25 april 2019

Een jaar na de AVG wet: onmisbare tips

Het lijkt als de dag van gister, maar het is alweer bijna een jaar geleden – 25 mei 2018 – dat de nieuwe Algemene verordening gegevensbescherming (AVG) is ingevoerd. In dat jaar zijn er allerlei wijzigingen geweest in de manier hoe je met de persoonsgegevens op je website om moet gaan. We geven je een kleine opfrisbeurt!

Je hebt een (WordPress) website met een aantal plugins, een nieuwsbrief-functie, een contactformulier en Google analytics. Daarnaast kunnen klanten producten bestellen via een webshop-module. Rara, wat is de overeenkomst tussen deze middelen? Ze verwerken allemaal persoonsgegevens, wat betekent dat je rekening moet houden met de AVG wetgeving. Hoe doe je dat? Met dit stappenplan maak je jouw website AVG-proof.

AVG – Algemene verordening gegevensbescherming, of in het Engels GDPR (General data protection regulation), is een Europese wet die gericht is op de bescherming van persoonsgegevens en die de bestaande wet Bescherming persoonsgegevens vervangt.

Stap 1: Wat zijn persoonsgegevens?

Onder persoonsgegevens valt alle informatie die betrekking heeft op een direct of indirect persoon, zoals:

  • Naam
  • E-mailadres
  • Foto
  • Vingerafdruk
  • IP-adres en geolocatie (verzameld met Google Analytics cookies)
  • Leeftijd
  • Gezondheidsgegevens
  • Politieke opinies

Hoe weet je welke persoonsgegevens jouw website verzamelt? Onze tip: maak een inventarisatie van welke persoonsgegevens je allemaal verzamelt op je website. In het algemeen komt het erop neer dat elke website persoonsgegevens verzamelt, maar zelfs wij als websitebouwers weten niet altijd precies welke gegevens er door welke plugins en functies verzameld worden. Dit komt omdat wij niet altijd kunnen inzien wat de softwares achter de schermen doen.

Een paar plugins waarvan je in ieder geval weet dat ze persoonsgegevens verzamelen zijn:

  • Mailchimp verzamelt e-mailadressen en namen
  • Google analytics verzamelt IP-adressen
  • Google Maps verzamelt locaties
  • Gravityforms slaat de ingevulde gegevens op in de database
  • Woocommerce, en dan de betaalmethode plugin Mollie, slaat bank- en creditcardgegevens en adresgegevens op

Stap 2: Stel een verwerkersovereenkomst op

Zo, dat was stap één. Nu is het tijd om de persoonsgegevens te gaan documenteren door middel van een verwerkersovereenkomst. Hiermee kun je aantonen dat je volgens de AVG werkt. Bewaar dit document intern; de Autoriteit Persoonsgegevens kan dit document ook bij je opvragen. Dit wordt ook wel verantwoordingsplicht genoemd.

Wat moet je allemaal benoemen in een verwerkersovereenkomst?

  • De naam en contactgegevens van de organisatie of de vertegenwoordiger van de organisatie.
  • De functionaris van de gegevensbescherming als hier een specifiek persoon voor aangesteld is.
  • Internationale organisaties waar persoonsgegevens mee gedeeld worden;
  • Het doel. Waarom worden de persoonsgegevens verwerkt? Bijvoorbeeld vanwege het versturen van nieuwsbrieven of het afhandelen van een bestelling.
  • Van wie je de persoonsgegevens bewaart, denk aan klanten of patiënten.
  • Welke persoonsgegevens je verwerkt, zoals IP-adressen, telefoonnummers, BSN.
  • Hoe lang je de persoonsgegevens bewaart.
  • Of je de persoonsgegevens ook deelt met een land of internationale organisatie buiten de EU. Zo ja, dan moet je dit ook aangeven in de verwerkersovereenkomst.
  • Welke technische en organisatorische maatregelen je hebt genomen om de persoonsgegevens die je verwerkt te beveiligen. Denk aan een SSL-certificaat en 2-factor authenticatie.

