Op 25 mei 2018 zal de nieuwe Europese privacy wetgeving van kracht worden,

de Algemene verordening gegevensbescherming (AVG). De internationale

benaming is GDPR (General Data Protection Regulation). Deze wetgeving zal behoorlijk

wat consequenties hebben voor website eigenaren en (internet)ondernemers.

De AVG is al in mei 2016 in werking getreden, maar er is toen een periode van 2 jaar

ingesteld tot het daadwerkelijk van toepassing worden van deze wetgeving. Vanaf 25

mei wordt de wetgeving dus daadwerkelijk van kracht in de gehele EU en zal er op

gehandhaafd worden.

Het niet (volledig) naleven van deze wetgeving kan resulteren in forse boetes van max

4% van de jaaromzet of 20 miljoen euro.

Wat houdt de AVG in?

In de AVG is vastgelegd hoe organisaties om moeten gaan met gegevens die ze

verzamelen van mensen. Dit kunnen gegevens van klanten zijn maar ook gegevens van

bijvoorbeeld medewerkers.

De volgende regels zullen gaan gelden voor het vastleggen en verwerken van

persoonsgegevens:

• Voor het vastleggen en verwerken van gegevens dient expliciet toestemming te worden

gegeven.

• De gegevens mogen alleen worden verzameld en verwerkt voor een specifiek

aangegeven doel en mogen dus niet voor andere doeleinden worden gebruikt.

• Alleen de gegevens die noodzakelijk zijn voor het betreffende doel mogen worden

verzameld. Er mogen dus niet meer gegevens worden verzameld dan nodig is voor het

doel.

• De gegevens moeten correct zijn en blijven.

• De gegevens mogen niet langer bewaard blijven dan noodzakelijk is voor het

betreffende doel.

• De gegevens moeten worden beschermd tegen toegang door onbevoegden, diefstal of

verlies.

• De partij die de gegevens verzamelt en verwerkt moet kunnen aantonen hoe aan

bovenstaande verplichtingen wordt voldaan.

Daarbij zullen personen van wie de gegevens worden verzameld en verwerkt de

volgende rechten hebben:

• Recht op inzage: het recht om toegang te krijgen tot de eigen gegevens en tot

informatie over hoe deze gegevens worden gebruikt en verwerkt. Op verzoek moeten

categorieën van gegevens verstrekt kunnen worden en de daadwerkelijk vastgelegde

gegevens. Ook moet aan de betreffende persoon informatie geleverd kunnen worden

over de verwerking van de gegevens, het doel van deze verwerking, hoe de gegevens

zijn verkregen en met wie deze gegevens worden gedeeld.

• Recht op correctie en verwijdering: het recht om te verzoeken dat de vastgelegde

gegevens gecorrigeerd dan wel verwijderd worden.

• Recht op dataportabiliteit: het recht om de eigen persoonsgegevens van het ene

verwerkingssysteem naar het andere te kunnen overdragen. De vastlegger en verwerker

van de gegevens dient hiertoe de gegevens in een open elektronische standaard

kunnen aanleveren. Geanonimiseerde gegevens waarbij de informatie niet te herleiden

is naar een persoon, vallen hier buiten.

Wanneer een organisatie of onderneming (ook wanneer je onderneming alleen uit jezelf

bestaat) persoonsgegevens verzamelt en verwerkt, dan is deze wetgeving daarop van

toepassing. Dus, ook al verzamel je alleen namen van mensen, dan verzamel je dus

persoonsgegevens en is het dus op jou van toepassing en moet je aan de wetgeving

voldoen.

Voor meer informatie over de AVG wil ik je graag doorverwijzen naar de

website autoriteit persoonsgegevens.

Wat is het doel van de AVG?

De wet is bedoeld om burgers (dus ook jij en ik) meer rechten en mogelijkheden te

geven ten aanzien van de verzameling, verwerking en bescherming van hun

persoonlijke gegevens door anderen.

