Algemene Verordening Gegevensbescherming

Het is een hele mond vol en het was hoog tijd; Per 25 mei is de Algemene Verordening Gegevensbescherming van toepassing. De AVG zorgt ervoor dat de privacywetgeving gelijk wordt getrokken door heel Europa en is dan ook wel bekend onder de naam GDPR, dat staat voor General Data Protection Regulation. De huidige Wet Bescherming Persoonsgegevens stamt nog uit een tijd dat internet in de kinderschoenen stond en was hoognodig toe aan een update. De privacyrechten van mensen worden versterkt en uitgebreid en organisaties moeten kunnen aantonen dat zij niet onnodig gegevens verzamelen, deze onnodig lang bewaren en moeten deze ten alle tijde inzichtelijk kunnen maken. Kortom; als consument sta je sterker en als organisatie heb je een boel meer verantwoordelijkheid om netjes met je data om te gaan. Dit brengt voor veel organisaties een berg werk met zich mee. Waar moet je nu precies rekening mee houden?

Disclaimer
De verantwoordelijkheid voor het voldoen aan de nieuwe privacywet is de verantwoordelijkheid van de website-eigenaar. In dit artikel leg ik uit met welke onderdelen je voor je website rekening moet houden. Om zeker te weten dat je aan alle regels voldoet adviseer ik je dan ook om contact op te nemen met een advocaat of AVG-adviseur. Zie je onjuistheden in dit artikel? Stuur me een mailtje zodat ik het aan kan passen.

Een SSL-certificaat

Zorg ervoor dat je website een SSL certificaat geïnstalleerd heeft. SSL staat letterlijk voor Secure Sockets Layer wat betekent dat er een beveiligde laag geplaatst wordt tussen een server en een internet browser waardoor de gegevens beveiligd worden. Je bent het vast weleens tegengekomen; Websites die een SSL certificaat hebben geïnstalleerd beginnen met https;// en hebben een mooi groen slotje voor de url. Een SSL certificaat toont aan dat je de persoonsgegevens die je verwerkt goed beschermt. Bovendien zorgt het ervoor dat Google je niet uit de zoekresultaten haalt omdat ze geen onveilige websites weer willen geven. Een SSL certificaat is bovendien vaak gratis en gemakelijk te installeren.

Toegang tot je website

Je website wil je natuurlijk toegankelijk maar zo veilig mogelijk houden.
Verander regelmatig je wachtwoord en zorg ervoor dat hij uit minimaal 8 tekens bestaat; een combi van hoofd- en kleine letters, speciale leestekens en cijfers. Tip: Gebruik 1Password voor al je wachtwoorden op al je devices. Zorg hiernaast voor 2 factor authentication als je een inloggedeelte hebt op je website. Dit betekent dat je twee keer moet bewijzen dat je bevoegd bent om in te loggen. Naast een gebruikersnaam en wachtwoord verstuur je bijvoorbeeld een code naar het mailadres of telefoonnummer van de gebruiker.

Beheerders van je website

Check regelmatig wie allemaal toegang heeft tot je website en of hun gegevens nog actueel zijn. Hebben deze gebruikers allemaal toegang tot je website nodig? Staan er oud medewerkers, stagiairs of medewerkers van je webdeveloper tussen? Schoon deze dan op. Het is ook belangrijk te kijken welke rol zij hebben toegekend gekregen. Hebben zij teveel privileges, perk hun rol dan in.

Hebben medewerkers van externe partijen toegang tot je website, zoals je webdeveloper, social media partner of iemand die je content up to date houdt, zorg dan voor een verwerkersovereenkomst. Hierin maak je afspraken over de bescherming van persoonsgegevens en de verantwoordelijkheden van beide partijen.

Website up-to-date houden

Het is belangrijk om je website, het thema en alle plugins up to date te houden. Voer daarom consequent updates uit of maak duidelijke afspraken hierover met je web developer. Voordat je een update uitvoert is het belangrijk een backup te maken in het zeldzame geval dat er iets fout gaat. Ga ook even bij je hostingpartij na of ze regelmatig back ups draaien. Je weet het nooit.

