Page content

article content

AVG wet voor rijscholen

Paniek in de rijschool branche.

De afgelopen maanden ontstond er paniek en geen lichte paniek maar echt paniek. De Algemene verordening gegevensbescherming ” AVG wet voor rijscholen”  komt er aan. Dit kost ons een boel kopzorgen.

 

Wat betekent de AVG wet voor rijscholen voor de website van mijn rijschool?

Mag ik Google analytic nog gebruiken?

Is een dubbele opt in nu verplicht?

Hoe ga ik om met de e-mails naar mijn leerlingen?

AVG

We gaan je in deze blog uitleggen hoe jij als rijschool met de AVG wet voor rijscholen kunt om gaan.

 

Hoezo de AVG wet voor rijscholen?

Je hoort in de moderne marketing dat data kostbaarder is dan diamanten.

Telefoonnummers, socialmediagedrag, mailadressen, surfgedrag naar haarlak voor groen haar. Alle data wordt verzameld bewaard.

Die gegevens laat je dus onbewust achter op het internet en bedrijven krijgen met deze gegevens inzichten in jouw behoefte. De digitale sporen die je hier laat liggen zijn dus diamanten waard. Maar ook zeer gevoelig voor internet diefstal.

 

 

Steeds meer rijschool leerlingen eisen meer veiligheid en inzicht over wat er met hun gegevens gebeurt maar de huidige wet dateert uit 1980.

1980 zag een computer er nog zo uit.

In 1995 is de wet nog een keer herzien maar was het internet nog vele keren kleiner dan nu. Er moesten dus echt nieuwe regels komen.

Op 25 mei 2018 treedt de nieuwe privacywetgeving in werking: de Algemene Verordening Gegevensbescherming (AVG), internationaal bekend als de GDPR (General Data Protection Regulation).  Dit is een nieuwe wet ter bescherming van persoonsgegevens van iedereen binnen de Europese Unie. De AVG gaat over het verwerken, verzamelen, opslaan en gebruiken van persoonsgegevens: data die is terug te leiden naar individuen.

Wat gaat de wet AVG voor ons als persoon nou betekenen?

Als eerste komt er met deze wet meer transparantie en krijg je meer controlen over je gegevens en rechten.

Dus: eigenlijk heel simpel, Jij blijft de baas over jouw gegevens.

 

In een rijtje? Oké we zetten ze neer.

  • Je hebt het recht om vergeten te worden, jezelf te laten wissen.
  • Je mag alles wat een bedrijf over jou weet en verzameld heeft inzien.
  • Je mag je data eenvoudig meenemen, bijvoorbeeld je voorkeuren bij youtube.
  • Alleen nog met harde toestemming mag je nog worden benaderd voor nieuwsbrieven.
  • Uitsluitend met goedvinden mag jouw data nog met een derde partij worden gedeeld.

Maar wat betekend de AVG nou voor ons als rijschool ondernemers?

Heel eerlijk! Dit maakt het ons niet makkelijker voor de marketing maar ook niet voor toponline en onze online leerling ondersteuningen.

Je zult dus als rijschool transparanter en zorgvuldiger met persoonlijke gegevens om moeten gaan.

We kunnen het eigenlijk kort samenvatten in vier keywoorden.

  1. Goedkeuring.
  2. Openheid.
  3. Security
  4. Aandacht.

 

Goedkeuring.

Vooraf ingevulde velden zijn nu echt verleden tijd.

 

Jouw leerling moet expliciet ( hard opt in) toestemming geven voor het ontvangen van een nieuwsbrief of het delen van persoonlijke gegevens met derde partijen als Google.

Dit is echt nu not done.

Openheid.

Je leerlingen en bezoekers mogen exact weten welke gegevens er over hun verzameld worden. Op ieder gewenst moment mogen ze de data inzien of laten verwijderen.

 

Security

Je dient de data die je in huis hebt te beveiligen met geschikte beveiligingsmethoden. Dat geldt ook voor je toeleveranciers! Wanneer er toch een datalek optreedt, moet je dit zo snel mogelijk melden.

