Het verschil tussen de AVG en de e-Privacy Verordening

Het verschil tussen de AVG en de e-Privacy Verordening

Na de AVG (Algemene Verordening Gegevensbescherming) komt de Europese wetgever binnenkort met een andere verordening die van invloed gaat zijn op onze manier van dataverwerking: de ePV (e-Privacy Verordening). Wanneer de ePV inwerking zal treden is nog niet duidelijk. Naar verwachting zal dat medio 2019 zijn. De ePV zal de op dit moment geldende Europese ePrivacy Richtlijn (EPR) vervangen en daarmee dus ook de Nederlandse Telecommunicatiewet die hierop gebaseerd is.

Ondanks dat ik het gevoel had dat de ePV nog helemaal niet bekend is bij ´het grote publiek´ krijgen wij toch al geregeld vragen erover. De meest gestelde vraag betreft het verschil tussen de AVG en de e-Privacy Verordening. Dat zal ik in dit artikel kort toelichten.

 

De e-Privacy Verordening is een Lex specialis

 

De e-Privacy Verordening zal een zogenaamde lex specialis van de AVG worden. Dat betekent dat als beide wetten elkaar tegen spreken de ePV voorrang zal hebben. Indien een onderwerp niet nadrukkelijk is geregeld in de ePV, kan men terugvallen op de AVG. Eigenlijk zal de ePV een uitwerking worden van (bepaalde onderdelen) van de AVG.

 

De onderwerpen die de verordeningen regelen

 

Zoals de meeste lezers nu wel zullen weten regelt de AVG zaken die vooral de opslag, gebruik en verwerking van persoonsgegevens betreffen. De e-Privacy Verordening gaat zaken regelen die vooral e-mail, cookies en direct marketing aangaan.

 

De toepasselijkheid op business to business

 

De AVG ziet voornamelijk (uitzonderingen daargelaten) toe op het beschermen van rechten van natuurlijke personen (mensen van vlees en bloed). De ePV ziet echter zowel toe op het beschermen van rechten van natuurlijke personen als op rechtspersonen (ondernemingen zoals bijvoorbeeld een B.V.).

 

De impact

 

Zoals u wellicht nog wel weet was de impact van de AVG enorm. Vooral vlak voor 25 mei 2018 (de datum waarop de AVG inwerking trad). Veel ondernemingen hadden zich vergist in de omvang van wat zij moesten regelen om AVG-conform te kunnen ondernemen. Denk bijvoorbeeld aan een nieuwe privacyverklaring, verwerkersovereenkomst en het inrichten van een register van verwerkingsactiviteiten.

 

Naar verwachting zal de invoering van de ePV minder geregel met zich meebrengen. De meeste ondernemingen zullen wel hun cookiemelding moeten aanpassen. Ook de manier van het versturen van (direct) marketing berichten dient zorgvuldig onder de loep genomen te worden. Maar, tenzij uw onderneming zich richt op het aanbieden van moderne communicatiemiddelen of de eindapparatuur daarvan, bent u, als u althans al AVG conform onderneemt al een heel eind op weg als bovenstaande zaken in orde zijn.

 

Overeenkomst tussen de AVG en ePV

 

Naast de verschillen zijn er ook een aantal overeenkomsten tussen de AVG en de ePV. Zo zullen beiden van toepassing zijn binnen de gehele EU. Met andere woorden, in beginsel gelden voor alle EU lidstaten dezelfde regels ten aanzien van de onderwerpen die de verordeningen regelen.

 

Daarnaast kunt u op grond van beide verordeningen gebruik maken van dezelfde rechtsmiddelen. Bijvoorbeeld het indienen van een klacht bij de handhavende instantie (welke in Nederlands voor beide verordeningen de Autoriteit Persoonsgegevens is). En zijn ook de hoogtes van de boetes in beide verordeningen gelijk (maximaal 20.000.000 of 4 % van de wereldwijde jaaromzet).