Wanneer je actief bent op het internet, dan laat je eigenlijk overal je sporen na. Overal

wordt data over je vastgelegd. Dit kan data zijn die je zelf verstrekt, maar ook data die

bijvoorbeeld via cookies over jou wordt verzameld.

Persoonsgegevens zijn zeer waardevol, daarom moeten ze met veel meer

zorgvuldigheid behandeld worden en beschermd worden dan tot nu toe het geval is

geweest.

De huidige wetgeving stamt uit een tijd dat er nog geen internet was en voldoet dus niet

meer. Met de AVG krijg je recht op meer inzicht in de gegevens die over jou zijn

verzameld, je krijgt recht om je gegevens in te zien, te laten wijzigen of te laten

verwijderen. Verder bepaalt deze wetgeving dat je toestemming moet geven, voordat er

gegevens van jou mogen worden verzameld en/of verwerkt.

Consequenties voor website eigenaren

De voorgaande paragraaf over wat de AVG inhoudt, is wellicht wat lastig te lezen en te

doorgronden. Ik heb getracht één en ander in mijn eigen woorden op te schrijven, maar

je zult begrijpen dat het niet eenvoudig is om wetten te vertalen naar glasheldere tekst.

Waar je je in ieder geval bewust van moet zijn, is dat de AVG consequenties heeft voor

website eigenaren. Wanneer je een website hebt, dan is de kans groot dat je

persoonsgegevens verzamelt.

Heb je bijvoorbeeld een contactformulier op je website, dan dienen mensen daarin een

naam en email adres in te vullen om contact met je te kunnen opnemen. Je verzamelt

dan dus gegevens.

Heb je een webshop en doe je verkopen via je website, dan heb je gegevens van

mensen nodig om deze verkopen daadwerkelijk te kunnen realiseren en goed te kunnen

afronden. Ook dan verzamel en verwerk je dus gegevens en is de AVG van toepassing.

Kortom, voor de meeste website eigenaren zal dus deze wetgeving gaan gelden en zal

je er dus actie op moeten ondernemen. In de volgende paragrafen zal ik ingaan op de

acties die je als website eigenaar zult moeten gaan nemen.

Ik ben natuurlijk geen jurist en kan natuurlijk zaken over het hoofd zien of verkeerd

interpreteren. Dit artikel dient dus ook beschouwd te worden als een poging om jou te

helpen met de voorbereiding op de AVG wetgeving. Ik adviseer je om naast dit artikel

ook zeker andere bronnen te raadplegen.

De belangrijkste dingen waar je als website eigenaar of internet ondernemer aan moet

denken zijn:

• Je moet expliciet toestemming vragen voor het verzamelen van gegevens.

• Je moet transparant zijn over wat je met deze gegevens doet en met wie je ze deelt.

• Je mag alleen die gegevens verzamelen die echt noodzakelijk zijn.

• Je moet de verzamelde gegevens beveiligen.

Wat moet je doen?

Ik zal proberen een zo volledig mogelijk lijst te maken van zaken waar je aan kunt

denken en die je kunt doen om je website en je internet activiteiten zoveel mogelijk te

laten voldoen aan de AVG wetgeving.

Leg vast welke persoonsgegevens je verzamelt

Denk hierbij aan alle gegevens die iets zeggen of gekoppeld zijn aan een natuurlijk

persoon. Dus:

• Naam

• Achternaam

• Adres

• Email adres

• IP adres

• Geboortedatum

• Enzovoorts

Dus alle gegevens die zijn te koppelen aan een natuurlijk persoon vallen onder de AVG.

Geanonimiseerde gegevens die niet te zijn herleiden naar een natuurlijk persoon vallen

buiten de scope van de AVG.

Naast het vastleggen welke gegevens je verzamelt, dien je ook aan te geven:

• hoe je dit doet

• met welk doel je dit doet

• hoe je de gegevens beveiligt

• hoe lang je de gegevens bewaart

• met wie je ze deelt.

Al deze informatie leg je vast in een privacy verklaring op je website.