Toestemming, transparantie, focus, beveiliging. Dat is de GDPR in vogelvlucht. Wie zich er niet aan houdt, kan bij (herhaaldelijke) overtredingen boetes ontvangen tot wel 4 procent van de jaaromzet of 20 miljoen euro (afhankelijk van wat hoger is).

Maar de AVG wet voor rijscholen biedt ook mogelijkheden!

Er is veel te doen maar, de nieuwe AVG is niet alleen maar een pain in the …. het geeft de branche ook de kans om het zogenaamde kaf van het koren te scheiden:

  • Zorg ervoor dat je leerlingen jouw hun persoonlijke gegevens ook gunnen, hier pak je voorsprong op je concurrenten.
  • Kortere aanmeld formulieren zorgen voor meer interventie. ( Conversie)
  • Daag jezelf uit om op nieuwe manieren toestemming te vragen, dit kan met een chatbot die om je lesvoorkeur te vraagt voor een gedegen lesadvies.

Top. klinkt allemaal goed. Maar euh…. Hoe dan?

 

AVG-checklist voor Rijschoolhouders

Doorloop deze stappen om je rijschool klaar te maken voor de AVG.

 

1. De nulmeting. Welke gegevens van je leerling  verwerk je?

Als je met de AVG aan de gang gaat moet je wel weten wat de wet bedoelt met ” de persoonsgegevens” waar je als rijschool zorgvuldig mee moet omgaan en, wat daar juist NIET onder valt.

Wat zijn persoonsgegevens?

Denk dus aan:

  • Naam
  • Adres
  • Telefoonnummer
  • E-mailadres
  • IP-adres
  • Geboortedatum
  • Geslacht
  • Frisdrank voorkeur.

Stel je bent echt een dwaas,  deze lijst met 98 kenmerken.

aar ook gegevens waarmee je een profiel kunt opbouwen, zoals:

  • KlantID
  • OrderID
  • GebruikersID
  • Versleuteld e-mailadres
  • Gepersonaliseerde data uit tracking scripts (bijv. Google Analytics of Hotjar, waarover later meer!)

Tot slot heb je volledig anonieme gegevens die niet te herleiden zijn tot een natuurlijk persoon. Deze vallen buiten de scope van de AVG.

Welke Leerling-gegevens verwerk je?

Tijd voor uitleg:

  • Welke leerling gegevens je verzamelt.
  • Hoe je ze verzamelt.
  • Waarom je de gegevens verzamelt.
  • Tot wanneer je de gegevens bewaart en waarom.
  • Met wie je de gegevens deelt.

 

Een voorbeeld:
Op de webshop mijntheoriehalen.nl vraag ik:

  • tijdens de aankoop als veld in een online formulier (hoe);
  • om NAW-gegevens van de leerling (welke);
  • ten behoeve van de versturing, facturering en garantie (waarom);
  • deze deel ik met onlineboekhouden (met wie);
  • geboortedatum, voor je CBR aanvragen.
  • en bewaar ik 7 jaar vanwege de fiscale bewaarplicht (tot wanneer).

 

Tip: Doe deze inventarisatie zeker niet alleen. Meer rijscholen zullen meer verwerkingsmomenten kunnen inventariseren. Waarbij het voordeel ligt in het feit, dat je collega’s alvast bewust maakt van de AVG.

2. Vraag alleen naar noodzakelijke gegevens van je leerlingen.

Je weet nu welke leerling data je verzamelt en waarom je deze verzamelt. Het ‘waarom’ moet je toetsen aan ‘privacy by default’.

Waarom zou je het frisdrank voorkeur  van iemand moeten weten om Rijles of theorie producten te leveren (om het eerdere voorbeeld aan te houden)?

De AVG gaat daarom ook uit van ‘privacy by default’:
Standaardinstellingen moeten de grootst mogelijke privacy garanderen.

In de praktijk betekent het dat je alleen het invullen van gegevens mag verplichten die noodzakelijk zijn voor de dienst die je aanbiedt.

Dus wel:

  • NAW-gegevens ten behoeve van bezorging theoriepakket of het ophalen voor je rijles..
  • Telefoonnummer ten behoeve van doorgeven wijzigingen.