Privacyverklaring toevoegen

Om duidelijk naar je bezoekers te communiceren welke data je van hen verzamelt is het slim een privacyverklaring op je website te plaatsen. Zorg ervoor dat deze makkelijk te vinden is, bijvoorbeeld in de footer, naast je Copyright regel.

In een privacy verklaring leg je je bezoekers uit
– welke persoonsgegevens je bewaart
– hoe lang je de persoonsgegevens bewaart
– waarom je de persoonsgegevens bewaar
– waar je de persoonsgegevens opslaat
– met wie je de persoonsgegevens deelt

Formulieren controleren

Je mag niet meer data verzamelen dan strict noodzakelijk. Check dus alle formulieren op je website en vraag niet meer dan nodig is. Een contactformulier heeft bijvoorbeeld niet meer nodig dan een naam en een e-mailadres. Bovendien is de drempel voor je bezoeker, om het formulier in te vullen, zo een stuk lager. Kijk bijvoorbeeld ook naar de reactiemogelijkheid op je blog, opt-in formulieren en gratis weggevers.

Voor al deze formulieren geldt; om persoonsgegevens te mogen verwerken heb je een grondslag nodig, welke je vooraf moet melden. Dit kun je doen in je privacyverklaring. De 6 grondslagen zijn;
1. Toestemming
2. Vitale belangen
3. Wettelijke verplichting
4. Overeenkomst
5. Algemeen belang
6. Gerechtvaardigd belang

De makkelijkste manier om om toestemming te vragen is het plaatsen van een checkbox met de zin ‘Ik geef toestemming mijn gegevens te verwerken op de manier zoals omschreven in de privacyverklaring’ naast de verzendknop. Het woord Privacyverklaring kun je dan laten linken naar de pagina met je privacyverklaring.

Google Analytics

De meeste websites zijn gekoppeld aan Google Analytics. Je wilt uiteraard weten hoeveel bezoekers je website trekt, hoe lang ze op je website zijn en welke pagina’s ze precies bekijken. Er worden een aantal dingen met Google gedeeld waar je toestemming van de gebruiker voor nodig hebt. Je kunt in zes eenvoudige stappen jouw Google Analytics AVG-proof maken:
1. Sluit een verwerkersovereenkomst af met Google
2. Anonimiseer de IP-adressen
3. Zet het delen van gegevens uit
4. Zet het delen van gegevens voor advertentiedoelen uit
5. Controleer of de tracking info optie uit staat
6. Informeer je bezoekers

Cookies

“Een cookie is een klein tekstbestand dat tijdens uw bezoek aan een website op bijvoorbeeld uw computer, tablet of smartphone wordt geplaatst. In dit tekstbestand wordt informatie opgeslagen. Deze informatie kan bij een later bezoek weer worden herkend door deze website. En soms kan ook een andere website de cookie lezen en er informatie in opslaan. Sommige cookies zijn noodzakelijk. Omdat de website het anders niet doet. Er zijn ook cookies die handig zijn voor de bezoeker. Bijvoorbeeld omdat hij onthoudt in welke taal u de website wilt lezen. Maar veel cookies worden gebruikt om bij te houden wat u op internet doet. Bijvoorbeeld naar welke pagina’s u hebt gekeken.“
consuwijzer.nl

Hotjar, Facebook, Google Analytics en Disqus software zijn bijvoorbeeld bekende voorbeelden van tools die gebruik maken van cookies. Maar als je bijvoorbeeld YouTube video’s op je website hebt staan, plaatst YouTube ook een cookie. Er zijn verschillende soorten cookies: Functionele cookies, Analytische cookies en Tracking Cookies. Functionele Cookies zijn nodig voor het correct laten functioneren van de website. Analytische en Tracking cookies bekijken het gedrag van de bezoeker op je website, deze mogen pas geplaatst worden na het geven van toestemming door de gebruiker.

Conclusie

Het lijkt een hele lijst maar als je er even goed een middag voor gaat zitten met deze checklist kom je er vast en zeker uit. Heb je toch liever wat ondersteuning? Stuur me een mailtje en ik maak graag een afspraak om samen door je website heen te lopen en deze helemaal AVG proof te maken.