Op 25 mei 2018 treedt de nieuwe privacywetgeving in werking: de Algemene Verordening Gegevensbescherming (AVG), internationaal bekend als de GDPR (General Data Protection Regulation). Dit is een nieuwe wet ter bescherming van persoonsgegevens van iedereen binnen de Europese Unie. De AVG gaat over het verwerken, verzamelen, opslaan en gebruiken van persoonsgegevens: data die is terug te leiden naar individuen.
Wat betekent de AVG voor ons als individu?
Deze wet zorgt voor meer transparantie, geeft je meer controle over je gegevens en meer rechten.
Een overzicht van de belangrijkste punten:
- Je krijgt het recht om alle data in te zien die een bedrijf over jou heeft verzameld.
- Je krijgt het recht om je gegevens te laten wissen.
- Je krijg het recht om je data eenvoudig mee te nemen.
- Alleen met jouw expliciete toestemming mag je nog worden benaderd voor bijvoorbeeld nieuwsbrieven.
- Alleen met jouw expliciete toestemming mag jouw data nog met een derde partij worden gedeeld.
Wat betekent de AVG voor website eigenaren?
Waar het met name op neerkomt: Je zult transparanter en zorgvuldiger met persoonlijke gegevens moeten omgaan.
Om je goed voor te bereiden op de AVG wet zijn er een aantal zaken van groot belang. En dit begint met het zogenoemde Privacy by Design. Dit houdt in dat er bij het opzetten van diensten, producten of van je webshop, er rekening moet worden gehouden met de AVG wet. Verwerk alleen noodzakelijk gegevens. De volgende stap is dan om deze gegevens te beveiligen. Er moet daarvoor een overzicht worden opgesteld waarin staat hoe de persoonsgegevens bewaard worden.
Voorbeelden van concrete actiepunten voor je website
Als gevolg van de AVG-wet betekent dat iedere eigenaar van een website of webshop aan de slag moet met de nodige aanpassingen, zoals:
PRIVACYVERKLARING
Hierin moet je duidelijk en volledig beschrijven welke persoonsgegevens je verwerkt, waarom (doel), welke maatregelen je treft om deze te beveiligen en hoe lang deze gegevens bewaard worden. Bekijk deze tips over de inhoud van de privacyverklaring en/of genereer een eigen privacy voorwaarden op de website veiliginternetten.nl. Zoals ze al aangeven zal je deze misschien nog wel iets moeten aanpassen voor je eigen onderneming.
COOKIEVERKLARING
Analyseer welke cookies door je website geplaatst worden en achterhaal of hier toestemming voor nodig is. In de cookieverklaring beschrijf je wat cookies zijn, welke cookies je gebruikt, waarvoor deze dienen en de bewaartermijn.
COOKIEMELDING
Met een cookiemelding dien je bezoekers te informeren welke cookies geplaatst worden als zij toestemming geven (opt-in) en met welk doel. Zonder toestemming mag je geen cookies plaatsen die inbreuk hebben op de privacy, zoals remarketing en profiling cookies. Je moet kunnen aantonen wanneer, hoe, waarvoor en waarop toestemming is gegeven. Indien je alleen functionele cookies gebruikt, zoals voor het sneller laden van je website of dat een product geplaatst in een winkelmandje bewaard blijft voor de volgende keer dat de bezoeker de webshop bezoekt, is een cookiemelding niet noodzakelijk. Ook voor het gebruik van Google Analytics is een cookiemelding niet nodig maar dan zal je wel bepaalde instellingen en handelingen moeten verrichten in je GA account. Lees hiervoor ook het stukje over Google Analytics.
HYPERLINKS
Als je privacyverklaring en cookieverklaring volledig AVG proof zijn, adviseren wij je beide verklaringen een geheel eigen pagina te geven. Daarnaast moeten ze eenvoudig terug te vinden zijn op je website, bijvoorbeeld middels hyperlinks in de footer van je website.
GOOGLE ANALYTICS
Gebruik je Google Analytics? Dan verwerk je met analytische cookies persoonsgegevens van website bezoekers. Om aan de AVG voorwaarden te voldoen, moet de technische code aangepast worden zodat het IP-adres geanonimiseerd wordt. Stel Google Analytics privacy vriendelijk in dat er zo weinig mogelijk gegevens worden gedeeld. Wil je gebruik blijven maken van remarketing dmv Google Adwords of Facebook ads? Dan zul je eerst (aantoonbare) toestemming moeten hebben.
FORMULIEREN
Het is volgens de AVG niet toegestaan om gegevens te vragen die niet noodzakelijk zijn voor het doel dat je wilt bereiken. Controleer je formulieren (en het bestelproces): vraag je alleen de noodzakelijke gegevens? Voor de verwerking van iedere soort persoonsgegevens dien je een geldige reden te hebben, zoals voor het uitvoeren van de overeenkomst. Dat kan betekenen dat je bijv. niet zonder toestemming de leeftijd/geboortedatum mag vragen. Tenzij dat wettelijk verplicht is (zoals bij verkoop van alcoholische dranken).