Controleer deze gegevens regelmatig en zorg dat ze juist blijven. Als je persoonsgegevens gaat verwerken dan is hier wel een goede reden voor nodig. Dit wordt ook wel een grondslag genoemd. De AVG kent 6 grondslagen waarom je persoonsgegevens mag verwerken; bekijk ze hier.

Stap 3: Wees transparant en informeer je bezoekers

Wees transparant en duidelijk, dat is een belangrijke eis binnen de AVG. Meld het aan je bezoekers als je gebruik maakt van cookies en zorg voor een duidelijke privacyverklaring.

Wat zijn cookies?

Een cookie is een klein tekstbestand dat tijdens een bezoek aan een website op je computer, telefoon of tablet geplaatst wordt. Hiermee onthoudt de website bijvoorbeeld in welke taal je de website bezocht hebt, welke artikelen in de webshop het best bekeken worden en dat je ingelogd blijft op een website bij je volgende bezoek.

Verzamel je cookies op je website, dan heb je ook een cookiemelding nodig waarmee je de gebruiker informeert over deze cookies. Via een cookiemelding kunnen bezoekers aangeven welke cookies jij mag plaatsen. Deze cookiemelding hangt af van welke cookies jij op je website gebruikt. Je hebt vier soorten cookies:

  • Functionele cookies. Deze cookies houden je voorkeuren bij. Zo onthouden ze of je eerder op de website is geweest en welke taal je voorkeur heeft.
  • Performance cookies. Hiermee kan worden gemeten of bijvoorbeeld een advertentie die geplaatst is op een website ook daadwerkelijk tot een aankoop of aanmelding leidt. Hiermee kunnen websites inkomsten generen, omdat ze hiervoor vergoeding krijgen.
  • Analytics cookies. Met deze cookies kunnen de statistieken worden bijgehouden via Google Analytics, zoals bezoekersaantallen, locaties en browsergebruik.
  • Profilering cookies. Deze cookies zijn ook wel bekend als marketing cookies. Dit zijn ‘third party cookies’ die ervoor zorgen dat je ineens advertenties te zien krijgt met producten die je eerder in een webshop hebt bekeken.

Wij raden aan om de plugin Cookiebot te gebruiken. Deze plugin maakt bij het aanmelden een uitgebreide scan van je website om te controleren welke cookies er allemaal geplaatst worden op je website. Ook geeft deze scan er meteen een categorie aan mee, zodat je weet waaronder deze cookies vallen. Hierdoor heb je heel snel een volledige – en AVG-proof – cookiemelding op je website.

Wat moet je allemaal benoemen in je privacyverklaring?

Schrijf de prvacyverklaring in ‘normale’ taal, zodat iedereen het kan begrijpen. Wees ook altijd transparant en laat de bezoekers niet naar een privacyverklaring zoeken. Heb je bijvoorbeeld een inschrijving voor een nieuwsbrief? zet hier dan een stukje tekst bij met de link naar de privacyverklaring. Maar zorg ook dat er bijvoorbeeld een algemene verklaring in de footer van je website staat.

Vraag toestemming aan een persoon voor het verwerken van persoonsgegevens als deze niet per se nodig zijn of de privacy kunnen schaden. Wil je bijvoorbeeld persoonsgegevens voor een nu nog onbekend doel, zoals het in de toekomst versturen van een nieuwsbrief? Voordat je deze gegevens gaat verzamelen, moet je expliciet toestemming geven waarop de gebruiker vrijwillig akkoord geeft.

Hieronder vind je een overzicht van de punten die je moet benoemen in de privacyverklaring:

