6 tips om je website voor te bereiden op de AVG / GDPR
15 maart 2018
AVG / GDPR Google Analytics15 maart 2018
AVG / GDPR Google AnalyticsPer 25 mei 2018 geldt in heel Europa de Algemene Verordening Gegevensbescherming (AVG) ofwel General Data Protection Regulation (GDPR) en vervangt in Nederland de huidige Wet bescherming persoonsgegevens (Wbp). Met dit artikel geven we jou handige tips om je website voor te bereiden op de nieuwe wetgeving!
Voordat je verder leest, willen wij je attenderen op het volgende. Als eigenaar van een website ben en blijf je zelf verantwoordelijk voor de te ondernemen acties. Je website is ons vakgebied, vandaar dat wij hier de nadruk op leggen. We zijn geen advocatenkantoor en pretenderen dan ook niet dat deze tips jou voorzien in alle oplossingen… maar we helpen je wel graag op weg om de juiste stappen te zetten! Met onze AVG tool is het mogelijk om je website automatisch te laten scannen op alle onderdelen die mogelijk aandacht behoeven met betrekking tot privacy. Daarnaast ontvang je hiervan een eenvoudig overzicht zodat je niets kan vergeten.
Gezien de ontwikkelingen rondom deze nieuwe wetgeving, updaten we dit artikel regelmatig. De laatste update van dit artikel heeft plaatsgevonden op 24 mei 2018.
Iedereen is druk doende met aanpassingen rondom beveiliging en privacy, maar waarom doen we dit eigenlijk? Dit kan je teruglezen in de weblog 3 grootste veranderingen van de AVG / GDPR.
De nieuwe wetgeving gaat zowel over je (online) middelen, infrastructuur als je interne processen. Organisaties zijn zelf verantwoordelijk voor de correcte implementatie van de juiste maatregelen. Met dit artikel geven we een aantal voorbeelden van maatregelen die je op je website kunt treffen om beter om te gaan met beveiliging en privacy.
Bezoekers van je website, zowel B2C als B2B, moeten kunnen inzien welke privacygevoelige gegevens je verzamelt en met welk doel. Dit leg je vast in een privacyverklaring, ook wel privacy statement genoemd. Die kun je op je website plaatsen, in een pop-up bij een app of voegen bij andere documentatie die de bezoeker (de ‘betrokkene’) ontvangt.
Let op: de privacy-verklaring dient makkelijk te vinden zijn op je website. Plaats dit niet alleen in bijvoorbeeld de footer, maar zorg ervoor dat dit via meerdere plekken op je website terug te vinden is (via het hoofdmenu of doorlinks/url’s in content).
Pas je profiling toe op je website (het verzamelen, analyseren en combineren van gegevens met als doel iemand in te delen in een bepaalde categorie of profiel)? Dan moet je benoemen welke vormen van profilering worden toegepast, met de daarbij behorende consequenties voor deze mensen. Ook remarketing, waarbij je personen opnieuw benadert, valt hieronder. Zo is het delen van e-mailadressen met Google en Facebook, voor een aangepaste doelgroep of vergelijkbare doelgroep, verboden zonder toestemming van de eigenaar van het e-mailadres.
Gebruik je Google Analytics? Dan verwerk je met analytische cookies persoonsgegevens. Zorg daarom dat je je websitebezoekers hierover informeert en om toestemming vraagt. Geef dan ook in je privacy-verklaring aan welke aanpassingen je hebt gedaan.
Online formulieren, zoals een contactformulier, sollicitatieformulier of een formulier om je aan te melden voor de nieuwsbrief worden veel gebruikt. Je dient deze formulieren te controleren op de gegevens die je vraagt. Vraag alleen gegevens die je écht nodig hebt om je doel te bereiken. Welke gegevens kunnen er weggelaten worden?
Belangrijk is dat je ieder formulier voorziet van een duidelijke titel (Neem contact op, Aanmelden nieuwsbrief) en het doel van het formulier. Informeer je bezoekers op alle plekken binnen je website waar je persoonsgegevens verwerkt (bij alle formulieren dus) over hoe je omgaat met de gegevens. Hiervoor kan je simpelweg een link plaatsen naar je privacy-verklaring, waarin je informatie hierover hebt opgenomen.
Ingevulde formulieren krijg je meestal via de mail binnen. Vaak worden de berichten ook in de database en/of het CMS opgeslagen. Vraag je af of dit nodig is. En als dit nodig is (bijvoorbeeld als backup wanneer een mail niet aankomt), hoe lang je ze dan bewaard en kunt zorgen dat dit altijd wordt gedaan.
Elke pagina waar persoonsgegevens worden verzameld, moeten beveiligd zijn met een SSL certificaat. Je herkent zo’n beveiliging aan ‘https://’ in de menubalk. Dit zorgt ervoor dat de gegevens die je bezoeker invult, versleuteld worden verstuurd. Dit kun je op specifieke pagina’s toepassen, maar wij raden je een SSL-certificaat voor je gehele website aan. Dit komt namelijk ook je ranking in Google ten goede.
Als je Google Analytics gebruikt, verwerk je daarmee gegevens zoals IP-adressen, die ook onder persoonsgegevens vallen. De Autoriteit Persoonsgegevens heeft hier een leesbare handleiding voor opgesteld. Kort samengevat omvat dit de volgende acties:
Ga na in welke situatie jij gebruik maakt van adresbestanden. Denk bijvoorbeeld aan het versturen van nieuwsbrieven aan klanten. Allereerst dien je een opt-in te hebben verkregen voor het versturen van de nieuwsbrief. Bij opt-in heeft de eigenaar expliciet en aantoonbaar toestemming gegeven voor gebruik van zijn persoonsgegevens, bijvoorbeeld voor het ontvangen van je nieuwsbrief. Ook dient men zich weer via de nieuwsbrief te kunnen uitschrijven. Als je voor verzending van je nieuwsbrieven gebruik maakt van bijvoorbeeld MailChimp, dan zijn zij ‘verwerker' van jouw adressenbestand en dien je, net als bij Google Analytics, een verwerkersovereenkomst af te sluiten met MailChimp.
Als eigenaar van een website is het verplicht een verwerkersovereenkomst te hebben met de partij die je website beheert. Als eigenaar van de website heb je de rol als Verwerkingsverantwoordelijke en ben je aansprakelijk bij eventuele datalekken.
Wordt jouw website door ons gehost en/of onderhouden? Dan dien jij een verwerkersovereenkomst met met ons als partner af te sluiten. Wij hebben in deze de rol van Verwerker. Wij hebben ervoor gekozen om onze klanten een gratis, uiteraard juridisch goedgekeurde, AVG proof verwerkersovereenkomst aan te bieden. Deze kan je hier downloaden en accepteren.
Ben je klant van d-Media en heb je naar aanleiding van dit artikel nog vragen, opmerkingen of aanvullingen? Stuur dan een bericht naar privacy@d-media.nl. We helpen je hier ook graag bij, bijvoorbeeld door de inzet van onze AVG tool!