Wat betekent de AVG voor jouw website?

De privacywet AVG (Algemene Verordening Gegevensbescherming) is momenteel een erg hot item. Alle websites moeten voldoen aan de richtlijnen van de AVG. Wat heeft dit nou precies voor consequenties voor jouw website? Wat moet je nu aanpassen of toevoegen om aan de eisen van de AVG te voldoen met jouw website?

De verscherping van de regels van de privacywet en de daarbij behorende hoge boetes maken veel bedrijven onrustig. Wij krijgen dan ook steeds vaker de vraag wat de AVG voor gevolgen heeft voor jouw website? Dit is een logische vraag omdat je website vaak het startpunt is voor het verzamelen van persoonsgegevens. Het is dan ook erg belangrijk dat de website voldoet aan de eisen die worden gesteld door de AVG. 

In deze blog richten wij ons op de gevolgen die de AVG heeft op websites maar het is erg belangrijk om te weten dat de AVG veel verder gaat dan alleen de website en dat alle processen en afdelingen binnen een organisatie die persoonsgegevens verwerken hiermee te maken krijgen. In sommige gevallen is het voor je onderneming bijvoorbeeld verplicht een privacy officer aan te stellen. Wil je meer hierover weten dan is de website van Autoriteit Persoonsgegevens een goed startpunt.

Hoe maak je jouw website AVG-proof?

De AVG is gericht op verantwoordelijkheid en transparantie. Je moet duidelijk aan de bezoeker laten weten wat je met zijn/haar persoonsgegevens doet die je verzamelt. Welke organisaties hebben nog meer toegang tot deze gegevens? En ga je hier verantwoordelijk mee om? De regels van de AVG principe gelden voor alle websites met daarop formulieren of websites waarbij personen kunnen inloggen. In beide gevallen vraag je persoonsgegevens op of sla je deze op in de database van je website.

In de introductieperiode van de AVG werd er milder opgetreden tegenover kleine ondernemers en verenigingen dan tegenover grote organisaties. Sinds mei 2018 moeten alle bedrijven officieel conform de AVG opereren. Ben je benieuwd of jouw organisatie voldoet aan de richtlijnen van de AVG? Met behulp van de onderstaande stappen kan je controleren of je voldoet aan de AVG, we zijn in dit voorbeeld uitgegaan van een standaard wat voor de meeste websites geldt, namelijk de aanmelding voor een nieuwsbrief. Dit lijkt een simpel formulier maar heeft toch wat haken en ogen.

1. Waarvoor verzamel je de persoonsgegevens?

In het geval van een nieuwsbrief-aanmeldformulier moet het duidelijk zijn voor de bezoeker dat hij of zij na het aanmeldingen een nieuwsbrief gaat ontvangen. Je moet dus duidelijk maken waarom je de gegevens vraagt van degene die het formulier invult. In sommige gevallen wil je bijvoorbeeld ook een voor- en achternaam verzamelen om de nieuwsbrief persoonlijker te maken. Volgens de AVG is het niet toegestaan opgevraagde gegevens voor een andere doel te gebruiken dan tijdens het opvragen is vermeld. Stel dat je de mensen die zich aanmelden ook zou willen nabellen. Dan mag dat alleen wanneer je dit ook aangegeven hebt, meldt je dit niet, dan kun je deze mensen niet nabellen.

2. Zorg voor een duidelijke privacyverklaring

In de privacyverklaring moet je vertellen wat je met de persoonsgegevens doet en welke derde partijen hier toegang toe hebben. Zo maak je bij het versturen van een nieuwsbrief waarschijnlijk gebruik van een e-marketingtool zoals MailChimp, Copernica of CampaignMonitor. Dit moet je dan ook vermelden in de privacyverklaring. Vermeld daarnaast ook de contactinformatie van je organisatie of van de functionaris gegevensbescherming (of Data Protection Officer) zodat personen die inzicht willen in hun persoonsgegevens bij de juiste persoon terecht komen. Dit geldt ook voor het geval van het uitschrijven voor een nieuwsbrief. Naast het bekende recht op verzet, inzage en rectificatie, hebben personen ook het recht om vergeten te worden.

3. Zorg voor een veilige opslag van de persoonsgegevens

Als je persoonsgegevens opslaat ben je als bedrijf verantwoordelijk voor deze gegevens. Ontstaat er een datalek, dan ben je verplicht dit te melden. Blijkt dat je nalatig bent geweest? Dan zijn de boetes torenhoog, daarom is het erg belangrijk de gegevens veilig op te slaan. Denk aan een CMS dat up-to-date is, een webserver die goed wordt onderhouden of een website die alleen te benaderen is via HTTPS. Je kunt ook altijd een security-checklist gebruiken om te kijken of de beveiliging van je website op orde is.

