is jouw website avg proof?

hoe maak je jouw website avg-proof?

De nieuwe AVG wet gaat voornamelijk over verantwoordelijkheid en transparantie. Wat ga je doen met de persoonsgegevens die je verzamelt? Welke organisaties hebben nog meer inzicht in deze gegevens? En ga je op een verantwoordelijke wijze met de gegevens om?

In principe gelden de strenge regels voor websites met daarop formulieren of websites met onderdelen waarop gebruikers kunnen inloggen. In beide gevallen vraag je hier om persoonsgegevens of worden deze in de database van je website opgeslagen.

In onderstaand stappenoverzicht zijn we uitgegaan van een praktisch voorbeeld dat voor veel websites geldt, namelijk de aanmelding voor een nieuwsbrief. Dat lijkt een simpel formulier maar heeft zoals je hieronder kunt lezen, toch wat haken en ogen.

Stappenoverzicht

1) maak duidelijk wat er met persoonsgegevens gebeurd.

In het geval van een nieuwsbrief-aanmeldformulier moet je duidelijk maken dat de mensen die zich aanmelden ook daadwerkelijk een nieuwsbrief gaan ontvangen. Je moet duidelijk aangeven waarom je de gegevens vraagt van de personen die het formulier invullen.

Volgens de nieuwe wet is het niet toegestaan om opgevraagde gegevens te gebruiken voor andere doeleinden dan tijdens het opvragen vermeld is. Stel dat je aan de hand van de ingevulde gegevens de personen in kwestie ook gaat nabellen dan zul je dit in het formulier duidelijk moeten aangeven. 

Bevat jouw website nog meer formulieren? Bekijk goed wat met deze gegevens gedaan wordt en of deze na een bepaalde tijd verwijderd dienen te worden.

2) zorg voor een goede privacyverklaring.

In deze privacyverklaring moet je duidelijk aangeven wat je met de persoonsgegevens doet en welke andere partijen hier toegang toe hebben. Zo maak je bij het versturen van een nieuwsbrief waarschijnlijk gebruik van een e-marketingtool zoals MailChimp of het Toolbox nieuwsbriefsysteem. Dit moet je dan melden.

Vermeld daarnaast ook contactinformatie van je organisatie of van de functionaris gegevensbescherming zodat personen die inzicht willen in hun persoonsgegevens of die zich in het geval van een nieuwsbrief uit willen laten schrijven, dit makkelijk kunnen doen. Naast het bekende recht op verzet, inzage en rectificatie, hebben personen ook het recht om vergeten te worden.

Middels deze handige tool van Veilig internetten.nl kun je in enkele duidelijke stappen een goede privacyverklaring opstellen.

3) verwerkersovereenkomsten

Je moet met alle partijen die bij de persoonsgegevens kunnen een verwerkersovereenkomst afsluiten. Denk aan de hostingprovider, je internetbureau of misschien wel een online marketingbureau die toegang heeft tot je website.

Voor onze klanten bieden wij deze week een bewerkersovereenkomst aan die online ingezien kan worden en ook ondertekend dient te worden.

4) zorg ervoor dat de gegevens ook veilig opgeslagen worden.

Wanneer je persoonsgegevens opvraagt en opslaat dan ben je als organisatie verantwoordelijk voor deze gegevens. Ontstaat er een lek, dan ben je verplicht dit te melden.

Blijkt dat je nalatig bent geweest? Dan zijn de boetes erg hoog. Het is daarom belangrijk de gegevens veilig op te slaan. Denk aan een CMS dat up-to-date is. Een webserver die goed wordt onderhouden of een website die alleen te benaderen is via HTTPS.

Wij kunnen elke website die bij ons gehost wordt beveiligen met een SSL certificaat. In een voorgaande mailing hebben we hier al aandacht aan geschonken. Afhankelijk van het type certificaat kunnen wij een passend aanbod doen. Vraag ons naar de mogelijkheden.

5) komt een van jouw verwerkers niet uit de eu maar uit de vs?

Het afsluiten van een verwerkersovereenkomst met een organisatie buiten de EU zal vermoedelijk lastig of zelfs onmogelijk zijn. Wat je wel kunt doen is controleren of deze organisaties zich aangesloten hebben bij het Privacy Shield. Dit is een overeenkomst tussen Amerika en de Europese Unie over de manier waarop persoonsgegevens worden verwerkt en beveiligd. Organisaties zoals Google, Mailchimp en Amazon zijn hierbij aangesloten.

6) sla de data niet langer op dan nodig is

Stel dat een persoon zich afmeldt van je nieuwsbrief, dan ben je als organisatie verplicht deze gegevens te verwijderen. Ditzelfde geldt voor alle persoonsgegevens die in de website opgeslagen worden die niet meer relevant zijn.

