Het is jou als ondernemer of marketeer vast niet ontgaan dat alle websites nu moeten voldoen aan de regels van de Algemene Verordening Gegevensbescherming (AVG). Privacy vriendelijk is nu de nieuwe standaard. Wil jij weten hoe jij jouw website als ondernemer AVG-proof kunt maken met een paar eenvoudige aanpassingen? Vormmedia vertelt je hoe jouw website AVG-proof wordt!
Wat is AVG eigenlijk?
De AVG geldt voor alle lidstaten van de Europese Unie. Het voornaamste doel van de AVG is het beter waarborgen van de privacy van burgers. Er zijn uitgebreidere privacy rechten voor burgers en er is meer verantwoordelijkheid voor organisaties. Iedereen die persoonsgegevens verwerkt moet dit volgens de regels van de AVG doen. Doe je dit niet? Dan heb je kans op een hoge boete. Wat de regels van de AVG zijn vertellen we je in dit artikel.
Verzamel ik persoonsgegevens?
Je verzamelt persoonsgegevens wanneer je gebruik maakt van nieuwsbrieven die je verstuurd met naam en mailadres, je statistieken bijhoudt met Google Analytics, je Google Maps op je website hebt waarmee de geolocatie van je bezoekers wordt verzameld, je een ledensysteem op je website hebt, contactformulieren gebruikt en je foto’s van mensen plaats op de ‘over ons’ pagina. Gebruik jij deze items op je website, dan moet je dus aan de regels van de AVG voldoen.
Alle aandachtspunten van de AVG op een rijtje
#1 Het is (wettelijk) verplicht om aan te tonen dat je websitebeveiliging op orde is. Jij moet de gegevens van je klanten, leden en donateurs zelf veilig verwerken.
#2 Als organisatie moet je kunnen aantonen dat een bezoeker vrijwillig en specifiek voor bepaalde informatie toestemming heeft gegeven. Houd dit bij in een overzichtelijk systeem.
#3 Je mag op basis van de volgende grondslagen persoonsgegevens verzamelen: toestemming van de gebruiker, vitale belangen, wettelijke verplichting, overeenkomst, algemeen belang of een gerechtvaardigd belang.
#4 Voor functionele cookies hoeven gebruikers geen toestemming meer te geven.
#5 Als je samenwerkt met partijen die in jouw opdracht persoonsgegevens verwerken, ben je verplicht met iedere verwerker een verwerkingsovereenkomst te sluiten.
#6 Stel een privacyverklaring op met daarin: de bedrijfsgegevens, doeleinden, betreffende persoonsgegevens, recht van toestemming, recht op inzage, aanpassing en verwijderen, beveiligingsmaatregelen en cookies. Plaats deze privacyverklaring goed vindbaar op je website. Dit gebeurt vaak in de footer van de website.
#7 Vertel de bezoeker waarvoor de gegevens die je verzameld gebruikt gaan worden. Gebruik de gegevens ook alleen waarvoor je ze hebt verzameld en verzamel alleen de gegevens die je daarvoor ook daadwerkelijk nodig hebt.
#8 Verwijs op elke plek waar je gegevens verzamelt naar je privacyverklaring. Bijvoorbeeld bij een contactformulier of inschrijving voor de nieuwsbrief.
#9 Voorkom lokale opslag zoveel mogelijk. Voorzie daarnaast apparatuur, zoals computers en smartphones van een beveiligingscode. Beveiligen betekent ook het niet onbeheerd achterlaten van papieren of computers. Het gaat dus verder dan het optimaliseren van je website. Zo zijn alle gegevens veilig voor hackers en datalekken.
#10 Gebruik je Google Analytics en heb je geen goede cookievermelding? Dan is er werk aan de winkel, want Google Analytics werkt namelijk op basis van IP-adressen, welke herleiden naar personen. Deze gegevens zijn dus niet anoniem en, dit is strijd met de wet. Om aan de AVG regelgeving te voldoen moet je dit anoniem maken.
#11 Je hebt een meldplicht bij datalekken. Deze lekken moeten binnen 72 uur gemeld worden bij het Meldloket datalekken AP. Schrijf een beveiligingsrapport voor de organisatie waarin je ook benoemt wat er gebeurt wanneer er een datalek is.
#12 Er hoeft maar één iemand te klagen over jouw bedrijf of organisatie over het verkeerd verwerken van persoonsgegevens om gecontroleerd te worden. Voldoe je bij deze of een steekproefsgewijze controle niet aan de regels van AVG dan ontvang je een hoge boete.
#13 Een ‘noreply@’-e-mailadres mag met de nieuwe wetgeving niet meer. Maak gebruik van een mailadres waar een ontvanger ook naar terug kan mailen.
#14 Zijn de gebruikers van jouw website onder de 16? Dan moet iemand met ouderlijk gezag (mede)toestemming geven. Daarnaast heb je als organisatie de verplichting om een redelijke hoeveelheid moeite te doen om te checken dat er toestemming is gegeven door een bevoegde persoon.
#15 AVG introduceert privacy by default en privacy by design. By design betekent dat bij het ontwikkelen van websites privacy niet achteraf geïmplementeerd wordt, maar vanaf het eerste ontwerp. Houd hier rekening mee bij het ontwerp van je website. By default heeft te maken met het feit dat de standaardkeuze privacyvriendelijk moet zijn.
#16 Officieel mag je met mensen buiten Europa geen persoonsgegevens delen, tenzij je expliciete toestemming hiervoor hebt. Veel grote bedrijven, zoals Dropbox, Trello of Slack hebben een Privacy Shield overeenkomst met Europa. Zorg dat je een verwerkersovereenkomst met ze aangaat en breng je klanten en bezoekers hiervan op de hoogte.