 

Hebt u na het lezen van dit artikel nog vragen? Neem dan vrijblijvend contact met ons op.

 

Website AVG-proof maken

Website AVG-proof maken

Voldoen aan de AVG gaat uiteraard veel verder gaat dan alleen uw website AVG-proof maken. Daarvan moet u zich bewust zijn! Alle processen en afdelingen binnen een organisatie die persoonsgegevens verwerken krijgen met de AVG te maken krijgen en dienen onder de loep genomen te worden. Voor meer informatie kunt u een van onze eerdere artikelen over de nieuwe privacywetgeving van 2018 lezen.

 Ik richt mij in dit artikel alleen op de juiste inrichting van uw website ten aanzien van de AVG (Algemene Verordening Gegevensbescherming). Deze nieuwe wetgeving zal, zoals u inmiddels vast al weet, vanaf 25 mei 2018 de Wet bescherming persoonsgegevens vervangen.

 

Privacy by Design and Privacy by Default

 

Privacy by Design and Privacy by Default zijn de pijlers van de AVG. Bij alle acties omtrent het verzamelen en verwerken van persoonsgegevens dien u zich allereerst af te vragen of u daaraan voldoet.

 

Privacy by Design betekent dat u al bij het ontwerp – van bijvoorbeeld uw product, dienst of website, voorziet in (technische en organisatorische) maatregelen om de privacyrisico’s voor de gebruiker zo klein mogelijk te maken. Bijvoorbeeld door persoonsgegevens te pseudonimiseren en niet meer persoonsgegevens te verwerken dan noodzakelijk voor het doel van de verwerking.

 

Privacy by Default houdt in dat u (technische en organisatorische maatregelen) moet nemen om ervoor te zorgen dat standaard de instellingen en functies van de producten en/of diensten op de meest privacyvriendelijke stand staan. Gebruikers hoeven dus niets aan de instellingen en functies te wijzigen om hun privacy te beschermen. Dus geen vinkjes die alvast aan staan!

 

Wat moet ik doen om mijn website AVG-proof te maken?

 

Om heel eerlijk te zijn zal uw website nooit 100% AVG-proof zijn. Dat is misschien raar om te lezen van een jurist. Maar net als een ´waterdicht´ contract niet kan bestaan geldt dat ook voor het 100% AVG proof maken van een website. De punten die ik hieronder beschrijf zorgen er wel voor dat uw website zo goed mogelijk voldoet aan de AVG. Het (blijven) voldoen aan de AVG is echter een organisch proces waar u telkens opnieuw kritisch naar dient te kijken!

 

Onderstaande aandachtspunten zorgen ervoor dat uw website zo goed als mogelijk voldoet aan de AVG. Hierbij ben ik uitgegaan van een betrekkelijk eenvoudige website, met een normaal producten- en/of dienstenaanbod. U zult zien dat u best al een aantal punten zelf kan oppakken. Voor sommige zaken adviseren wij u echter de hulp van een professional zoals uw websitebeheerder of een jurist in te schakelen.

 

 

Dit kunt u zelf

 

 • Check uw contactformulieren en andere omgevingen waar klanten hun gegevens achter kunnen laten en:
  • vraag niet meer informatie dan nodig of motiveer duidelijk;
  • stuur de betrokkene geen mail met een ‘noreply’ e-mailadres, dat mag vanaf 25 mei 2018 niet meer. Gebruik daarentegen een e-mailadres waar men wel naar kan mailen (en beheer deze!).
 • Richt, indien dat op uw organisatie van toepassing is, een register van verwerkingsactiviteiten in en:
  • registreer hoe en waarvoor de betrokkene precies toestemming hebben gegeven;
  • bewaar de persoonsgegevens die u verzamelt op een centrale plek (niet op meerdere en/of verschillende plekken); en
  • zorg dat u zich aan de richtlijnen bewaartermijnen houdt.
  • LET OP: een register van verweringsactiviteiten is natuurlijk veel uitgebreider dat de bovengenoemde informatie. Dit betreft enkel specifieke aandachtspunten van uw website! Het opstellen van een dergelijk register is vormvrij, vandaar dat ik van mening ben dat u een eenvoudig register prima zelf kan opstellen en bijhouden via bijvoorbeeld Excel. Indien u zich daar niet prettig of onzeker bij voelt, laat het dan opstellen of controleren door een jurist!

