Skip to main content

AVG EN GDPR COMPLIANT

Zorg dat jouw website voldoet aan de nieuwe privacy wet voor persoonsgegevens

Het is op dit moment dagelijks op de radio en deze wet heeft effect op alle online ondernemers van ZZP, MKB tot multinational. 25 mei gaat de nieuwe privacy wetgeving in op het internet. Dit is de grootste verandering op het gebied van privacy en het verwerken van persoonsgegevens. Alle websites die persoonsgegevens verwerken moeten aan deze wetgeving gaan voldoen.

Voldoe je niet aan de nieuwe wetgeving dan kunnen er boetes opgelegd worden tot 20 miljoen euro of 4% van de jaaromzet.In dit artikel leg ik uit waar de verantwoordelijkheden liggen en wat er moet gebeuren om aan de wetgeving te voldoen en welke stappen jij zelf kunt ondernemen. Dit is voor elke website verschillend en afhankelijk van welke functionaliteiten er aanwezig zijn en welke marketing instrumenten er worden gebruikt.

Geldt deze wet ook voor mij?

Al vanaf een simpel invul formulier op de website is deze wet van toepassing. Ook voor bijvoorbeeld een opt in van een nieuwsbrief systeem. Je verwerkt dan immers persoons gegevens. Daarnaast dien je de bezoeker om toestemming te vragen voor tracking cookies zoals Google analytics, Adwords conversie meting, Facebook pixels etc.
Als ondernemer zijn onder andere dit jouw verplichtingen volgens de nieuwe wet:
Je moet duidelijk zichtbaar een privacyverklaring op je website hebbenJe hebt toestemming nodig van de personen van wie je gegevens verwerktPersonen van wie je gegevens verwerkt, hebben het recht hun persoonsgegevens in te zien, aan te passen en te verwijderenJe bent verplicht verwerkersovereenkomsten te hebben met alle bedrijven die voor jou persoonsgegevens verwerkenPersonen van wie je gegevens verwerkt, hebben het recht op indienen van een klacht bij de Autoriteit Persoonsgegevens (AP)Je hebt meldplicht bij datalekken, dat doe je bij het Meldloket datalekken APOm te voldoen aan de GDPR volg je onderstaande stappen;

1) Privacy Policy pagina

Een van de voorwaarden is dat er een goede privacy policy pagina is in begrijpelijke taal. Je kunt deze makkelijk maken op https://veiliginternetten.nl/privacyverklaring/ Deze tekst moet corresponderen met hoe er met persoonlijke gegevens en marketing hulpmiddelen wordt omgegaan. Zie ook een voorbeeld van deze tekst op onze site https://driv-e.nl/privacy Omdat elke website verschillend is moet je deze naar de eigen (marketing) en opt in functionaliteiten aanpassen.

2) Privacy by default

De huidige cookie wetgeving verdwijnt. Cookie walls worden verboden. In de nieuwe wetgeving moet er door de gebruiker bewust toestemming gegeven worden of er tracking cookies geplaatst mogen worden. Op DRIVe hebben we zo’n nieuwe cookiebar geplaatst. Deze cookiebar moet ook op alle sub pagina’s geplaatst worden. De cookies worden dan consent (het woord van 2018) gemaakt zodat ze aan of uitgezet kunnen worden met deze cookiebar. Dat betekent dat als de bezoeker op weiger drukt de cookies ook daadwerkelijk uit worden gezet. Dat is een groot verschil met de oude cookiebars waar cookies veelal toch geplaatst werden ook al werd er niet op ok gedrukt of dat er alleen toegang verkregen kon worden door op ok te drukken. Ook kun je met deze cookiebar de instellingen weer aanpassen als je in een later stadium beslist dat je toch de cookies wil plaatsen.
Voorbeeld;
Je hebt op je website een youtube film vanaf jouw kanaal. Youtube plaatst cookies. Als je in de cookiebar gekozen hebt voor weiger dan kun je de film niet afspelen. De bezoeker moet dan cookies weer inschakelen in de cookiebar. Dit kun je daarnaast ook oplossen door bij Youtube te kiezen voor privacy modus voordat je het te embedden script kopieert en in het artikel plaatst.
Gebruik je alleen Google analytics dan kun je die gegevens anonimiseren. In dat geval heb je geen cookiebar nodig. Wel moet je, of je nou wel of niet de gegevens anonimiseert, ook een bewerkingsovereenkomst met Google afsluiten en een contact persoon of privacy officer opgeven. Log hiervoor in bij Google Analytics en sluit hem daar af.
Gebruik je nu wel 3rd party marketing cookies of wil je Google Analytics niet anonimiseren dan is de consent cookiebar zoals op deze site verplicht.

3) Cookie Policy pagina

Ook een actuele cookie policy pagina is verplicht. Bekijk hier welke informatie daarop moet staan. https://driv-e.nl/cookie-policy Deze pagina is afhankelijk van de marketing cookies die er gebruikt worden.
Let op. Gebruik je een boekingssysteem van een externe leverancier dan plaatst deze misschien ook cookies. Vraag daar naar. Ook social share buttons kunnen cookies plaatsen.

