Per 25 mei 2018 gaat de nieuwe privacywetgeving, de Algemene verordening gegevensbescherming (AVG) in. Deze wet moet er voor zorgen dat organisaties en bedrijven beter omgaan met persoonsgegevens.
Omdat deze wet gaat over alle soorten persoonsgegevens is hij enorm uitgebreid. Ook moet in de praktijk middels jurisprudentie uitwijzen hoe deze wet precies moet worden toegepast. Wel zijn er een tiental basisonderdelen die voor jouw website in ieder geval geregeld moeten zijn. Wil je weten welke tien onderdelen dit zijn? Lees dan snel verder!
Wil je er zeker van zijn dat je in jouw specifieke geval voldoet aan de complete AVG-wetgeving? Dan adviseren we je om contact op te nemen met een jurist die hierin is gespecialiseerd. De uitkomsten uit dit advies implementeren we vervolgens natuurlijk graag in je website.
1. HTTPS
Je website moet allereerst voorzien zijn van een veilige verbinding (SSL-certificaat). Dit is verplicht als er persoonsgegevens ingevoerd kunnen worden, bijvoorbeeld via een contactformulier.
Heb je een onderhoudsabonnement bij ons? Dan hoef je je geen zorgen te maken, want al onze klanten met een onderhoudsabonnement zijn voorzien van HTTPS. Heb je nog geen HTTPS? Neem dan contact met ons op. We kunnen dan starten met het onderhoudsabonnement of HTTPS voor je instellen. Het is hierbij wel van belang dat je website bij ons is gehost. Natuurlijk kunnen we ook dit voor je regelen.
2. Privacy statement
Zet een heldere en goed vindbare privacyverklaring op je website. Dit kan in de footer van je site. In een privacyverklaring staat welke privacygevoelige informatie je verzamelt en met welk doel. Zorg er voor dat je voorafgaand aan het opstellen van je privacyverklaring inzichtelijk hebt welke gegevens er in jouw geval via de website worden opgeslagen en/of verwerkt. Wij helpen je graag met het uitzoeken van deze gegevens, waarna een jurist dit voor je kan vertalen naar een privacy statement.
3. Google Analytics
Vrijwel elke website registreert haar websitebezoekers. Er wordt bijvoorbeeld bijgehouden hoe bezoekers op je website terecht komen, welke pagina’s het meest bekeken worden en of bezoekers vooral hun mobiel of desktop gebruiken om jouw site te bezoeken. Wij kiezen er er meestal voor om dit te registeren met Google Analytics. De standaardinstellingen van Google zijn niet conform de wetgeving en moeten dus worden aangepast. Dit doe je als volgt:
Stap 1. Schakel gegevens delen uit;
Stap 2. Teken de bewerkersovereenkomst;
Stap 3. Schakel advertentiefuncties uit;
Stap 4. Anonimiseer IP adressen;
Stap 5. Publiceer een privacyverklaring.
Wil je dat wij dit voor jouw website aanpassen? Dan kan! Laat het ons weten.
4. Cookiemelding
Als Google Analytics is aangepast aan de AVG-richtlijnen zoals hierboven staat omschreven, dan is een cookiemelding op je website over het registreren van bezoekers via Google Analytics niet meer nodig. Dit betekent echter voor de meeste websites niet dat een cookiemelding in zijn geheel niet meer nodig is, want in de volgende situaties is een cookiemelding alsnog verplicht:
- Wanneer je gegevens uit Google Analytics deelt met bijvoorbeeld AdWords;
- Als remarketing is ingeschakeld;
- Als je persoonsgegevens verzamelt met behulp van cookies. (Een IP-adres dat niet is geanonimiseerd valt hier ook onder.)
Wanneer je bijvoorbeeld gebruik maakt van een Facebook page plugin, Google Maps of je hebt een YouTube video geplaatst op je site, dan worden er via deze weg cookies geplaatst. Als dit trackingcookies zijn, dat wil zeggen cookies die je surfgedrag volgen, dan dien je daar toestemming voor te vragen. Dit betekent dat hiervoor een uitgebreide cookiemelding gemaakt moet worden. De cookies mogen namelijk niet geplaatst worden voordat hier toestemming voor is gegeven. Hoeveel werk het maken van deze cookiemelding kost verschilt per website. We maken hiervoor graag een inschatting op basis van jouw site en wensen en kunnen vervolgens deze cookiemelding voor je implementeren.
5. Contactformulier
Vraag via de contactformulieren op je website alleen om informatie die je écht nodig hebt en die betrekking heeft op de specifieke offerte-/contactaanvraag. Vraag je om specifieke persoonsinformatie zoals bijvoorbeeld een geboortedatum, dan moet je expliciet vermelden waarvoor je dit nodig hebt.
In de meeste contactformulieren is het duidelijk waarom de informatie gevraagd wordt en waarom dit nodig is. Bijvoorbeeld een e-mailadres om per mail te kunnen reageren op een vraag in het contactformulier. Wij gaan er vanuit dat dit dan ook duidelijk genoeg is om als toestemming voor het opslaan en gebruiken van deze gegevens te dienen. Het is in dat geval dan ook niet nodig om een extra vinkje aan het contactformulier te voegen waarmee je om toestemming vraagt.