 

Dit adviseren wij om door uw websitebeheerder uit te laten voeren  

 • Check welke cookies uw website gebruikt, zorg dat u Google Analytics geanonimiseerd gebruikt en zorg dat u GEEN tracking cookies plaatst. (Dit kunt u uitzetten bij google); OF
 • Gebruik een cookie Wall. (Dit zorg ervoor dat er geen cookies geplaatst worden alvorens een klant akkoord is). Deze optie heeft onze voorkeur!
 • Zorg voor een SSL beveiligingscertificaat.

 

Dit adviseren wij om door een jurist op te laten stellen  

 • Indien u een Disclaimer gebruikt, vernieuw deze naar AVG standaarden.
 • Vernieuw uw Privacyverklaring naar AVG standaarden; en
  • plaats een link in de voettekst van uw website; en
  • ook op iedere plaats waar u persoonsgegevens verzamelt.
 • Sluit een Verwerkersovereenkomst met ALLE partijen die toegang hebben tot de persoonsgegevens die u verzamelt (denk aan beheerder website, boekhoudprogramma, e-marketingtools en SEO-specialist enz.). In beginsel bent u verantwoordelijk voor een verwerkingsovereenkomst, maar we zien dat veel grotere partijen hier al in voorzien. (TIP: laat een verwerkersovereenkomst die u wordt voorgelegd altijd even checken door een jurist. Voor u het weet bent u aansprakelijk voor meer schade dan u kon voorzien).

 

 

Wat kost het om de juridische en beheer elementen uit te besteden?

 

Kosten van de juridische aspecten

 

De prijzen die advocaten en juristen hanteren om ervoor te zorgen dat uw website zo goed mogelijk voldoet aan de AVG liggen nogal uiteen. Omdat wij van duidelijkheid houden hebben wij voor u een pakket samengesteld met één prijs! Hierin zitten de belangrijkste documenten die hierboven beschreven zijn. Houdt er rekening mee dat de documenten maatwerk zijn en dat van u ook enige input verwacht wordt (bijvoorbeeld een overzicht van de doelen waarvoor u persoonsgegevens verzamelt).

 

Het Lexia Legal AVG websitepakket € 550,00 exclusief btw

 

 • Website beoordelen op AVG aandachtspunten (inclusief kort verslag van verbeterpunten).
 • Privacyverklaring opstellen of updaten naar AVG eisen.
 • Model Verwerkersovereenkomst, geschikt voor de meeste partijen die die toegang hebben tot de persoonsgegevens die u verzamelt.
 • EXTRA OPTIE 1: Disclaimer opstellen of updaten naar AVG eisen (+ € 65,00 exclusief btw).
 • EXTRA OPTIE 2: Opstellen of controleren register verwerkingsactiviteiten (op basis van uurtarief ad. € 110,00 exclusief btw)

 

Kosten van de beheerder van uw website

 

Ook de prijzen die beheerders van website hanteren om ervoor te zorgen dat uw website zo goed mogelijk voldoet aan de AVG liggen nogal uiteen. Dat is natuurlijk deels afhankelijk van de inhoud van de benodigde werkzaamheden en de omvang van uw website. Indien u uw website in eigen beheer heeft wijzen wij u graag op onze goede samenwerking met BizziBee. Zij verzorgen ook onze website! BizzyBee houdt net als wij ook van duidelijkheid en heeft daarom ook een pakket samengesteld.