4. Verwerkersovereenkomsten

Het is verplicht om met alle partijen die inzage hebben in jouw verzamelde persoonsgegevens of deze verwerken een verwerkersovereenkomst af te sluiten. Het gaat hierbij om de vraag wie verantwoordelijk is voor het verwerken. Zo hoeft er geen verwerkersovereenkomst afgesloten te worden met de organisatie achter je CMS maar wel met de partij die in opdracht van jou bewerkingen hierop uitvoert of toegang heeft. Denk aan de hostingprovider of internetbureau. In de verwerkersovereenkomst wordt o.a. vastgelegd wat de partij die jij opdracht geeft voor het verwerken gaat doen, hoe ze dit doen en hoelang de overeenkomst duurt.

5. Verwerkersovereenkomst afsluiten met een bedrijf in de VS

Het afsluiten van een verwerkersovereenkomst met een organisatie buiten de EU zal lastig of zelfs onmogelijk zijn. Wat je wel kunt doen is controleren of deze organisaties zich aangesloten hebben bij het Privacy Shield. Dit is een overeenkomst tussen Amerika en de Europese Unie over de manier waarop persoonsgegevens worden verwerkt en beveiligd. Organisaties zoals Google, Amazon, Mailchimp en Pantheon zijn hierbij aangesloten.

6. Vraag niet teveel informatie

Het is niet meer toegestaan om gegevens op te vragen die niet noodzakelijk zijn voor het doel. Zo willen veel organisaties ook een telefoonnummer opvragen bij de aanmelding voor de nieuwsbrief en bij het aanmeldformulier. Met als doel deze mensen na te bellen. Dat mag wel, maar dan moet dit ook duidelijk gemaakt worden bij de aanmelding van de nieuwsbrief.

7. Sla data niet langer op dan nodig is

Stel dat een persoon zich afmeldt van je nieuwsbrief, dan moet je de gegevens van deze persoon verwijderen. Ditzelfde geldt voor alle persoonsgegevens die in de website opgeslagen worden die niet meer relevant zijn. Denk aan een user-account van een medewerker die niet meer in dienst is. Of de gegevens van mensen die een sollicitatieformulier hebben ingevuld voor een vacature die vervuld is.

8. Afmelden

Net zo makkelijk als personen zich kunnen aanmelden voor je nieuwsbrief moeten ze zich ook weer kunnen afmelden. Dit kan bij een nieuwsbrief met een specifieke link in de nieuwsbrief of je kunt hier een extra formulier voor maken.

9. Cookies

Ook de cookiewetgeving gaat veranderen maar daarvoor moet eerst de ePrivacy-verordening van kracht worden. Dit is een toevoeging op de AVG en behandelt andere zaken, zoals het plaatsen van cookies. De nieuwe ePrivacy-verordening kan consequenties hebben voor je website en met name je marketingactiviteiten, dit hangt echter af van de soort cookies welke je plaatst. In principe zijn er drie soorten cookies:

  1. Functionele cookies: Deze zijn nodig voor de werking van je website. Ze slaan geen persoonsgegevens op en daar heb je voor of na de intreding van de AVG en ePrivacy-verordening geen goedkeuring voor nodig.
  2. Analytische cookies: Deze zijn nodig voor statistieken-systemen zoals Piwik en Google Analytics. Zolang deze systemen de persoonsgegevens anonimiseren en je een verwerkersovereenkomst met Google hebt afgesloten en ze niet gedeeld worden met derden heb je er vanaf 25 mei geen goedkeuring meer voor nodig.
    Zie ook de handleiding: Hoe zorg je ervoor dat je Google Analytics account AVG-proof is?
  3. Tracking cookies: Deze worden gebruikt om gebruikersprofielen op te bouwen. Veel organisaties denken niet aan user profiling of tracking te doen, maar zodra je aan remarketing doet via Google Adwords (remarketing is het tonen van advertenties aan personen die ooit op jouw website zijn geweest.), YouTube-filmpjes toont of social sharing-diensten zoals Addthis gebruikt, dan plaatst jouw website tracking cookies.

Je moet volgens de cookiewetgeving en AVG goedkeuring vragen voordat je ze plaatst, een melding is niet voldoende. Vandaar dat sommige websites een cookie wall plaatsen. Je kunt dan niet naar een website zonder akkoord te gaan met het plaatsen van de tracking cookies. Vanaf het moment dat de ePrivacy-verordening in werking gaat mogen websites geen cookie wall meer plaatsen en moet er naar de voorkeuren van de browserinstellingen van de bezoeker worden gekeken. Heeft de bezoeker aangegeven dat er cookies geplaatst mogen worden? Dan hoeft hier geen goedkeuring voor te worden gegeven. Heeft de bezoeker ingesteld dat er geen tracking cookies geplaatst mogen worden? Dan mag en kan dit ook niet gebeuren.

AVG- E-Expansion

Are you ready to boost your business?