Heb je de intentie om de ingevoerde gegevens langer te bewaren? Of ga je ze wellicht voor andere doeleinden gebruiken? Dan dien je hiervoor wél toestemming te vragen.
6. MailChimp
Via sommige websites worden mailadressen verzameld voor het verzenden van mailings via MailChimp. Dit gebeurt meestal via een formulier welke duidelijk aangeeft dat je je daarmee inschrijft voor een nieuwsbrief. Daarom is er volgens ons geen extra toestemming nodig. Wij adviseren wel om dit voor jouw specifieke geval zelf te bekijken.
In sommige gevallen is de inschrijving voor de nieuwsbrief namelijk gekoppeld aan iets anders, bijvoorbeeld het aanvragen van een e-book. In zulke gevallen is het wel nodig om een vinkje toe te voegen waarmee de bezoeker aangeeft ook de nieuwsbrief te willen ontvangen. Is dit voor jouw website van toepassing? Dan helpen we je graag met het aanpassen van het aanmeldingsveld of -formulier.
7. Maillijst
Verzend je mailings of verzenden wij mailings voor je via MailChimp? Dan moet er in de lijst van adressen staan aangeven waar deze gebruiker toestemming heeft gegeven om mails te ontvangen. Als dit via de website is gebeurd dan wordt dit meestal geregistreerd. Indien er handmatig adressen zijn toegevoegd dan moet er ook duidelijk staan wanneer en hoe deze toestemming is gegeven.
Mocht dit laatste het geval zijn, dan zullen wij je bij het versturen van toekomstige mailings vragen om deze gegevens.
8. Persoonsgegevens opslaan
In veel gevallen worden ingevulde contactformulieren opgeslagen in het CMS (WordPress) Deze ingevulde contactformulieren bevatten persoonsgegevens. Zorg er dus voor dat er geen onbevoegden toegang hebben tot het CMS. Verwijder oude/ongebruikte gebruikersaccounts, zorg dat je wachtwoord veilig is en pas hem regelmatig aan.
Zorg ook dat het CMS (WordPress) geüpdatet blijft om de veiligheid te waarborgen. Dit kunnen wij ook voor je bijhouden via ons onderhoudsabonnement, hierdoor heb je er zelf geen omkijken naar.
9. Verwerkingsovereenkomst
Via het beheer van je website, de eventuele hosting van je website en je mail hebben wij toegang tot persoonsgegeven waarvoor jij verantwoordelijk bent. Daarom kan het nodig zijn dat we een verwerkingsovereenkomst moeten sluiten.
Voor het opstellen van de inhoud van zo’n verwerkingsovereenkomst is specifieke juridische kennis vereist. Hiervoor kun je dan ook het best contact opnemen met een jurist. Natuurlijk zijn wij wel bereid om een verwerkingsovereenkomst aan te gaan als dit wenselijk is.
10. Hosting website en mail 
De bestanden van jouw website en mail die bij ons zijn gehost staan bij ons of onze partners op een server. Gegevens uit de mail zijn beveiligd met een wachtwoord. Als er een nieuw e-mailadres voor je is aangemaakt, adviseren wij om het door ons verstrekte wachtwoord direct te wijzigen zodat alleen jij dit wachtwoord weet. Daarnaast is het verstandig om dit wachtwoord periodiek te wijzigen.
In sommige gevallen hebben wij toegang nodig tot de gegevens in je site of mail. Dit gebeurt altijd in overleg en we behandelen deze gegevens natuurlijk vertrouwelijk.
Zeker weten? Schakel een AVG-jurist in
Door bovenstaande punten in acht te nemen verwachten wij dat je goed omgaat met persoonsgegevens die betrekking hebben op je website. Er kunnen echter in jouw specifieke geval extra regels gelden voor het gebruik van persoonsgegevens. Twijfel je hierover en wil je zeker weten dat je alles goed geregeld hebt? Neem dan contact op met een in AVG-gespecialiseerde jurist. Natuurlijk denken wij ook graag met je mee en kunnen we de adviezen van de jurist met betrekking tot je website voor je uitvoeren.
Denk er ook aan dat je website niet het enige is wat moet voldoen aan de wet, maar bijvoorbeeld ook een reserverings- of spaarsysteem en de opslag van persoonsgegevens in je archief of computer. Kijk voor meer informatie hierover op de website van Autoriteit Persoonsgegevens.
Heb je dankzij eigen onderzoek of advies van een specialist nog toevoegingen of opmerkingen op bovenstaande punten? Dan horen wij dit natuurlijk graag, zodat we hier ook anderen weer mee kunnen helpen.
Veilige website dankzij onderhoudsabonnement
Heb je een onderhoudsabonnement voor je website bij ons? Dan weet je in ieder geval zeker dat je website voorzien is van een veilige verbinding (SSL-certificaat, zie punt 1). Ook zorgen we ervoor dat je website een veilige plek blíjft, dankzij het regelmatig verzorgen van updates. Wil je hier meer over weten of heb je ook interesse in zo’n onderhoudsabonnement? Neem dan gerust vrijblijvend contact met ons op.