4) Formulieren en offerte formulieren

In het formulier moet de invuller akkoord gaan met de privacy verklaring. Ingevulde gegevens worden ook gelogd in de database van de website. In de privacy verklaring moet staan hoelang de gegevens daarin blijven staan en hoe gegevens eventueel verder worden verwerkt. In bijvoorbeeld een extern CRM systeem. Belangrijk is ook dat wordt aangegeven hoe de persoon gegevens weer verwijderd kunnen worden. Bij RSforms, meest gebruikt in Joomla, kan er ook een link in de mail die naar de invuller worden toegevoegd zodat deze meteen zelf de gegevens kan verwijderen in de database.

5) Gegevens webshop

Een webshop registreert veel persoonlijke gegevens. Ook hierin moeten de gegevens verwijderd kunnen worden zoals aangegeven in de privacy policy. Een uitgebreid artikel waar webshops aan moeten voldoen vind je hier https://www.thuiswinkel.org/bedrijven/belangenbehartiging/privacy/algemene-verordening-gegevensbescherming/avg

6) Mailchimp of een andere nieuwsbrief supplier

De meeste klanten gebruiken Mailchimp voor de nieuwsbrieven. Daar moet een verwerkingsovereenkomst mee afgesloten worden en dat kun je hier doen. https://mailchimp.com/legal/forms/data-processing-agreement/ Ook moet de opt in op de website GDPR compilant zijn. Hoe je dat doet kun je op deze pagina vinden. https://kb.mailchimp.com/accounts/management/collect-consent-with-gdpr-forms

Wees helder met het verzamelen van gegevens

Op het moment dat gebruikers persoonsgegevens achterlaten op je website, bijvoorbeeld met een e-mail opt-in, moet voor deze gegevens helder zijn waarom je ze nodig hebt en hoe je ze gaat gebruiken. Je moet bij het verzamelen van gegevens altijd verwijzen naar de privacyverklaring van jouw website of onderneming.
! Je moet duidelijk beschrijven waar iemand zich voor inschrijft, hoe vaak er wordt verstuurd en dat je je heel makkelijk – op elk gewenst moment – weer uit kan schrijven (opt-out). Bovendien moet de opt-in een duidelijke en bevestigende actie zijn. Verwijs bij elke opt-in met een link naar de privacyverklaring.
Voor de duidelijkheid: een opt-in is waar de eigenaar van een e-mailadres expliciet en aantoonbaar toestemming geeft voor het ontvangen van e-mail van een bepaalde mailinglist. Een opt-out daarentegen is exact het tegenovergestelde: waar je je kunt afmelden.

7) Verwerkersovereenkomst

Je hebt een bewerkersovereenkomst (ook wel DPA – data processing agreement genoemd) nodig met alle partijen die toegang hebben tot de persoonsgegevens die jij verzamelt. Dit is het vervelendste punt van de hele AVG. De verwachting is dat er veel strenger gecontroleerd gaat worden en ook zijn er een aantal verplichte zaken bijgekomen. In de nieuwe wet is er sprake van keten aansprakelijkheid. Kort gezegd, als er geen overeenkomst is en er is sprake van een datalek dan zijn alle partijen in de keten aansprakelijk. In de bewerkersovereenkomst staat wie waar voor verantwoordelijk en welke acties en preventieve maatregelen er worden ondernomen om datalekken te voorkomen. Zoals het up to date houden van de websoftware, geïnstalleerde software van derden, een versleutelde verbinding via SSL en of de backups versleuteld bewaard worden, waar en voor welke termijn. Ook staat daarin wie welke acties onderneemt in het geval van een datalek.
Het betreft dus een overeenkomst die je afsluit met partijen als Google Analytics, MailChimp, hostingbedrijf, webdesigner, et cetera. De overeenkomst biedt garanties dat de bescherming van de rechten van personen wordt gewaarborgd. Als er problemen ontstaan, kan de verwerker hier verantwoordelijk en aansprakelijk voor zijn.
! Maak een lijstje van de partijen waarmee je samenwerkt inzake de verwerking van persoonsgegevens buiten je eigen onderneming en/of DRIVe. Ga na hoe dit eventueel nu is geregeld. Er bestaat een grote kans dat de betreffende partij al zo’n overeenkomst heeft klaarliggen. Is er geen overeenkomst, zorg dan dat dit in orde komt. Er zijn diverse modelovereenkomsten in omloop, zoals die van Juridox Veel meer over bewerkingsovereenkomsten lees je bij Justitia.
Heb je de hosting elders lopen dan moet je ook met deze leverancier apart een bewerkingsovereenkomst sluiten. Ook externe boekingssystemen verwerken namens jou privacy gevoelige data. Sluit daar ook een verwerkersovereenkomst mee af.