Plaats een privacy verklaring op je website

Wanneer je via je website persoonsgegevens verzamelt en verwerkt, dan dient dit in een

privacy verklaring expliciet en in heldere taal genoemd en uiteengezet te worden. De

privacyverklaring die je op je website dient te plaatsen, moet in ieder geval de volgende

informatie bevatten:

• Informatie over jouw identiteit of de identiteit van je bedrijf.

• Je contactgegevens (of die van je bedrijf).

• Het doel (doelen) waarvoor je persoonsgegevens verzamelt.

• Wie deze persoonsgegevens ontvangen (dus met wie deel je ze).

• Hoe lang je de gegevens opslaat en obv welke criteria je de opslagtermijn bepaalt.

• Dat mensen het recht hebben tot inzage in hun gegevens en correctie en/of verwijdering

van hun gegevens.

• Dat mensen het recht hebben om tegen het verzamelen en verwerken van hun

gegevens bezwaar aan te tekenen.

• Dat mensen het recht hebben om eerder gegeven toestemming tot het verzamelen en

verwerken van gegevens in te trekken.

• Dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit

Persoonsgegevens.

• Of het wettelijk verplicht is dat men gegevens aan jou beschikbaar stelt, of dat het

verstrekken van persoonsgegevens een contractuele verplichting is of dat het

voorwaardelijk is voor de uitvoering van een contract of de levering van een dienst.

Tevens dient duidelijk gemaakt te worden wat de gevolgen zijn wanneer iemand zijn of

haar persoonsgegevens niet aan jou ter beschikking stelt.

• Indien er sprake is van geautomatiseerde besluitvorming of profilering moet dit gemeld

worden en moet ook vermeld worden wat daarvan het het belang is en wat de gevolgen

ervan.

Het lijkt ingewikkeld om zo’n privacy verklaring te maken. Deze privacy verklaring

generator kan een handig hulpmiddel zijn.

Cookies

Cookie zijn kleine bestanden die door een website worden opgeslagen op de PC van

een bezoeker. Deze cookies bevatten informatie over de bezoeker. Er zijn grofweg twee

soorten cookies: functionele cookies en tracking cookies.

Functionele cookies zorgen dat bepaalde functionaliteit op je website goed werkt. Heb je

bijvoorbeeld een webshop, dan zorgt een cookie er voor dat de inhoud van het

winkelwagentje bewaard wordt (handig wanneer iemand nog wat verder wil winkelen op

je webshop).

Een andere functionele cookie kan zijn om bepaalde popup schermpjes uit te zetten. Als

iemand een popup weg klikt, dan kun je dit in een cookie opslaan. De cookie zorgt er

dan voor dat tijdens het website bezoek de popup niet meer geopend wordt.

Over het algemeen worden functionele cookies verwijderd, zodra iemand de website

verlaat (aan het einde van de sessie).

Tracking cookies verzamelen informatie over het surfgedrag van bezoekers. Dus, welke

pagina’s hebben ze bezocht, welke producten hebben ze bekeken etc. Met een tracking

cookie is het bijvoorbeeld mogelijk om relevante advertenties te tonen op basis van

pagina’s die mensen eerder hebben bezocht.

Voor functionele cookies hoef je in principe geen toestemming te vragen. Waar een

bezoeker wel expliciet toestemming voor dient te geven, zijn cookies die informatie

vastleggen over gedrag van individuele bezoekers (dus ook de tracking cookies).

Wanneer je een scherm toont om toestemming te vragen voor het gebruik van cookies,

dan mogen de toestemmingsvinkjes van te voren niet al zijn aangekruist. De bezoeker

moet ze dus zelf aanvinken.

De toestemming is 12 maanden geldig, daarna dien je opnieuw toestemming te vragen.

Als een bezoeker binnen deze 12 maanden alsnog zijn of haar toestemming intrekt, dan

vervalt ook de toestemming.