Denk bijvoorbeeld aan een gebruikers-account van een medewerker die niet meer in dienst is. Of de gegevens van mensen die een sollicitatieformulier hebben ingevuld voor een vacature die reeds ingevuld is.

7) afmeldmogelijkheid

Net zo gemakkelijk als personen zich kunnen aanmelden voor je nieuwsbrief moeten ze zich ook weer kunnen afmelden. Dit kan bij een nieuwsbrief met een specifieke link in de nieuwsbrief. De nieuwsbrieven die via ons nieuwsbriefsysteem werken hebben onderaan de mailing een afmeldmogelijkheid en klanten die via Mailchimp werken ook.

8) zorg dat de persoonsgegevens niet op verschillende plekken bewaard worden

In het geval van de nieuwsbriefaanmelding moeten de persoonsgegevens opgeslagen staan in het nieuwsbriefsysteem om de personen te kunnen e-mailen. De persoonsgegevens zijn niet nodig in een ander systeem. In het geval van een webshop zijn de ingevulde gegevens van een bestelling noodzakelijk om de bestelde producten heen op te sturen. Geef dit ook duidelijk aan in je privacy statement en voorwaarden.

9) het gebruik van cookies

Cookies zijn kleine bestanden die door een website worden opgeslagen op de PC van een bezoeker. Deze cookies bevatten informatie over de bezoeker. Er zijn grofweg twee soorten cookies: functionele cookies en tracking cookies.

Functionele cookies zorgen dat bepaalde functionaliteit op je website goed werkt. Heb je bijvoorbeeld een webshop, dan zorgt een cookie er voor dat de inhoud van het winkelwagentje bewaard wordt (handig wanneer iemand nog wat verder wil winkelen op je webshop).

Een andere functionele cookie kan zijn om bepaalde popup schermpjes uit te zetten. Als iemand een popup weg klikt, dan kun je dit in een cookie opslaan. De cookie zorgt er dan voor dat tijdens het website bezoek de popup niet meer geopend wordt.

Over het algemeen worden functionele cookies verwijderd, zodra iemand de browser sluit.

Tracking cookies verzamelen informatie over het surfgedrag van bezoekers. Dus, welke pagina’s hebben ze bezocht, welke producten hebben ze bekeken etc. Met een tracking cookie is het bijvoorbeeld mogelijk om relevante advertenties te tonen op basis van pagina’s die mensen eerder hebben bezocht.

Voor functionele cookies hoef je in principe geen toestemming te vragen. Waar een bezoeker wel expliciet toestemming voor dient te geven, zijn cookies die informatie vastleggen over gedrag van individuele bezoekers (dus ook de tracking cookies).

Wanneer je een scherm toont om toestemming te vragen voor het gebruik van cookies, dan mogen de toestemmingsvinkjes van te voren niet al zijn aangekruist. De bezoeker moet ze dus zelf aanvinken. De toestemming is 12 maanden geldig, daarna dien je opnieuw toestemming te vragen. Als een bezoeker binnen deze 12 maanden alsnog zijn of haar toestemming intrekt, dan vervalt ook de toestemming.

Wat ook niet meer mag, is een zogenaamde cookiewall. Dus een cookie melding die er voor zorgt dat je alleen van de website gebruik kunt maken, wanneer je aangeeft dat je akkoord bent met het gebruik van cookies door de site.

Je mag de toegang tot je site niet meer ontzeggen aan mensen die geen cookies accepteren. Je moet mensen dus altijd toelaten op je website, ongeacht of men cookies accepteert of niet.

10) google analytics

Met Google Analytics leg je het surfgedrag vast van de bezoekers op je website. Hiervoor worden ook cookies gebruikt. En de data wordt gedeeld met Google. Hiervoor dien je dus ook expliciet toestemming te vragen aan je bezoekers.

Dien je altijd toestemming te vragen voor het gebruik van Google Analytics? Nee, je kunt ook Analytics gebruiken zonder dat hiervoor expliciete toestemming vereist is. Je moet dan aan de volgende zaken voldoen:

Je hebt een verwerkersovereenkomst afgesloten met Google
De verzamelde data (IP adressen) wordt geanonimiseerd
Je hebt het delen met Google uitgezet
Je hebt je gebruikers in je privacy verklaring geïnformeerd over het gebruik van Google Analytics

Beheren wij jullie Google Analytics account of kom je er zelf niet uit dan helpen wij je hiermee graag.

11) social plug-ins

Op onze website gebruiken wij geen social plugins die ongevraagd data delen met derden (deze zijn door onze zelf ontwikkeld). We delen geen persoonsgegevens (import) met sociale media. Alle foto’s en plaatjes die we gebruiken (ook van medewerkers) zijn rechtenvrij, dan wel met toestemming geplaatst, of door ons aangekocht (eventueel via een marketingpartner) of opgesteld. Gebruikt je social plug-ins zoals Add This dan kun je deze laten aanpassen naar onze eigen social plug-in.