+31(0)6 12 06 10 35 [email protected]

AVG-GDPR en je website

26 februari 2018 | Optimalisatie

Vanaf 25 mei 2018 moet elke organisatie in Europa voldoen aan nieuwe wetgeving om persoonsgegevens te mogen verwerken en bewerken. Dat geldt dus ook voor de verwerking van persoonsgegevens op jouw website.

Waarschijnlijk heb je al van de AVG / GDPR gehoord (Algemene verordening gegevensbescherming). Hierbij wat beknopte informatie en de mogelijke impact voor je website.

De AVG heeft ook gevolgen voor je interne/bedrijfsmatige verwerking van persoonsgegevens, maar daar ga ik verder niet op in. Onderaan deze mail diverse links voor uitgebreide informatie.

In het kort

In het kort gaat het over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’.

Je moet openheid kunnen geven over hoe jouw bedrijf persoonsgegevens verwerkt. Dat betekent dat je privacyverklaring in een heldere taal geschreven moet zijn. Kort en overzichtelijk. Daarin leg je uit hoe jouw bedrijf omgaat met persoonsgegevens. Zorg ook dat elke medewerker die werkt met persoonsgegevens de nieuwe privacywetgeving begrijpt.

Waar moet je aan denken

Het gaat om vier hoofdvragen die je continu moet stellen:

  1. Welke persoonsgegevens sla ik op?
  2. Waarvoor gebruik ik die?
  3. Waar en hoe lang sla ik die op en wie kan er bij?
  4. Heb ik die gegevens nog wel nodig?

De belangrijkste punten voor je website:

HTTPS/SSL

Met een SSL-certificaat versleutel je het dataverkeer van en naar je website. Er komt dan HTTPS voor je URL (een groen slotje), waaraan bezoekers kunnen zien dat hun gegevens versleuteld worden verzonden. Verstuur je formulieren of nieuwsbriefaanmeldingen via je website? Dan is HTTPS verplicht. Ook als je geen persoonsgegevens verstuurd is SSL (bijna) verplicht want vanaf juli 2018 gaat Google websites zonder SSL als onveilig markeren.

Privacyverklaring

Een privacyverklaring is vanaf 25 mei verplicht. In begrijpbare taal en zo beknopt en duidelijk mogelijk. Hierin leg je uit welke (persoons)gegevens je waar verzamelt, waarom en wat ermee gebeurt. Daarnaast geef je mogelijkheden om persoonsgegevens op te vragen, te verwijderen of te verplaatsen naar een concurrent. Je noemt ook de verantwoordelijke binnen het bedrijf die gaat over privacy.

Cookiebeleid

Voor iedere cookie die een bezoeker apart kan identificeren, moet toestemming worden gegeven. Hierdoor kun je bezoekers niet meer ongevraagd over verschillende websites volgen. Een cookiewall, waarmee je gebruikers verplicht cookies te accepteren voordat ze de site mogen bekijken, mag ook niet meer. Als gebruiker kun je via de browserinstelling aangeven of je analytische en tracking cookies wel of niet wilt accepteren.

  • Functionele cookies
  • Functionele cookies zijn soms nodig om een website te laten werken. Een voorbeeld van een functionele cookie is het opslaan van de producten die de bezoeker in het winkelmandje plaatst. Ook als je ‘ingelogd blijven’ aanvinkt bij het inloggen, worden cookies geplaatst. Bij een later bezoek word je dan automatisch ingelogd, wat voor veel gebruikers erg prettig werkt. Deze voorbeelden vallen in de categorie functionele cookies. Voor het plaatsen van functionele cookies hoef je volgens de wet geen toestemming aan de bezoeker te vragen.
  • Analytische cookies
  • Diensten zoals Google Analytics maken gebruik van analytische cookies. Door middel van deze cookies krijgen eigenaren van websites inzicht in het gebruik van hun website. De privacy van de bezoeker blijft met deze analytische cookies gewaarborgd. Met deze data kunnen websites geoptimaliseerd worden, waardoor je de gebruikerservaring voor bezoekers kunt verbeteren. Voor analytische cookies die worden gebruikt om het verkeer op een website te analyseren, hoef je geen toestemming aan de bezoeker te vragen. Hierover moeten bezoekers wel geïnformeerd worden in een cookie- of privacyverklaring.
  • Tracking-cookies
  • Tracking-cookies, ook wel marketingcookies, zijn cookies die binnen een domein of over verschillende domeinen gebruikt worden om surfgedrag van de bezoekers vast te leggen. Hiermee kunnen uiteindelijk gerichte aanbiedingen gedaan worden. Een bekend voorbeeld hiervan zijn de remarketingcampagnes van Google AdWords. Niet alleen Google AdWords maakt gebruik van tracking-cookies, ook socialmedia-accounts, nieuwsbrieven en partnersites maken gebruik van deze cookies. Voor het bijhouden van persoonsgerichte gegevens is toestemming vereist. Nadat een gebruiker geaccepteerd heeft dat cookies worden bijgehouden, mogen deze cookies worden geplaatst.