Wat ook niet meer mag, is een zogenaamde cookiewall. Dus een cookie melding die er

voor zorgt dat je alleen van de website gebruik kunt maken, wanneer je aangeeft dat je

akkoord bent met het gebruik van cookies door de site.

Je mag de toegang tot je site niet meer ontzeggen aan mensen die geen cookies

accepteren. Je moet mensen dus altijd toelaten op je website, ongeacht of men cookies

accepteert of niet.

Een cookie extensie voor Joomla die claimt te voldoen aan de AVG wetgeving is EU e-

privacy Directive.

Een AVG proof cookie plugin voor Wordpress is Cookiebot

Google Analytics

Met Google Analytics leg je het surfgedrag vast van de bezoekers op je website.

Hiervoor worden ook cookies gebruikt. En de data wordt gedeeld met Google. Hiervoor

dien je dus ook expliciet toestemming te vragen aan je bezoekers.

Dien je altijd toestemming te vragen voor het gebruik van Google Analytics? Nee, je kunt

ook Analytics gebruiken zonder dat hiervoor expliciete toestemming vereist is. Je moet

dan aan de volgende zaken voldoen:

• Je hebt een verwerkersovereenkomst afgesloten met Google

• De verzamelde data (IP adressen) wordt geanonimiseerd

• Je hebt het delen met Google uitgezet

• Je hebt je gebruikers in je privacy verklaring geïnformeerd over het gebruik van Google

Analytics

Email marketing

Wanneer je nieuwsbrieven verstuurt en dus mensen op een mailinglijst plaatst, dan

moeten mensen hiervoor ook expliciet toestemming geven.

Dus, wanneer je een optin box op je website hebt, waarin mensen een naam en een

email adres kunnen invullen, dan dien je expliciet aan te geven dat mensen op een

mailing lijst komen en wat voor soort emails je zult gaan versturen, hoe vaak je mailings

zult versturen, of je data aan derden verstrekt.

Tevens dienen mensen middels een vinkje te bevestigen dat ze toestemming geven om

op jouw mailinglijst geplaatst te worden. Ook hier geldt dat het vinkje om toestemming te

geven niet automatisch al mag zijn aangevinkt. Bezoekers moeten zelf de toestemming

aanvinken.

Ook dien je vast te leggen op basis van welke informatie men toestemming heeft

gegeven. Je zou dus bijvoorbeeld een schermprint kunnen vastleggen van het optin

formulier waarmee mensen hun toestemming hebben gegeven (mits op deze

schermprint inderdaad de informatie staat op basis waarvan mensen hun toestemming

hebben verleend).

Mocht je nu je mail statistieken bijhouden, dus je legt vast hoeveel mensen je mailings

openen, hoeveel mensen op links klikken in je mail etc, dan dien je je bezoekers

hierover in je privacy verklaring te informeren.

De ondubbelzinnige toestemming voor het toevoegen van mensen aan je mailinglijst

geldt ook voor mensen die zich voor 25 mei 2018 (dus voor het actief worden van de

AVG wetgeving) hebben ingeschreven op je nieuwsbrief.

Toestemming vragen

Erg belangrijk in de AVG wetgeving is dat je verplicht bent om expliciet toestemming

te vragen voor het verzamelen en verwerken van persoonsgegevens.

Niet alleen moet je toestemming vragen, je moet ook kunnen aantonen dat je

toestemming hebt gevraagd, wanneer je toestemming hebt gevraagd en waarvoor je

precies toestemming hebt gevraagd.

Tevens moet je kunnen aantonen welke informatie iemand tot zijn of haar beschikking

had toen deze persoon toestemming aan jou gaf om persoonsgegevens te verzamelen

en te verwerken. Denk bijvoorbeeld aan het opslaan van schermprints van het scherm

waarin je de toestemming vroeg.

Recht op inzage, wijzigen, meenemen en verwijderen

In de AVG wetgeving is bepaald dat mensen het recht hebben om hun

persoonsgegevens in te zien, te (laten) wijzigen, mee te nemen en te (laten)

verwijderen. Iemand mag dus bij jou zijn of haar gegevens opvragen, je bent dan

verplicht de gegevens kosteloos binnen 30 dagen aan te leveren.