Maar niet:

  • Voorkeur automerk, om deze door te geven aan de lokale garage.

Natuurlijk zijn er genoeg redenen te bedenken waarom je toch graag iemands geslacht, geboortedatum, locatie, enz. wilt weten. Je mag hier dan ook op vrijwillige basis naar vragen. Geef duidelijk aan waarvoor je deze gegevens wilt gebruiken.

Bijvoorbeeld:

  • Met je locatie kunnen we je instructeurs in de buurt laten zien.

“Verstrek ons allerlei gegevens (waarmee we mogen doen wat we willen) want alleen zo krijg je deze gratis content”is geen geldige reden meer.

 

3. Bewaar leerling gegevens niet te lang

Wanneer je eenmaal toestemming hebt voor het gebruiken van persoonlijke leerling gegevens, betekent dit nog niet dat je deze tot in lengte van dagen mag bewaren. Al is het maar omdat gegevens daarmee onnodig blootstelt aan een verhoogd risico op diefstal of fraude.

Wat in ieder geval belangrijk is om vast te leggen:

  • Hoe lang je persoonsgegevens bewaart en waarom.
  • Hoe je deze gegevens automatisch gaat verwijderen.
  • Hoe eventuele derde partijen deze gegevens ook verwijderen.
  • Hoe deze gegevens ook uit backups worden verwijderd.

4. Cookies? Vraag eerst netjes om toestemming

Wil je persoonsgegevens van iemand verwerken? Dan moet je expliciet om toestemming vragen. Dit geldt natuurlijk ook voor veel cookies.

AVG en functionele cookies

Voor sommige cookies hoef je geen toestemming te vragen. Deze zijn nodig om essentiële onderdelen van je site te laten functioneren. Ze onthouden bijvoorbeeld wat er in een winkelwagentje zit of wanneer je bent ingelogd. Ook cookies die anonieme gebruiksstatistieken meten mag je zonder expliciete toestemming gebruiken.

Google Analytics toch gebruiken met een soft opt-in? Het is mogelijk. Onderaan dit hoofdstuk leg ik uit hoe.

AVG wet voor rijscholen en overige cookies

Voor andere cookies moet je wel expliciet toestemming vragen. Deze verwerken persoonlijke of individuele gegevens.

Denk aan:

  • Cookies waarmee je individueel klikgedrag meet (o.a. HotJar).
  • Cookies waarmee je meet hoe lang iemand op een pagina is (om daarna bijvoorbeeld een livechat te kunnen openen).
  • Cookies waarmee je bezoekers laat reageren via social media.
  • Cookies om te meten of iemand een advertentie heeft gezien.

Deze toestemming is 12 maanden geldig (of tot de gebruiker deze intrekt). Daarna moet je weer opnieuw om toestemming vragen.

Tot nu toe gooien veel sites alle cookies op een hoop:

Deze ‘cookie wall’ mag vanaf 25 mei 2018 niet meer. Je moet ook toegang tot je website bieden voor wie geen targeting cookies wil.

Google Analytics toch gebruiken? Zo doe je dat.

Met Google Analytics kun je veel te weten komen over het surfgedrag en de kenmerken van je bezoekers.

Met de standaardinstellingen moet je echter wel om expliciete toestemming van je bezoekers vragen. De tool meet immers persoonsgegevens zoals IP-adressen.

Ben je bang dat je die toestemming niet krijgt? Dan kun je Google Analytics toch zo instellen dat je belangrijke functionaliteiten nog steeds zonder expliciete toestemming kunt gebruiken. Dit is hoe je dat doet:

Nadeel van deze methode is wel dat locatiedata in Google Analytics een stuk minder nauwkeurig wordt. Ook heb je natuurlijk geen opties meer om bezoekers persoonlijk te profileren/(re)targeten met advertenties.

Tip: En zo kun je ook anonimiseren in Hotjar! Kijk hier maar eens.

 

5. E-mails aan je leerling sturen? Vraag gewoon netjes om toestemming.

franchise instructriceToestemming is toch wel het toverwoord van deze nieuwe privacywet. Het digitale equivalent van puppy-ogen komt je als marketeer daarom prima van pas. Al het gaat uiteindelijk vooral om relevantie.