Google analytics

Gebruik je Google Analytics in je website (tracking cookie), dan moet je een overeenkomst sluiten met Google. Google is namelijk een dataverwerker die je toestemming geeft om de persoonsgegevens van jouw bedrijf te verwerken. Een ander aandachtspunt is het IP-adres, dat is namelijk ook een persoonsgegeven. Je moet het IP-adres anonimiseren als je bezoekers niet vooraf om hun toestemming vraagt.

Formulieren

Je mag alleen om informatie vragen die je gebruikt. Dus een telefoonnummer of e-mailadres om te kunnen antwoorden op een gestelde vraag, of bijvoorbeeld adresgegevens om iets toe te sturen. Wil je deze gegevens ook voor iets anders gebruiken? Dan moet je dat expliciet vragen. Verwijder gegevens die je niet gebruikt, zoals reacties op een prijsvraagformulier of een ip-adres.

Bezoekersgedrag opnemen

Met analytische software zoals heatmaps kun je heel mooi zien wat je bezoekers op je site doen. Hun bezoeksessie neem je hiermee op, inclusief muisbewegingen. Zorg er daarom voor dat je niet het invullen van velden opneemt, en dat alle persoonsgegevens zijn geanonimiseerd.

Gebruikers aanmaken

Formulieren en nieuwsbrief-modules op je website bevatten persoonsgegevens. Geef je iemand toegang tot het CMS van je site, dan moet die persoon daar ook een geldige reden voor hebben. Die reden moet je apart gaan vastleggen, zodat helder is wie waarom toegang heeft tot persoonsgegevens. Onnodige accounts moet je verwijderen.

Hosting

Maakt jouw hostingpartij een back-up van je website? En kan hij direct in de gegevens kijken van jouw website? Je hoster is daarmee een dataverwerker en heb je een overeenkomst nodig.

Up to date (Updates)

Na oplevering van je website ben je verantwoordelijkheid voor de veiligheid ervan. Ben je hier niet goed in thuis? Deze taken kun je met een onderhoudscontract overdragen aan je websitebouwer of hoster. Anders moet jij zorg dragen voor het tijdig updaten van je CMS (zoals WordPress) en eventuele plugins.

Nieuwsbrieven

Elke externe partij waarmee je je nieuwsbrief verstuurt, is een dataverwerker waarmee je straks een overeenkomst nodig hebt. (Bijvoorbeeld MailChimp) Een e-mailadres en klikgedrag zijn persoonsgegevens.

Ik heb geen zin in de AVG!

Daar kan ik me wat bij voorstellen… Al die regeltjes waar je aan moet voldoen, die geld kosten en niet direct iets opleveren.

Helaas is aan deze wetgeving niet te ontkomen.

Maak AVG makkelijker

Je kunt het wel makkelijker maken: Vast staat dat je SSL en een privacyverklaring nodig hebt. Met een paar goede tools is dit eenvoudig te realiseren (Ik kan je hier natuurlijk mee helpen)

Als je geen webshop hebt, maar een ‘gewone’ website zonder een antwoordformulier en een nieuwsbriefaanmelding, dan is een privacyverklaring en SSL voldoende. Je kunt er dus ook voor kiezen om het antwoordformulier van je website te verwijderen en te vervangen door een grote BEL ME en MAIL ME knop. Hetzelfde geldt voor je nieuwsbrief als je van mening bent dat deze ‘niets doet’ voor je bedrijf. Als dan ook de bezoekersinformatie uit Google Analytics abracadabra voor je zijn en je deze dus nooit gebruikt, heb je het plaatje wel compleet

Goede raad AVG

Ik help je graag een passende beslissing te nemen! In overleg bekijk ik even waar je website aan moet voldoen  en wat er binnen de regelgeving noodzakelijk is.

Bel of mail me als je direct meer wilt weten.

Om te voldoen aaan de AVG/GDPR voorwaarden zijn op dit moment veel bedrijven bezig om pasklare oplossingen te bouwen. De ontwikkeling van deze producten gaat snel.

Ik verwacht dan ook dat vlak voor 25 mei goed in te passen oplossingen beschikbaar zijn.

Mocht je ondertussen meer willen lezen over de AVG/GDPR, dan vindt je hiernaast meer info.

Wil je weten wat Web&Co voor je kan betekenen of hoe jou (online) communicatie daar beter van kan worden?
Laat je dan naam en je telefoonnummer achter en ik bel je voor een vrijblijvende afspraak.

Maak nu een afspraak

Aanmelden voor de nieuwsbrief

Blijf op de hoogte van de laatste ontwikkelingen en nieuwtjes

Je bent succesvol aangemeld!

Share This