Het recht op portabiliteit houdt in dat mensen het recht hebben om eigen

persoonsgegevens die door jou zijn vastgelegd mee te nemen naar andere organisaties.

Je dient hiervoor de gegevens aan te leveren in een gangbaar electronisch formaat. In

de richtlijnen van de autoriteit persoonsgegevens worden oa XML en CSV genoemd.

De gegevens waarover je inzage dient te kunnen verstrekken, zijn de

persoonsgegevens die iemand zelf bij jou heeft aangeleverd.

Wanneer je een kleine onderneming hebt, dan kun je in principe volstaan met het

benoemen van bovenstaande rechten in je privacy verklaring. Eventuele aanvragen zou

je handmatig kunnen doen.

Voor grotere organisaties kan dit lastiger zijn, en zullen er technische oplossingen

bedacht en geïmplementeerd dienen te worden.

Wat te doen met backups

Artikel 17 van de AVG wetgeving betreft het recht om vergeten te worden. Wanneer

iemand een beroep doet op dit recht, dan dienen alle persoonsgegevens van deze

persoon verwijderd te worden.

Maar wat nu te doen met backups? In je backups bevinden zich de data van je

website/organisatie. In het geval van een calamiteit heb je deze backups nodig om één

en ander weer te herstellen. Het maken en houden van backups is dus essentieel.

Echter, in je backups bevinden zich waarschijnlijk ook de persoonsgegevens van

mensen die deze aan je verstrekt hebben. Ook dus de persoonsgegevens die je in je

productie omgeving verwijderd hebt.

Hoe nu om te gaan met je backups in relatie met het recht om vergeten te worden.

Jij als website eigenaar/internet ondernemer zult stellen dat het onmogelijk is om

individuele gegevens te verwijderen uit backups. Volgens de wet ben je echter verplicht

om te voldoen aan de wet, dus je dient ook het recht om vergeten te worden te

honoreren.

Je kunt dus stellen dat er hier twee belangen op ramkoers zijn. Het belang van de

website/ondernemer om backups te houden en het recht van een persoon om vergeten

te worden. Zit er hier ergens lucht waarvan we gebruik kunnen maken?

Wanneer je kijkt naar artikel 12 (Transparante informatie, communicatie en nadere

regels voor de uitoefening van de rechten van de betrokkene) punt 3, dan staat daar dat

aan verzoeken van personen omtrent hun gegevens binnen een maand gehoor dient te

worden gegeven.

Met andere woorden, als een persoon verzoekt om vergeten te worden, dan moet je zijn

of haar gegevens binnen een maand verwijderd hebben. Zoals ik het interpreteer,

betekent dit dat je backups voor een periode van maximaal een maand zou kunnen

bewaren.

Verder staat er in dit zelfde punt dat bij complexe situaties of bij een groot aantal

verzoeken deze periode nog met 2 maand verleng kan worden. Wanneer je kunt

aangeven dat deze situatie op jou van toepassing is, dan zou je je backups nog twee

maanden langer kunnen bewaren.

Ik denk dat het voor de meeste websites voldoende zal zijn om backups max 1 maand

te bewaren, en dat voor grotere, complexere websites 3 maanden voldoende zal zijn.

Wel is het zeer belangrijk om in je privacy verklaring aan te geven hoe je om gaat met je

backups. Dus, hoe lang bewaar je ze en hoe zorg je er voor dat ze beveiligd bewaard

worden.

Uiteraard is het ook zo dat, wanneer je een backup moet gebruiken voor het herstel van

je website of je data, dat je de gegevens die in de originele situatie verwijderd waren,

ook moeten worden verwijderd na het restoren van de backup.

Beveiliging van gegevens

De AVG wetgeving schrijft voor dat persoonsgegevens afdoende beveiligd dienen te

worden. Hoe deze beveiliging is geregeld, dient te worden opgenomen in de privacy

verklaring.