Ondubbelzinnige toestemming voor specifieke mailinglijst

Onder de AVG moet een ontvanger expliciet toestemming geven voor het krijgen van nieuwsbrieven of andere commerciële mailings.

Dus niet:

  • Automatisch aangevinkt als keuze.
  • Door het accepteren van algemene voorwaarden.
  • Vanwege het bezoeken van een evenement.
  • Om ‘te controleren of de adresgegevens nog kloppen’.

Maar wel:

  • Geïnformeerd over het onderwerp van de mailings.
  • Geïnformeerd over de frequentie van de mailings.
  • Geïnformeerd over de verstrekking van data aan derden.
  • De toestemming en verstrekte informatie fatsoenlijk vastgelegd (bijvoorbeeld via een provider zoals MailChimp).

De dubbele opt-in verplicht?

Dit bekende misverstand kan nu uit de weg.  nee, een dubbele opt-in (bevestiging mailadres na aanmelding via bijvoorbeeld de website) is niet verplicht onder de AVG.

 

 

 

 

Toestemming voor monitoring openen/clicks/gedrag

Monitor je het individuele klikgedrag van mailontvangers? Dan moeten ze hier expliciet toestemming voor geven. Een goed argument is dat je op basis van deze informatie relevantere mailings kunt sturen.

Vraag (voor 25 mei!) eventueel opnieuw om toestemming

De voorwaarden van de nieuwe privacywetgeving gelden ook voor de mailadressen die je al in je bestand hebt!

Twijfel je of deze op AVG-waardige wijze zijn verkregen? Dan kun je voor de nieuwe wet ingaat een heractivatiemailing sturen.

Vraag of de ontvanger mailing X met frequentie Y en het delen van data met Z wil blijven ontvangen. De mail moet een even prominente ‘Ja’ als ‘Nee’ knop bevatten. Geen reactie voor 25 mei geldt ook als een ‘Nee’.

6. Pas je privacyverklaring en cookiestatement aan

Tot nu toe is het vooral over toestemming en focus gegaan, maar transparantie is ook een belangrijk onderdeel van de nieuwe wetgeving.

Je privacy- en cookiestatement op je website zijn een prima manier om transparant te communiceren hoe je met persoonsgegevens omgaat.

Vermijd dus:

  • ellenlange zinnen;
  • dubbele ontkenningen;
  • juridische termen (of leg ze uit).

Uit onderzoek van Accessibility blijkt dat veel communicatie niet effectief is omdat de teksten te moeilijk geschreven zijn. Het gemiddelde leesniveau in Nederland ligt op taalniveau B1, terwijl 75% van de tekst wordt geschreven op taalniveau C1.

Een eerste belangrijke voorwaarde voor je privacy- en cookie statement is dat ze in begrijpelijk Nederlands zijn geschreven.

 

Wat moet er in de privacyverklaring staan?

De Autoriteit Persoonsgegevens (AP) heeft een aantal specifieke eisen gesteld aan wat er in ieder geval in een privacyverklaring moet staan. Als het goed is heb je veel van deze informatie bij stap 1 al verzameld:

  • Welke persoonsgegevens je verwerkt.
  • Met welke doelen je deze gegevens verwerkt.
  • Of hier een wettelijke basis voor is (bijvoorbeeld bewaarplicht).
  • De bewaartermijn voor elk soort persoonsgegeven.
  • Met welke derde partijen je persoonsgegevens deelt.
  • Hoe de betrokkene een klacht kan indienen bij het AP.
  • Hoe je toestemming vraagt voor het krijgen van persoonsgegevens.
  • Dat betrokkenen hun toestemming altijd mogen intrekken.
  • Hoe betrokkenen hun persoonsgegevens altijd mogen inzien.
  • Hoe betrokkenen hun persoonsgegevens altijd mogen wijzigen.
  • Hoe betrokkenen hun persoonsgegevens altijd mogen verwijderen.
  • Hoe betrokkenen hun persoonsgegevens altijd mogen meenemen.
  • Naam en contactgegevens van de verantwoordelijke persoon bij je organisatie voor privacy- en gegevensbescherming.