 

Het BizziBee AVG webpakket € 147,00 exclusief btw (voor sites tot 120 URL’s)

 

 • Scannen website op welke cookies gebruikt worden.
 • Inrichten AVG Compliant cookiemelding op website.
 • Inrichten geanonimiseerde opslag cookietoestemming van webgebruikers

 

Indien u besluit beiden pakketten af te nemen kan dit voor de prijs van € 650,00. U kunt dit bij uw contact met Lexia Legal of Bizzybee aangeven en het wordt voor u geregeld!

 

Wij helpen u graag verder, ook bij aanvullende vragen of afwijkende situaties! Neem daarvoor vrijblijvend contact met ons op.

 

Ja, ik heb interesse in een AVG pakket. Stuur mij een voorstel

Ik kies voor pakket:

Extra optie:

Extra opties:

Extra opties:

Ik gebruik WordPress (.org)

*

4 + 2 =

Register van verwerkingsactiviteiten (AVG)

Register van verwerkingsactiviteiten (AVG)

Naar aanleiding van mijn vorige artikel, waarin ik in grote lijnen de nieuwe AVG toelicht, kreeg ik veel vragen. Een vraag die met kop en schouders boven de andere uitstak was: ´wat moet ik concreet doen om te voldoen aan de nieuwe AVG`? Een van de meest concrete artikelen uit de AVG betreft artikel 30 over het register van verwerkingsactiviteiten. Via dit artikel zal ik uitleggen of uw onderneming een register van verwerkingsactiviteiten zal moeten bijhouden. Tevens beschrijf ik hoe u dit zou kunnen vormgeven.

 

MOET IK EEN REGISTER VAN VERWERKINGSACTIVITEITEN BIJHOUDEN?

Indien u een organisatie heeft waarin méér dan 250 personen werkzaam zijn bent u verplicht een register van verwerkingsactiviteiten bij te houden. Maar ook als u een kleinere onderneming hebt kunt u hiertoe verplicht zijn. De AVG stelt dat u hiertoe verplicht bent indien u persoonsgegevens verwerkt:

 • waarvan de verwerking niet incidenteel is. Dit is nog een zogenaamde open norm. Er wordt verwacht dat in de praktijk verwerkingen zelden incidenteel zullen zijn. Enkele voorbeelden van verwerkingen die NIET incidenteel zijn: gegevens van medewerkers en klantgegevens. Vooral webshops en hostingproviders hebben vaak gigantische klantbestanden;
 • die een hoog risico inhouden voor de rechten en vrijheden van de betrokkenen;
 • die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid of strafrechtelijke gegevens.

Bent u verplicht om een register van verwerkingsactiviteiten op te stellen? Dan moet u dit register kunnen verstrekken wanneer de Autoriteit Persoonsgegevens daar om verzoekt.

 

WAT MOET ER IN HET REGISTER VAN VERWERKINGSACTIVITEITEN STAAN?

Om deze vraag te kunnen beantwoorden dient u eerst vast te stellen of u verwerker of verwerkingsverantwoordelijke bent. Volgens de AVG bent u verwerker indien u ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Aan deze rechtsverhouding zou overigens volgens de AVG sowieso een verwerkersovereenkomst ten grondslag moeten liggen.

 

U BENT VERWERKINGSVERANTWOORDELIJKE

Dan dient u er – samengevat – voor zorg te dragen dat minstens de volgende gegevens wordt geregistreerd:

 • de naam en de contactgegevens van de verwerkingsverantwoordelijke;
 • de verwerkingsdoeleinden;
 • een beschrijving van de betrokkenen categorieën (bijvoorbeeld klanten, websitebezoekers of werknemers);
 • een omschrijving van de gegevens categorieën (bijvoorbeeld contactgegevens, NAW-gegevens of betaalgegevens);
 • een beschrijving van de ontvangers categorieën (aan wie worden de gegevens verstrekt)
 • informatie over eventuele verstrekking van de gegevens aan internationale organisaties of landen buiten de EU;
 • bewaartermijnen;
 • de beveiliging van de gegevens (bijvoorbeeld middels pseudonimisering en versleuteling).

