmatig of u dezelfde doelen kunt behalen met minder persoonsgegevens
Beperk de toegang tot de gegevens tot enkel de personen die met deze gegevens moeten werken
Sluit verwerkers overeenkomsten af met partijen die voor u gegevens verwerken
Stel een protocol op voor de afhandeling van datalekken en beveiligingsincidenten
Controleer regelmatig de logbestanden
Controleer regelmatig of iedereen zich aan de procedures houd. Gebruikt iedereen sterke wachtwoorden? Two factor authentication? etc.

[https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/beveiliging-van-persoonsgegevens/voorbeelden-van-beveiligingsmaatregelen]

Informatieplicht

Organisaties moeten betrokkenen informeren over hoe hun persoonsgegevens worden verwerkt. Dit omvat informatie over het doel van de verwerking, de rechtsgrondslag, ontvangers van de gegevens en hun rechten onder de AVG.

Op basis van de autoriteit persoonsgegevens² hebben we enkele voorbeelden om te voldoen aan deze informatieplicht:

Beschrijf bovenstaande in een online privacy verklaring
Vraag expliciet toestemming op het moment van het verzamelen van de gegevens. Bijvoorbeeld met een pop-up in je contact formulier.

Verantwoordingsplicht

Organisaties moeten kunnen aantonen dat ze voldoen aan de vereisten van de AVG. Dit omvat het bijhouden van gedetailleerde documentatie over de verwerking van persoonsgegevens en het implementeren van passende beleidsmaatregelen en procedures.

De autoriteit persoonsgegevens³ beschrijft de verplichte maatregelen die de AVG concreet noemt als volgt:

Een verwerkingsregister bijhouden. In een verwerkingsregister staat informatie over de persoonsgegevens die een organisatie verwerkt. Alle organisaties die persoonsgegevens verwerken, zijn verplicht zo’n register op te stellen.
Een data protection impact assessment (DPIA) uitvoeren bij gegevensverwerkingen met een hoog privacyrisico.
Een datalekregister bijhouden. Hierin neemt u ook de datalekken op die u niet hoeft te melden.
Aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer u voor deze verwerking toestemming nodig heeft.
Goed kunnen onderbouwen waarom u ervoor gekozen heeft om al dan niet een functionaris gegevensbescherming (FG) aan te stellen wanneer onduidelijk is of u verplicht bent om een FG aan te stellen.
Een privacyverklaring opstellen. Let op: dit is niet hetzelfde als een privacybeleid.

Hoe wij jou helpen om te voldoen aan de AVG

Onze software helpt jou aan de technische eisen van de AVG te voldoen.

Onze formulieren communiceren het doel van de verwerking, de rechtsgrondslag, ontvangers van de gegevens en hun rechten onder de AVG op het moment dat de data verzonden wordt.
We slaan deze gegevens vervolgens versleuteld op
We helpen je de toegang te beperken tot alleen de personen die de gegevens moeten verwerken.
We verwijderen gegevens automatisch wanneer de bewaartermijn is verlopen
We houden logbestanden bij met wie toegang had tot welke gegevens, en wanneer.

Op organisatorisch vlak ben je zelf verantwoordelijk. De eerste stap is echter snel gezet. Wijs een verantwoordelijke aan voor de informatiebeveiliging en laat die contact met ons opnemen.

Bronvermelding

https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/beveiliging-van-persoonsgegevens/voorbeelden-van-beveiligingsmaatregelen ↩︎
https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/recht-op-informatie#voor-organisaties-informatieplicht-avg ↩︎
https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/avg-algemeen/verantwoordingsplicht ↩︎

Categorie: AVG, GDPR

Tags: [avg, gdpr, persoonsgegevens]