De volledige lijst vind je hier

Heb je een voorbeeld van een AVG-compliant privacyverklaring?

Ja! De Consumentenbond heeft haar privacyverklaring bijvoorbeeld net gewijzigd (19/02/18) en deze lijkt te voldoen aan de voorwaarden in de nieuwe wetgeving. Ook het cookiebeleid ziet er aardig solide uit.

 

consumentenbond

Wil je een voorbeeld van leuke en begrijpelijke teksten over het waarom van persoonsgegevens verzamelen? Kijk dan eens bij CoolBlue.

“Telefoonnummer:  we nemen graag snel contact met je op over je bestelling. We bellen nog even als er iets onduidelijk is, en we sturen één sms over de bezorgstatus. Soms bellen we na afloop om te vragen of alles goed is gegaan. Dat scheelt ons een slapeloze nacht.”

Heb ik een Functionaris Gegevensbescherming (FG) nodig?

In de privacyvoorwaarden moet je – indien aanwezig – ook de contactgegevens van de Functionaris Gegevensbescherming vermelden. In het Engels ook wel Data Protection Officer genoemd.

Voor de meeste internetondernemers is het aanstellen van een FG niet verplicht. Dit is alleen noodzakelijke wanneer je:

  • Op grote schaal ‘bijzondere’ persoonsgegevens verwerkt zoals politieke voorkeur, ras, godsdienst of gezondheid.
  • Op grote schaal persoonsgegevens gebruikt ten behoeve van profiling. Bijvoorbeeld om kredietverzoeken te beoordelen.
  • Dit een kernactiviteit is van je organisatie.

Hier lees je meer over de Functionaris voor de Gegevensbescherming.

 

Moet ik een Data Protection Impact Assessment (DPIA) maken?

In dezelfde categorie valt de Data Protection Impact Assessment (DPIA) waarmee je vooraf meet wat de privacyrisico’s van een gegevensverwerking zijn. De meeste internetondernemers hoeven op dit moment nog geen DPIA te houden. Het is immers alleen verplicht bij grootschalige verwerkingen van (bijzondere) gegevens. In de toekomst komt de Autoriteit Persoonsgegevens met een uitgebreidere beschrijving van wanneer een Data Protection Impact Assessment verplicht is.

 

7. Sluit data-verwerkersovereenkomsten af

Grote kans dat je voor het opslaan of verwerken van persoonlijke gegevens gebruikmaakt van andere partijen.

In de AVG noem je dit verwerkers. Een betrokkene (data subject) moet altijd toestemming geven voor het gebruik van persoonsgegevens door deze verwerkers.

Verwerkersovereenkomsten/Data processing agreements

Met elke partij die namens jou persoonsgegevens verwerkt, moet je een verwerkersovereenkomst afsluiten.

Moet dat echt met elke cloudleverancier? 

Concentreer je echter eerst op de grote en belangrijkste partijen waar je data aan verstrekt. Denk bijvoorbeeld aan Google AnalyticsShopify, Mailchimp, Livechat, Salesforce, Hootsuite, Zendesk, Hotjar of Hubspot. Zij zijn in de regel al druk bezig met het implementeren van de AVG en hebben nu (of binnenkort) verwerkersovereenkomsten klaarstaan.

Overleg daarnaast ook met je belangrijkste Nederlandse datapartners. Denk bijvoorbeeld aan een externe klantenservice,  Dation of ander leerling systeem.

Wat moet er in een verwerkersovereenkomst staan?

Kortweg: hoe de verwerker de persoonsgegevens verwerkt en beveiligt.

Om te beginnen is het belangrijk dat het soort verwerking, het doel en de duur van de verwerking duidelijk beschreven staan.

  • Ook het soort persoonsgegevens zet je in de overeenkomst.
  • Verwerking vindt plaats op basis van jouw schriftelijke instructies.
  • Uitbesteding aan subverwerkers mag alleen na jouw toestemming.
  • De verwerker gebruikt de persoonsgegevens niet voor eigen doeleinden.
  • Mensen werkzaam bij/voor de verwerker hebben een geheimhoudingsplicht.
  • Welke passende beveiligingsmaatregelen de verwerker neemt.
  • Hoe de verwerker betrokkenen helpt met hun privacyrechten.
  • Na de werkzaamheden worden persoonsgegevens weer verwijderd.
  • Dat de verwerker desgevraagd meewerkt aan audits.