Nu al ben je verplicht om datalekken te melden binnen 72 uur. De AVG stelt wel

strengere eisen aan de eigen registratie van datalekke. Je moet alle datalekken

documenteren. Met deze documentatie moet de autoriteit persoonsgegevens kunnen

controleren of je aan de meldplicht hebt voldaan.

De autoriteit persoonsgegevens geeft op haar website aan dat de precieze richtlijnen

hiervoor op dit moment nog niet definitief zijn vastgesteld.

Een belangrijke stap in de beveiliging is het gebruiken van een beveiligde verbinding

voor je website.

Een functionaris voor gegevensbescherming

In sommige situaties kan het verplicht zijn om een functionaris voor

gegevensbescherming in je organisatie te hebben. Dit is verplicht wanneer:

• Je als organisatie vanuit een kernactiviteit op grote schaal individuen volgt, bijvoorbeeld

voor profilering voor het maken van risico inschattingen, gezondheid etc.

• Je een publieke- of overheidsorganisatie bent

• Wanneer je op grote schaal bijzondere persoonsgegevens verzamelt (bijv. ras, geloof,

sexuele geaardheid, politieke opvatting etc) en dit een kernactiviteit is.

Wanneer er in jouw organisatie een functionaris voor gegevensbescherming aanwezig

is, dan dienen diens contactgegevens genoemd te worden in je privacy verklaring.

Een Data Protection Impact Assessment

Een Data Protection Impact Assessment (DPIA) is alleen verplicht als een

gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen

(de mensen van wie de organisatie gegevens verwerkt).

Verwerkersovereenkomsten

Wanneer je de door jou verzamelde persoonsgegevens laat verwerken door derde

partijen, dan dien je met deze partijen een verwerkersovereenkomst (data processing

agreement) af te sluiten.

Mocht je nu denken dat dit voor jou niet van toepassing, denk dan om het volgende.

Gebruik je bijvoorbeeld Google Analytics, dan verwerkt Google dus gegevens voor jou.

Je dient dus met Google een verwekersovereenkomst af te sluiten.

Gelukkig is Google voorbereid, in je Analytics account kun je zo’n overeenkomst

afsluiten/accepteren.

Maar denk ook aan andere partijen waaraan je data verstrekt ( bijvoorbeeld voor je

email marketing, je boekhouder etc).

Onder andere de volgende zaken dienen in een verwerkersovereenkomst te staan:

• Het onderwerp en de duur van de gegevensverwerking.

• De aard en het doel van de gegevensverwerking.

• Het soort persoonsgegevens.

• De categorieën van betrokkenen.

• De rechten en verplichtingen van de verwerkingsverantwoordelijke.

Bron: website autoriteit persoonsgegevens over verwerkersovereenkomsten .

Een voorbeeld van een verwerkersovereenkomst kun je hier

vinden: privacycompany.eu.

Register verwerkingsactiviteiten

Je bent verplicht om een register verwerkingsactiviteiten bij te houden wanneer je

persoonsgegevens verzamelt en verwerkt op niet-incidentele basis. Aangezien het

verzamelen en verwerken van persoonsgegevens zelden incidenteel is, kun je er vanuit

gaan dat je een dergelijk register zult moeten bijhouden als je persoonsgegevens

verzamelt en verwerkt.

Je dient het register verwerkingsactiviteiten te kunnen overleggen, wanneer de autoriteit

persoonsgegevens daarom vraagt.

Dit dient er in een dergelijk register te staan:

• De naam en contactgegevens van je organisatie of de vertegenwoordiger van je

organisatie.

• eventuele andere organisaties en/of personen die gegevens voor je verwerken of met

wie je gegevens deelt.

• De Functionaris voor de gegevensbescherming (als die binnen je organisatie aanwezig

is).

• De doelen van het verzamelen en verwerken van persoonsgegevens.

• Een beschrijving van de categorieën van personen van wie je gegevens verzamelt en

verwerkt.