Het stappenplan om jouw website AVG-proof te maken
Hieronder lees je hoe jij in 11 stappen jouw website AVG-proof kunt maken.
Stap 1. Ga na of je persoonsgegevens op je website verwerkt.
Stap 2. Noteer welke gegevens dit zijn en bedenk welke maatregelen jij moet nemen om de website optimaal te beveiligen.
Stap 3. Stel een transparante privacyverklaring op die te begrijpen is door de bezoekers van je website. Licht hierin toe hoe lang je gegevens bewaart, welke gegevens dit zijn en of je ze deelt met derden. Daarnaast kun je de klanten hierin attenderen op de rechten die ze hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Plaats deze privacyverklaring op je website en link ernaar in je footer en op elke plaats waar je persoonsgegevens verzamelt.
Stap 4. Vraag voor het verzamelen van gegevens toestemming. Vraag hierbij alleen de benodigde gegevens en vermeld waar je de gegevens voor worden gebruikt wanneer websitegebruikers toestemming geven. Zonder expliciete toestemming kun je de gegevens niet voor iets anders gebruiken. Bewaar daarnaast persoonsgegevens niet langer dan noodzakelijk voor het doel van de verwerking. Ga je een nieuwsbrief versturen? Dan is het aan te raden om alle klanten opnieuw te benaderen en vragen of ze zich willen inschrijven voor een nieuwsbrief. Zorg dat je ook kunt aantonen wanneer men toestemming heeft gegeven.
Tip: Het kan zijn dat je nieuwbrief adressenbestand slinkt, maar hierdoor houd je wel alleen de waardevolle geïnteresseerden over. Door met deze mensen goed contact op te bouwen kun je jouw bestand weer verder laten groeien.
Stap 5. Check alle WordPress plugins. Zorg ervoor dat de plugins die jij gebruikt in lijn zijn met de regels van AVG. Check welke gegevens via de plugin worden verzameld en of ze met derden gedeeld worden. Check vervolgens bij de website van de pluginmaker of de plugin voldoet aan AVG.
Stap 6. Verwijder accounts van medewerkers die niet meer bij je bedrijf in dienst zijn. Verlaat iemand je bedrijf en heeft hij wel een account op de website? Verwijder dit dan direct. Loop ook de andere accounts eens na om de rechten te checken van de actieve accounts. Geef gebruikers niet meer rechten dan strikt noodzakelijk.
Stap 7. Zorg dat gegevens versleuteld worden verstuurd. De AVG verplicht je om je gegevens veilig op te slaan. Versleutelde gegevens zijn minder waardevol voor kwaadwillende derden. Er zijn diverse tools voor het versleutelen van gegevens. De bekendste hiervan is de https-verbinding. Dit is een versleutelde verbinding waarmee websitegebruikers gegevens versleuteld naar jou als website-eigenaar versturen. Deze verbinding kun je tot stand brengen met een SSL-cerfiticaat. Weten hoe je deze toevoegt aan uw website? Wij helpen je graag. Zorg meteen ook dat je de meest recente beveiligingsupdates hebt uitgevoerd, zodat opslag en gegevens optimaal beveiligd zijn.
Stap 8. Ga na welke cookies je website gebruikt en vraag actief akkoord voor cookies. Er is een e-privacy verordening van kracht voor de cookies op websites. Deze werkt naast de AVG en richt zich op functionele cookies, analytische cookies en marketing-cookies. Websitegebruikers hoeven geen toestemming te geven voor functionele cookies. Analytische cookies mogen toegepast worden, maar alleen voor eigen gebruik.
Tip: Gebruik jij Google analytics? Stel deze dan in als ‘privacyvriendelijk’ zodat de IP-adressen onherkenbaar zijn. Voor het gebruik van marketing-cookies moet je toestemming blijven vragen. Wil je gebruik maken van re-marketing dan ben je verplicht de bezoeker te vragen om de cookies van jouw website te accepteren.
Stap 9. Verstuur jij een nieuwsbrief? Beschrijf dan duidelijk waarvoor iemand zich inschrijft, hoe vaak de nieuwsbrief wordt verstuurd en hoe men zich uit kan schrijven. Dit worden ook wel opt-in en opt-out genoemd. Een opt-in is waar de eigenaar van een mailadres aantoont toestemming te geven voor het ontvangen van mails van een bepaalde mailinglist. Een opt-out daarentegen is het tegenovergestelde: dit is de uitschrijfmogelijkheid.
Stap 10. Stel een functionaris voor gegevensbescherming aan. Deze functionaris houdt binnen de organisatie toezicht op de toepassing en naleving van de Algemene Verordening Gegevensbescherming.
Stap 11. Sluit verwerkingsovereenkomsten af met derde partijen. Komen de gegevens die jij verzameld terecht bij derde partijen? Dan moet je een verwerkingsovereenkomst sluiten. Dit is vaak het geval wanneer je een nieuwsbriefkoppeling hebt als Mailchimp of plugins voor socialmediacounters. Sommige grote partijen als Google, Mailchimp en Facebook hebben hiervoor een standaard overeenkomst waarmee je akkoord kunt gaan.
Nu je je bewust bent van de aandachtspunten van AVG en je de stappen uit het stappenplan hebt doorlopen, zijn je organisatie en je website helemaal AVG-proof. Wil jij toch nog wat hulp bij het aanpassen van de AVG op jouw huidige website? Neem contact met ons op voor meer informatie.