Heb je een voorbeeld van een verwerkersovereenkomst?

Dit is een eenvoudig voorbeeld, opgesteld door Privacy Company.

 

marketing hulp voor rijscholen

8. Stel een Register Verwerkingsactiviteiten op

We zijn nog steeds bij het hoofdstukje transparantie. Wanneer de Autoriteit Persoonsgegevens daarom vraagt, moet je kunnen laten zien hoe je verantwoord omspringt met persoonlijke gegevens. Een belangrijk onderdeel daarin is een register met al je verwerkingsactiviteiten.

Wat moet er in een register verwerkingsactiviteiten staan?

Net als bij de privacyverklaring en nulmeting komt het ook hier weer vooral neer op wat, hoe, waarom, wanneer en wie:

– Naam en contactgegevens van je organisatie/vertegenwoordiger.
– Eventuele andere organisaties waar je persoonsgegevens mee deelt.
– De doelen waarvoor je persoonsgegevens verwerkt.
– Een beschrijving van de categorieën van persoonsgegevens.
– Datum waarop je de gegevens moet wissen (als dat bekend is).
– De categorieën van ontvangers aan wie je persoonsgegevens verstrekt.
– Of je gegevens met een land/organisatie buiten de EU deelt.
– Een beschrijving van de technische en organisatorische maatregelen die je hebt genomen om persoonsgegevens die je verwerkt te beveiligen.

Heb je een voorbeeld van zo’n register verwerkingsactiviteiten?

Ja! De Belgische Autoriteit Persoonsgegevens heeft een handig modelregister op haar website staan. ‘Franstalige benaming’ en ‘KBO-nummer’ zijn niet helemaal van toepassing, de rest wel.

9. Toon aan dat je toestemming hebt van de (toekomstige) leerling

Minstens net zo belangrijk is dat je kunt verantwoorden hoe en wanneer je toestemming hebt gekregen van een betrokkene om zijn of haar specifieke persoonsgegevens te gebruiken.

Een manier om dit vast te leggen is in een CRM-systeem. Daarin staat dan met een timestamp aangegeven wanneer iemand toestemming gaf. Ook de manier van toestemming geven moet worden worden vermeld.

Erg belangrijk: Je moet ook kunnen aantonen welke informatie de betrokkene tot zijn beschikking had toen hij de beslissing maakte.

Denk aan een afbeelding van hoe het formulier/chatgesprek/contactmoment er op dat moment uitzag. Maak bijvoorbeeld een screenshot.

0. Zorg voor recht op inzage, wijzigen, portabiliteit en vergeten

Volgens de AVG heeft een betrokkene te allen tijde recht om zijn of haar eigen persoonsgegevens bij een organisatie op te vragen en geheel kosteloos binnen maximaal dertig dagen te ontvangen.

e moet een betrokkene niet alleen inzicht geven in zijn of haar persoonsgegevens, je moet deze ook in een gangbaar ‘machineleesbaar’ formaat aanbieden. In de richtlijnen van de Autoriteit Persoonsgegevens worden onder andere bestandsformaten XML, JSON en CSV als voorbeeld genoemd.

 

Over welke persoonsgegevens moet je inzage verstrekken?

Alle gegevens die betrokkenen zelf aan je hebben verstrekt. Dus denk aan persoonsgegevens die ze in een formulier hebben ingevuld (naam, adres, geboortedatum), maar ook bijvoorbeeld de zoekgeschiedenis of locatiegegevens die ze met je hebben gedeeld.

Vervolgens hebben betrokkenen ook het recht op wijzigen en het recht op een menselijke blik.