SSL-CERTIFICAAT
Zorg dat je website een SSL-certificaat heeft. Hiermee wordt alle data, die via de website verstuurd wordt, versleuteld. Elke website die structureel persoonsgegevens verwerkt is verplicht om een SSL-certificaat te hebben. Een SSL certificaat wordt tegenwoordig bij ons standaard (gratis) geïnstalleerd voor iedere website die wij hosten.
UPDATES EN BEVEILIGING
Zorg ervoor dat je website CMS en eventuele plug-ins/extensies up-to-date zijn om beveiligingslekken te voorkomen. Controleer ook of er extensies zijn die (stiekem) informatie doorsturen naar de ontwikkelaars van de extensies. Wij hebben een onderhoudscontract voor optimale veiligheid van je website.
Voorbeelden van actiepunten gerelateerd aan je website.
CONTROLEER JE E-MAILLIJSTEN EN E-MAILMARKETING SOFTWARE
Je moet alle opt-ins voor e-maillijsten kunnen aantonen. In de praktijk betekent dit dat zelf geïmporteerde contacten en gekopieerde lijsten meestal geen aantoonbare opt-in informatie meer heeft. Voor relaties waarbij je dit niet kunt aantonen mag je officieel geen commerciële e-mailing meer sturen. Stuur deze een e-mail om zich opnieuw in te kunnen schrijven. Je mag alleen naam en e-mailadres vragen en geen noreply e-mailadressen meer gebruiken voor je mailingen. Controleer daarnaast of je e-mailmarketing software AVG-proof is. Zie deze opt-in tips. De AVG verplicht bedrijven dat elke commerciële mail een uitschrijflink bevat. Met deze uitschrijfflink kunnen ontvangers zich op ieder moment uitschrijven.
VERWERKINGSREGISTER
Houd in een verwerkingsregister bij welke persoonsgegevens er verzameld worden, wat het doel is, bewaartermijnen, welke beveiligingsmaatregelen je hebt getroffen en welke interne en externe partijen toegang hebben tot deze gegevens. Een verwerkingsregister is verplicht als de organisatie:
- persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is (het komt dus vaker voor)
- risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen
- meer dan 250 medewerkers heeft.
Voor een eenmanszaak is dit dus in veel gevallen niet nodig.
VERWERKERSOVEREENKOMST
Sluit verwerkersovereenkomsten af met alle externe partijen waarmee je samenwerkt en die toegang hebben tot de persoonsgegevens.
ANDERE TECHNISCHE AANPASSINGEN
Afhankelijk van de functionaliteiten op je website/webshop zullen er waarschijnlijk nog andere technische aanpassingen verricht moeten worden. Zo kunnen social media share mogelijkheden bijv. ongewenst cookies plaatsen.
Nog even kort samengevat
Staan er formulieren op je website?
- Privacyverklaring op je website plaatsen; In de privacyverklaring schrijf je wat je doet met de gegevens van het contactformulier (ook voor de nieuwsbrief). Ook wie het in kan zien en hoe lang je dit bewaard.
- Een vinkje onderaan het contactformulier plaatsen, dat men akkoord gaat met de privacyverklaring.
Maakt je website gebruik van Google Analytics?
- Privacyverklaring op je website plaatsen.
- GA script aanpassen (gegevens anonimiseren) en instellingen aanpassen binnen Google Analytics, zodat Google geen gegevens kan delen met derden.
Maak je gebruik van Google Adwords (of andere advertentie / remarketing scripts)?
- Privacyverklaring op je website plaatsen.
- Cookiemelding op je website plaatsen.
Heeft je website een webshop?
- Privacyverklaring op je website plaatsen.
- Cookiemelding op je website plaatsen.
Heb je hulp nodig bij het aanpassen en/of instellen van je website of Google Analytics. Laat het ons weten via info@webmarq.nl.
Heb je aanvullingen op dit artikel? Laat ze achter in de comments.
Tips:
https://www.cookiebot.com/en/ is een (betaalde) service waarmee je een cookiemelding op je website kunt plaatsen die alle scripts pas activeert op het moment dat een bezoeker hiermee akkoord gaat.
Op https://www.vraaghugo.nl/ kan je als ondernemer via vragen formulieren zelf juridische documenten genereren. Denk bijvoorbeeld aan je Algemene Voorwaarden, Privacy voorwaarden en/of Verwerkersovereenkomst (en nog veel meer).
Op https://veiliginternetten.nl/zakelijk/ vind je ook informatie over internet veiligheid in het algemeen en voor je website alsmede de mogelijkheid om bijvoorbeeld je privacy voorwaarden te genereren.
Bronnen:
Autoriteit Persoonsgegevens, Rijksoverheid, frankwatching.com
(disclaimer: aan dit artikel kunnen geen rechten ontleend worden. Het is bedoeld als ondersteuning voor de beeldvorming van de globale inhoud van de AVG. Ieder bedrijf is anders dus doe zelf onderzoek, er is veel informatie online, of neem contact op met een juridisch adviseur als je wilt weten wat voor jouw bedrijf noodzakelijk is)