8) Leg vast hoe lang je persoonsgegevens bewaart

Eigenlijk mag je persoonsgegevens niet langer bewaren dan noodzakelijk voor het doel van je verwerking. Onder het mom van statistische doeleinden kun je deze termijn vrij lang maken. Statistische doeleinden zijn als je de gegevens gebruikt voor bijvoorbeeld de opbouw van je statistieken of onderzoek. Beschrijf dit wel goed in je privacyverklaring.

9) SSL

SSL, een verbinding over https, is in de nieuwe wetgeving verplicht. Vanaf juli worden alle websites zonder SSL door Google ook als onveilig aangemerkt. Heb je nog geen SSL zorg dan dat deze voor 25 mei actief is.

10) Het recht om vergeten te worden

Accounts en profielen moeten (zo eenvoudig mogelijk) in te zien, aan te passen of te verwijderen zijn. Mensen met een account bij een website kunnen wellicht al een aantal gegevens zelf inzien en wijzigen. Hetzelfde geldt voor e-mailvoorkeuren die gewijzigd kunnen worden binnen programma’s zoals MailChimp. Men moet zich ook specifiek kunnen afmelden voor dataprofilering. Dit is – heel eenvoudig gesteld – het opdelen van de doelgroep in groepen, zodat je deze een nog beter toegespitste boodschap kunt voorleggen, die hoogstwaarschijnlijk eerder leidt tot conversie.
MailChimp doet dat al en geeft dat ook aan in de footer van een nieuwsbrief, er staat dan zoiets als ‘klik hier om jouw profiel te wijzigen’. Dit geldt ook voor het verwijderen van gegevens (het recht om vergeten te worden). In de privacyverklaring moet daarom ook staan hoe mensen persoonlijke gegevens kunnen wijzigen of verwijderen. En dat hoeft helemaal niet ingewikkeld te zijn. Bijvoorbeeld door een mail te sturen naar…..

11) Security headers

Je kunt je huis aan de voorkant met alarm systemen, camera’s en hekken beveiligen maar als je dan vervolgens de tuindeur gewoon open hebt staan dan heeft dat natuurlijk niet zoveel zin. Om ook op server niveau maximaal beveiligd te zijn moeten de security headers minimaal een A grade hebben. Dat kan hier gecontroleerd worden. https://securityheaders.com/
Alle websites die bij DRIVe een onderhoudscontract hebben voldoen daaraan.

12) Maak een actieplan bij datalekken

Zorg dat er een plan is indien er toch een datalek ontstaat. Bijvoorbeeld als de webshop gehackt is. In de bewerkersovereenkomst die je van ons opgestuurd krijgt staat welke stappen wij als verwerker ondernemen. Echter jij zult een plan klaar hebben moeten liggen hoe je de klanten gaat informeren, op welke manier, binnen welke tijd en waar je het lek gaat melden.

13) Handhaving

Hoe en op welke manier er na 25 mei gehandhaafd gaat worden is niet bekend. Misschien worden er eerst alleen waarschuwingen gegeven maar het kan ook zijn dat ambtenaren actief op zoek gaan naar websites die niet aan de AVG voldoen. De wet geldt in ieder geval voor iedereen van ZZP tot multinational. De eindverantwoordelijkheid voor het al dan niet volledig naleven van de AVG ligt bij de eigenaar van de website.
Ons advies is om zoveel als mogelijk aantoonbaar aan de wet te voldoen voor 25 mei. Veel kun je in ieder geval zelf doen om de website AVG compilant te maken.

14) Samenvatting

De nieuwe wetgeving gaat in ieder geval een grote impact hebben op online ondernemen. Ook voor de leveranciers van software, zoals webdesigners, wordt het nog belangrijker om bijvoorbeeld beveiligingsupdates direct uit te voeren en dat aantoonbaar alle mogelijke maatregelen genomen zijn om datalekken te voorkomen.
Hieronder in het kort de nogmaals de belangrijkste punten.

  1. Anonimiseer google analytics als je geen cookiebar wil en dit de enige cookie is die je plaatst. Je moet nog wel een vewerkersovereenkomst afsluiten en contact persoon of privacy officer toevoegen. Dit doe je binnen de Google Analytics omgeving.
  2. Maak je formulieren GDPR compliant met een verwijzing naar de privacy policy toevoegen en een opt out link in de auto reply.
  3. Maak een goede en relevante cookie en privacy pagina
  4. Stel de security header op A grade in en controleer dit op https://securityheaders.com/
  5. Plaats een consent cookiebanner als je cookies plaatst
  6. Maak 3rd party en marketing scripts consent als deze door de nieuwe cookiebar niet uitgezet kunnen worden
  7. Mailchimp opt in maken in lijn met de GDPR
  8. Schrijf een plan waarin je de procedure vastlegd in het geval van een datalek
  9. Sluit verwerkersovereenkomsten af met alle parijen die persoonsgegevens verwerken
  10. Heb je veel leden op je site of voor je nieuwsbrief leg dan vast hoe je aan deze leden komt