Verplicht aanpassen omdat de leerling-gegevens bijvoorbeeld onjuist zijn. Je moet dan zelfs op verzoek van de betrokkene aan kunnen geven met wie je deze onjuiste gegevens in het verleden hebt gedeeld. Het recht op een menselijke blik is vooral van belang wanneer er op basis van persoonsgegevens automatisch een beslissing is genomen. Bijvoorbeeld inzake betalen van de rijlessen op krediet. De leerling heeft het recht om te weten op basis van welke logica en gegevens de beslissing is genomen en de beslissing opnieuw te laten nemen maar nu met tussenkomst van een menselijke blik.

Tot slot zijn er het recht om vergeten te worden en het recht op beperking van de verwerking.

Het recht op vergetelheid is het duidelijkst. Een leerling kan je vragen al zijn of haar persoonsgegevens te verwijderen. Hier lees je wat de precieze voorwaarden daarvoor zijn. Bij het recht op beperking van de verwerking, mag je gegevens niet meer gebruiken, maar ook niet wissen. Bijvoorbeeld omdat een betrokkene ze later nog wil opvragen.

Maar hoe kan ik als rijschool al deze rechten garanderen?

Sommige rechten onder de AVG zijn behoorlijk specifiek en niet voor elke rijschool even relevant.

De praktijk moet dus ook deels gaan uitwijzen hoeveel leerlingen van deze nieuwe privacyrechten gebruik gaan maken.

 

Kleine rijscholen versus grotere rijscholen.

Kleinere rijscholen kunnen erin volstaan om de rechten te noemen in hun privacyverklaring en leerlingen de mogelijkheid te geven met specifieke verzoeken te mailen. Grotere rijscholen zullen het lastig gaan krijgen om alle verzoeken handmatig te beantwoorden. Voor hen zijn er datamanagement-oplossingen waarin je persoonsgegevens gecentraliseerd, herleidbaar, aanpasbaar en verwijderbaar opslaat.

11. Maak een databeveiligingsbeleid/scherp het aan

Datalekken door slechte beveiliging komen helaas nog erg vaak voor, terwijl er met de invoering van de meldplicht datalekken in 2016 toch wel de nodige aandacht voor is geweest. Ook in de AVG is specifiek aandacht voor het beveiligen van persoonlijke gegevens.

 

Inhoudelijk verandert de meldplicht datalekken niet zozeer. Datalekken moet je nog steeds binnen 72 uur melden.

 

Samenvattend

Zo! In dit artikel las je een uitgebreide checklist over hoe je je als internetondernemer kunt voorbereiden op de AVG wet voor rijscholen:

1. Doe een nulmeting. Welke gegevens verwerk je nu al?
2. Verwerk alleen noodzakelijk gegevens. Privacy by design.
3. Bewaar persoonlijke gegevens niet te lang.
4. Cookies? Vraag eerst netjes om toestemming.
5. E-mails? Vraag weer netjes om toestemming.
6. Pas je privacyverklaring en cookie statement aan.
7. Sluit verwerkersovereenkomsten af.
8. Stel een register verwerkingsactiviteiten op.
9. Toon aan dat je toestemming hebt van de betrokkene.
10. Zorg voor recht op inzage, wijzigen, portabiliteit en vergeten.
11. Maak een databeveiligingsbeleid/scherp het aan.

 

Snap je alles nu? mooi aan de slag dan met je rijschool en de AVG. Of heb je twijvels?

GEEN Paniek !

Rijscholen die ter goeder trouw aan de slag gaan met de AVG zullen niet gelijk met megaboetes van de Autoriteit Persoonsgegevens worden geconfronteerd. In de regel krijg je eerst waarschuwingen. Er worden alleen boetes uitgedeeld als er kwade wil in het spel is.

Bovendien, als je deze checklist helemaal hebt doorlopen, ben je misschien wel stiekem goed voorbereid. Misschien nog wel beter dan de mega bedrijven.

 

Mocht je echt maar dan ook echt dieper op de stof in willen gaan, hier de volledige-privacywetgeving.

Minderjarig? dan ook toestemming van de ouders.

Laatste tip.

 

Steek je kop niet in het zand,  ook jouw rijschool valt onder de AVG wet voor rijscholen.

Comment Section

0 reacties op “AVG wet voor rijscholen

Plaats een reactie


*


Klik gerust eens door onze categorieën heen:

Phoenix WebsitePhoenix Website