  • De naam van je organisatie of persoon, website-adres, contactinformatie.
  • Welke gegevens jij, de plugins of jouw website verzamelen. En waarom worden deze gegevens verzameld? Hierbij kun je denken aan:
    – Contactgegevens van een ingevuld contactformulier.
    – Gegevens van een klant na een bestelling in de webshop.
    – Accountvoorkeuren
    – Analytics bezoekersstatistieken.
  • Wat de reden is dat je deze gegevens verzamelt. Denk aan het  beveiligen van je website, een wettelijke plicht of een overeenkomst met de klant.
  • Welke partijen gebruikmaken van deze gegevens. Bijvoorbeeld Google, MailChimp of je hostingpartij. Specificeer hierin ook de bedrijven die niet in de EU zitten en benoem hoe zij met bijvoorbeeld Privacy shield voldoen aan de AVG.
  • Hoelang je de gegevens bewaart en waarom.
  • Welke rechten een bezoeker heeft. Zoals het recht op inzage, correctie of verwijderen van de bewaarde gegevens.
  • Hoe bezoekers een klacht kunnen indienen bij de Autoriteit Persoonsgegevens.
  • Hoe je de data beveiligt. Bijvoorbeeld door een SSL certificaat of 2-factor authenticatie.
  • Wat de procedure in het geval van een datalek is.
  • Welke beslissingen automatisch worden genomen met betrekking op de persoonsgegevens. Voor een website zonder advertenties en sociale media is dit niet van toepassing.

Stap 4: Inzien, corrigeren en verwijderen

Heb je een website waar mensen zich kunnen inschrijven, reacties kunnen geven, of als gebruiker toegevoegd kunnen worden? Houd er dan rekening mee dat je niet alleen informeert over wat er met deze gegevens gebeurt maar dat de gebruikers ook het recht hebben op inzage, correctie en verwijdering van hun persoonlijke gegevens.

WordPress heeft nu ook een functie ingebouwd om je hiermee te helpen. Met deze optie, die te vinden is onder ‘Hulpmiddelen’ kun je gebruikers wissen en exporteren.

Stap 5: Zorg voor een goede beveiliging

Neem de juiste maatregelen om de persoonsgegevens op je website te beveiligen. Hierbij kun je denken aan een SSL certificaat. Meer over SSL Certificaten lees je hier. Vergeet ook niet een sterk wachtwoord in te stellen op je apparaat. Services die je gebruikt, zoals Dropbox, e-mail, Mailchimp, kun je beter beveiligen door middel van 2- factor authentication. Met beveiliging spreken we over alle soorten beveiliging, dus ook het niet onbeheerd achterlaten van papieren documenten waar persoonsgegevens op vermeld staan, of het open laten staan van je laptop.

Leg alles wat is gedaan om de persoonsgegevens te beveiligen vast in een (intern) document, oftewel een beveiligingsplan. Neem hierin ook mee wat je beleid is rondom datalekken.

Stap 6: Sluit een verwerkersovereenkomst af met de partijen die data voor je verwerken

Onder andere je webmaster, hostingpartij en back-up service of programma’s als Google G-suite of Mailchimp kunnen partijen zijn die data voor je verwerken. Bij de grotere bedrijven is dit al geautomatiseerd en hoef je alleen een vinkje aan te zetten. Neem dit ook mee in je privacyverklaring.

Zorg dat je vooral buiten de EU goede afspraken maakt met partijen die persoonsgegevens verwerken. Maak je bijvoorbeeld gebruik van Mailchimp of Google? In de Verenigde Staten houdt de overheid iets minder rekening met je privacy. Daarom mag je volgens de AVG-wetgeving geen persoonsgegevens delen buiten de EU, tenzij je hier expliciet toestemming voor vraagt.

Stap 7: Blijf alert

Nu je alle stappen hebt doorlopen, ben je nog niet klaar. Blijf altijd alert en controleer eens in de zoveel tijd of al je gegevens nog wel kloppen. Misschien verwerk je nu wel meer gegevens dan bij het opstellen?

Is er (misschien) een datalek, ben je een USB-stick kwijt met klantgegevens of is de website gehackt? Meld dit aan de autoriteit persoonsgegevens.

Heb je hulp nodig bij het AVG-proof maken van je website? Wij helpen je graag verder! We kunnen een scan uitvoeren om te controleren hoe jouw website ervoor staat of we kunnen je website bijvoorbeeld voorzien van een cookiemelding.

Vers van de digitale pers: MixComMag

Blog Nieuws

Hoe heb jij je chocoladeletter het liefst?

Blog Nieuws

Wat is het doel van je website?

Blog Nieuws