• Een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-

gegevens, telefoonnummers, camerabeelden of IP-adressen.

• De datum waarop je de gegevens moet verwijderen (indien bekend).

• De categorieën van ontvangers aan wie u persoonsgegevens verstrekt.

• Of je gegevens deelt met instanties en/of organisaties buiten de EU.

• Een algemene beschrijving van de technische en organisatorische maatregelen die je

hebt genomen om persoonsgegevens die je verwerkt te beveiligen.

Op de website van de Belgische autoriteit persoonsgegevens kun je een voorbeeld

register verwerkingsactiviteiten downloaden. Niet alles in dit voorbeeld is van toepassing

(Franstalige benaming en KBO nummer) maar voor de rest is het prima te gebruiken

voor het opstellen van je eigen register verwerkingsactiviteiten.

Een voorbeeld van een register verwerkingsactiviteiten.

Nieuwsgierig naar de complete AVG ?

Dit artikel is gebaseerd op mijn interpretatie van de AVG wetgeving en op informatie van

andere bronnen.

Mocht je de gehele tekst van de wetgeving tot je willen nemen, dan kun je deze hier

bekijken: de complete AVG Wet in PDF formaat.

Wat gebeurt er na 25 mei?

Je bent nu bijna aan het einde gekomen van dit best lange (en saaie) artikel. Daarvoor

allereerst gefeliciteerd ;-).

De AVG wetgeving zal actief worden vanaf 25 mei 2018. Vanaf die datum moet jouw

website en/of internet onderneming voldoen aan deze wetgeving. Ik zou zeggen, wacht

niet te lang met het doorvoeren van de benodigde acties, want voor je het weet is het zo

ver.

Dan is er natuurlijk de vraag, in hoeverre zal men deze wetgeving echt gaan handhaven.

Welke risico's loop je als je niets (of weinig) doet. Allereerst wil ik daarover het volgende

zeggen:

Het kan best veel werk zijn om AVG proof te worden. Wanneer je dit artikel hebt

doorgenomen en ook andere bronnen hebt geraadpleegd, duizelt je het misschien en

denk je wellicht: "wat een gedoe om privacy in een tijd waarin bijna iedereen zijn hele

hebben en houden op social media deelt".

Bedenk dan dat deze wetgeving er ook is om jou en je persoonlijke gegevens te

beschermen. Je persoonlijke data is een belangrijk en kostbaar goed, het is dus heel

mooi dat hierover nu eindelijk eens goede wetgeving voor is gemaakt.

Aan de andere kant begrijp ik ook dat het AVG proof maken van je website en je internet

activiteiten best een karwei kan zijn. Ik sta zelf ook voor deze uitdaging.

Hoe en in hoeverre deze wetgeving gehandhaafd zal gaan worden, dat is afwachten. Ik

kan me voorstellen dat er vooral naar de grote internet ondernemingen gekeken zal

worden. Maar het kan natuurlijk ook zo zijn dat een aantal kleine websites worden

aangepakt om een voorbeeld te stellen. De toekomst zal het leren.

Ik verwacht overigens niet dat je meteen hard gestraft en beboet zult worden, wanneer

je nog niet helemaal voldoet aan de wetgeving na 25 mei. Ik denk dat er ook gekeken

zal gaan worden wat je al wel hebt gedaan en er zal waarschijnlijk onderscheid gemaakt

worden tussen websites/internet ondernemingen die te goeder trouw zijn of die met

kwade opzet de regelgeving niet naleven.

Mocht je website of je internet onderneming nu eens onder de loep genomen worden en

er worden een aantal zaken gevonden, dan zul je waarschijnlijk eerst een waarschuwing

krijgen en de gelegenheid om de zaken op orde te maken.

Voor nu wil ik je bedanken voor het lezen van dit artikel. Mocht je suggesties hebben of

aanvullingen of tips of een andere opmerking, dan zou ik het leuk vinden als je een

reactie achter laat!