Welke eisen stelt de AVG aan mijn contactformulier?

Welke eisen stelt de AVG aan mijn contactformulier?

De AVG in het kort

De Algemene Verordening Gegevensbescherming (AVG) is een wetgeving van de Europese Unie die op 25 mei 2018 van kracht is geworden. Het heeft tot doel de privacy van individuen te beschermen en de verwerking van persoonsgegevens te reguleren.

Wat zijn persoonsgegevens?

💡
Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit kan informatie zijn zoals naam, adres, e-mailadres, telefoonnummer, enzovoort.

Wat zijn gevoelige persoonsgegeven

💡
Gevoelige gegevens zijn persoonsgegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens, financiële gegevens en het BSN.

Wat zijn bijzondere persoonsgegevens

💡
Bijzondere persoonsgegevens zijn gegevens die zo privacygevoelig zijn dat het een grote(re) impact op iemand kan hebben als een organisatie deze gegevens verwerkt. Bijvoorbeeld gegevens over iemands gezondheid of politieke voorkeur. Daarom krijgen bijzondere persoonsgegevens extra bescherming in de AVG.

Verzamelen van persoonsgegevens met contactformulieren

Het verzamelen van persoonsgegevens met contactformulieren valt onder de AVG. Organisaties moeten ervoor zorgen dat ze een rechtmatige basis hebben voor het verzamelen van deze gegevens, zoals toestemming van de betrokkene.

Beveiligen van persoonsgegevens

Organisaties zijn verplicht om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen tegen verlies, misbruik, ongeoorloofde toegang, openbaarmaking en wijziging.

Enkele technische maatregelen op basis van voorbeelden van de autoriteit persoonsgegevens1:

  • Beperk de toegang tot de gegevens tot enkel de personen die met deze gegevens moeten werken
  • Sla de gegevens versleuteld op (encryptie)
  • Verwijder verouderde informatie automatisch, bijvoorbeeld als de bewaartermijn is verstreken
  • Houd bij wie toegang heeft tot welke gegevens, en wanneer. Bijvoorbeeld met behulp van logbestanden
  • Houd software up-to-date, zoals browsers, virusscanners en besturingssystemen

Enkele voorbeelden van organisatorische maatregelen:

  • Wijs een verantwoordelijke aan voor de informatiebeveiliging
  • Vergroot het beveiligingsbewustzijn bij medewerkers
  • Beoordeel regelmatig of u dezelfde doelen kunt behalen met minder persoonsgegevens
  • Beperk de toegang tot de gegevens tot enkel de personen die met deze gegevens moeten werken
  • Sluit verwerkers overeenkomsten af met partijen die voor u gegevens verwerken
  • Stel een protocol op voor de afhandeling van datalekken en beveiligingsincidenten
  • Controleer regelmatig de logbestanden
  • Controleer regelmatig of iedereen zich aan de procedures houd. Gebruikt iedereen sterke wachtwoorden? Two factor authentication? etc.

Informatieplicht

Organisaties moeten betrokkenen informeren over hoe hun persoonsgegevens worden verwerkt. Dit omvat informatie over het doel van de verwerking, de rechtsgrondslag, ontvangers van de gegevens en hun rechten onder de AVG.

Op basis van de autoriteit persoonsgegevens2 hebben we enkele voorbeelden om te voldoen aan deze informatieplicht:

  • Beschrijf bovenstaande in een online privacy verklaring
  • Vraag expliciet toestemming op het moment van het verzamelen van de gegevens. Bijvoorbeeld met een pop-up in je contact formulier.

Verantwoordingsplicht

Organisaties moeten kunnen aantonen dat ze voldoen aan de vereisten van de AVG. Dit omvat het bijhouden van gedetailleerde documentatie over de verwerking van persoonsgegevens en het implementeren van passende beleidsmaatregelen en procedures.

De autoriteit persoonsgegevens beschrijft de verplichte maatregelen die de AVG concreet noemt als volgt:

  • Een verwerkingsregister bijhouden. In een verwerkingsregister staat informatie over de persoonsgegevens die een organisatie verwerkt. Alle organisaties die persoonsgegevens verwerken, zijn verplicht zo’n register op te stellen.
  • Een data protection impact assessment (DPIA) uitvoeren bij gegevensverwerkingen met een hoog privacyrisico.
  • Een datalekregister bijhouden. Hierin neemt u ook de datalekken op die u niet hoeft te melden.
  • Aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer u voor deze verwerking toestemming nodig heeft.
  • Goed kunnen onderbouwen waarom u ervoor gekozen heeft om al dan niet een functionaris gegevensbescherming (FG) aan te stellen wanneer onduidelijk is of u verplicht bent om een FG aan te stellen.
  • Een privacyverklaring opstellen. Let op: dit is niet hetzelfde als een privacybeleid.

Hoe wij jou helpen om te voldoen aan de AVG

Onze software helpt jou aan de technische eisen van de AVG te voldoen.

  • Onze formulieren communiceren het doel van de verwerking, de rechtsgrondslag, ontvangers van de gegevens en hun rechten onder de AVG op het moment dat de data verzonden wordt.
  • We slaan deze gegevens vervolgens versleuteld op
  • We helpen je de toegang te beperken tot alleen de personen die de gegevens moeten verwerken.
  • We verwijderen gegevens automatisch wanneer de bewaartermijn is verlopen
  • We houden logbestanden bij met wie toegang had tot welke gegevens, en wanneer.

Op organisatorisch vlak ben je zelf verantwoordelijk. De eerste stap is echter snel gezet. Wijs een verantwoordelijke aan voor de informatiebeveiliging en laat die contact met ons opnemen.

Voldoet jouw website aan de AVG?

Wij helpen je graag met een gratis quickscan

Meld je aan voor een gratis quickscan