 

U BENT VERWERKER

Dan dient u er – samengevat – voor zorg te dragen dat u PER verantwoordelijke waarvoor u werkt minstens de volgende gegevens registreert:

 • de naam en contactgegevens van de verwerker en van iedere verantwoordelijke en (indien van toepassing) de functionaris voor gegevensbescherming;
 • een beschrijving van de betrokkenen categorieën (bijvoorbeeld klanten, websitebezoekers of werknemers);
 • een omschrijving van de gegevens categorieën (bijvoorbeeld contactgegevens, NAW-gegevens of betaalgegevens);
 • een beschrijving van de ontvangers categorieën (aan wie worden de gegevens verstrekt)
 • informatie over eventueel doorgifte van gegevens naar landen buiten de EU;
 • de beveiliging van de gegevens (bijvoorbeeld middels pseudonimisering en versleuteling).

 

HOE KAN IK HET REGISTER VAN VERWERKINGSACTIVITEITEN HET BESTE BIJHOUDEN?

U bent vrij om een voor u geschikte manier van registratie te kiezen. U kunt bijvoorbeeld een Excel bestand bijhouden.

Heeft u nog vragen? Neem dan contact met ons op voor meer informatie.

De nieuwe privacywetgeving 2018 (AVG)

De nieuwe privacywetgeving 2018 (AVG)

U hebt er vast al veel over gehoord, misschien heeft u zich ook al een beetje ingelezen. Hoe dan ook weet u dat er vanaf 25 mei 2018 het een en ander gaat veranderen betreffende de privacywetgeving. Om precies te zijn zal de Algemene Verordening Gegevensbescherming (AVG), de Wet bescherming persoonsgegevens (Wbp) gaan vervangen. Vanaf die datum zal de privacywetgeving in Europa in beginsel gelijk zijn.

 

In essentie heeft de AVG tot doel privacygevoelige informatie van natuurlijke personen een consistent en hoog beschermingsniveau te bieden. Hierdoor krijgen enerzijds ondernemingen meer verplichtingen ten aanzien van het verwerken van persoonsgegevens. Anderzijds is het daardoor noodzakelijk dat toezichthouders meer bevoegdheden krijgen. Dit artikel zal ingaan op de, naar mijn mening, belangrijkste verplichtingen die uit de verordening gaan gelden voor ondernemers.

 

VERANTWOORDINGSPLICHT AVG

De grootste verandering voor uw onderneming, groot of klein, is dat u beter moet kunnen verantwoorden dat u (uw onderneming) aan de nieuwe wet voldoet. Uw onderneming wordt in de verordening dan ook “verwerkingsverantwoordelijke” genoemd. Deze verantwoordingsplicht uit zich in een aantal te nemen maatregelen waarvan ik de belangrijkste hieronder zal toelichten.

 

TOESTEMMING

Ook onder de Wbp bent u verplicht toestemming aan de betrokkene te vragen alvorens u tot gegevensverwerking overgaat. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van de betrokkene hebt gekregen om hun persoonsgegevens te verwerken. Bovendien moet het voor de betrokkene net zo eenvoudig zijn om hun toestemming in te trekken of te wijzigen als om die te verstrekken.

Let op: voor bepaalde categorieën data gelden aparte voorwaarden, bijvoorbeeld bij toestemming van kinderen onder de 16 jaar oud of bij het verzamelen van bijzondere data waaronder gegevens over politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid of seksuele gerichtheid.

 

ZORGVULDIGE DOCUMENTATIE

De AVG regelt dat u als verwerkingsverantwoordelijke moet zorgdragen voor een zorgvuldig gedocumenteerd register van de verwerkingsactiviteiten. Hierin dient u onder andere vast te leggen wat uw verwerkingsdoelen zijn, aan wie u de gegevens zal verstrekken en binnen welke termijn de gegevens gewist zullen worden. Ook geeft u in dit register, indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die u treft.

Denk bij zorgvuldige documentatie ook bijvoorbeeld aan het AVG-proof maken van uw privacyverklaring.

 

VERWERKERSOVEREENKOMST(EN)

Wellicht gaat er al een spreekwoordelijk lampje bij u branden. Onder de Wbp is er namelijk een vergelijkbare overeenkomst verplicht, zij het onder de naam bewerkersovereenkomst. Indien u (delen) van uw gegevensverwerking uitbesteedt, gaat u in de zin van de AVG werken met een verwerker. Met hen legt u onder andere in een overeenkomst vast dat de verwerker medewerking verleent bij bijvoorbeeld het melden van datalekken en het uitvoeren van een gegevensbeschermingseffectbeoordeling. Evenals dat de verwerker na afloop van de verwerkingsdiensten de persoonsgegevens wist of terugbezorgt en bestaande kopieën verwijdert.

Onder de Wbp kon een bewerker zijn aansprakelijkheid (grotendeels) uitsluiten. De AVG bepaalt echter dat de verwerker rechtstreeks kan worden aangesproken voor schades (civielrechtelijk) en boetes (via toezichthouder). Zowel als verwerkingsverantwoordelijke en als verwerker is het dus belangrijk om ervoor te zorgen dat uw overeenkomsten AVG-proof zijn. Twijfelt u hierover? Neem dan contact met ons op.

 

FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING

In sommige gevallen is het noodzakelijk een functionaris voor de gegevensbescherming (FG) aan te stellen. Naast dat overheden en publieke organisaties een FG dienen aan te stellen, gaat deze verplichting ook gelden voor ondernemingen die vanuit hun kernactiviteiten regelmatig en stelselmatig individuen observeren (bijvoorbeeld indien uw onderneming zicht richt op cameratoezicht of monitoring van iemands gezondheid via wearables). Deze verplichting gaat ook gelden voor ondernemingen die op grote schaal bijzondere persoonsgegevens verwerken. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid of seksuele gerichtheid.

EU-lidstaten kunnen ook andere situaties benoemen waarin een FG verplicht is. Vooralsnog is dat in Nederland niet het geval (hierdoor is het mogelijk dat de privacywetgeving in Europa niet helemaal gelijk zal zijn).

 

GEGEVENSBESCHERMINGSEFFECTBEOORDELING

Onder de AVG kunnen ondernemingen verplicht zijn een zogenaamde gegevensbeschermingseffectbeoordeling uit te voeren. Dat is een hulpmiddel om bij verwerkingen, die een hoog risico kunnen inhouden voor de rechten en vrijheden van natuurlijke personen, de risico´s in kaart te brengen om vervolgens eventuele maatregelen te nemen. In de verordening wordt omschreven dat hierbij vooralsnog vooral gedacht wordt aan verwerking middels nieuwe technologieën.

 

MELDPLICHT DATALEKKEN

Gaat er ondanks uw zorgvuldige gegevensbescherming toch iets mis? Kunnen hierdoor persoonsgegevens in de handen van derden vallen die hier eigenlijk geen toegang tot mogen hebben? Bijvoorbeeld door het verlies van een gegevensdrager (USB-stick / laptop / mobiele telefoon enz.) of door een brand, dient u dit (net als onder de Wbp overigens) te melden aan de betreffende autoriteit, in Nederland de autoriteit persoonsgegevens.

Zal het lek naar alle waarschijnlijkheid een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkene(n)? Dan dient u dit onmiddellijk, in duidelijke en eenvoudige taal, aan de betrokkene(n) mede te delen (uitzonderingen laat ik hier buiten beschouwing).

 

Ik hoop dat het voor u nu duidelijker is welke stappen er binnen uw onderneming nog genomen dienen te worden om ervoor te zorgen dat uw onderneming, zo goed als in uw geval mogelijk is, te voldoen aan de nieuwe AVG. Mocht u in bepaalde documentatie nog moeten voorzien, of vraag u zich af of bepaalde zaken voor u van toepassing zijn, neem dan contact op.