User Experience Design Agency

Rodesk
Is jouw website al AVG-proof?

Is jouw website al AVG-proof?

Rodesk

Je zult er de afgelopen tijd vast al eens van gehoord hebben: de termen GDPR (General Data Protection Regulation) en/of AVG (Algemene Verordening Gegevensbescherming). Allebei de wetten zijn gericht op persoonsgegevens en de manier waarop bedrijven daarmee om horen te gaan. Per 25 mei 2018 zullen deze nieuwe wetten van kracht worden.

De AVG heeft betrekking op allerlei onderdelen van bedrijven. De online activiteiten van bedrijven vormen vaak het belangrijkste aandachtspunt. Om het gemakkelijk te houden gaan wij in dit artikel alleen in op de invloed op jouw website en waar jij als website eigenaar allemaal rekening mee moet houden.

Wat is de AVG

Voor het gemak houden we het hier even bij de AVG. Dit is de nieuwe Europese privacywet die ingaat per 25 mei 2018. Deze wet vervangt de oude Nederlandse WBP (Wet Bescherming Persoonsgegevens). Hiermee zijn vanaf 25 mei de privacywetten in heel Europa hetzelfde. Een groot voordeel hiervan is dat nu eindelijk iedereen in Europa volgens dezelfde regels moet spelen. Daarmee wordt meteen een stuk duidelijker wat er van ondernemers wordt verwacht. Bekijk de nieuwe wetgeving dus positief: eerder als een mooie kans om een frisse start te maken dan als een ingewikkelde verplichting.

Wat is het doel van de AVG

Het doel van de AVG is om persoonsgegevens van burgers beter te beschermen en die bescherming in de hele EU gelijk te trekken. Bedrijven moeten aan hun klanten duidelijk maken waarom zij persoonsgegevens bewaren, hoe lang ze worden bewaard en wat zij met de persoonsgegevens doen. Een belangrijk onderdeel is ook dat bedrijven hun klanten inzage moeten geven in de persoonsgegevens die ze opslaan. Kortom, het moet allemaal een stuk transparanter, dus er is werk aan de winkel.

Op wie is de AVG van toepassing

De nieuwe wet is van toepassing op alle bedrijven die persoonsgegevens van klanten opslaan, gebruiken, analyseren of combineren. Je begrijpt: dat zijn er een heleboel, zo niet allemaal.

Wat zijn de gevolgen als ik niet (op tijd) aan de nieuwe regels voldoe

Het is belangrijk dat je goed in kaart brengt waar jij allemaal rekening mee moet houden.  De boetes die uitgeschreven kunnen worden als jij je niet aan de nieuwe regels houdt zijn niet mals:

Bij zware overtredingen kun je rekenen op boetes van maximaal 20 miljoen of 4% van je omzet.
Bij minder zware overtredingen gaat het om boetes tot 10 miljoen of 2% van je omzet.

Het is natuurlijk nog maar de vraag hoe streng de Autoriteit Persoonsgegevens hierop gaat toezien vanaf 25 mei. Vermoedelijk zijn de grote bedrijven eerder aan de beurt dan de kleine bedrijven. Maar los daarvan staat het wel zo netjes richting je klanten en de bezoekers van je website om te laten zien dat je voldoet aan de eisen van de wet. Zo weten ze dat je alles doet om zorgvuldig met hun persoonsgegevens om te gaan.

Zo weten bezoekers dat je alles doet om zorgvuldig met hun persoonsgegevens om te gaan.

Jouw website en de AVG

Waar moet ik allemaal aan voldoen?
Kort samengevat moet je als website eigenaar in ieder geval aan de onderstaande eisen voldoen om sancties en/of boetes te voorkomen. Later in dit artikel gaan we hier puntsgewijs nog wat dieper op in.

  1. Je moet in kaart brengen of je persoonsgegevens verzamelt en verwerkt, en zo ja, welke gegevens dat zijn. Op een privacypagina moet je hier duidelijk uitleg over geven aan gebruikers. Deze privacypagina moet duidelijk zichtbaar en gemakkelijk te vinden zijn.
  2. Als je samenwerkt met derden die toegang of inzage hebben in de persoonsgegevens die je verzamelt, of ze verwerken, dan moet je met deze partijen een ‘verwerkersovereenkomst’ aangaan. Wij (Rodesk) zijn bijvoorbeeld zo’n soort bedrijf. Wij hebben vaak toegang tot jullie Google Analytics of Mailchimp account. Ga dus heel goed na welke bedrijven allemaal toegang tot of inzage in je persoonsgegevens hebben.
  3. Gebruik altijd een SSL-certificaat. Deze zorgt voor een veilige verbinding tussen de computer van de gebruiker en jouw webserver. Hierdoor worden gegevens (bijvoorbeeld uit formulieren) veilig en met encryptie verstuurd van de browser van de gebruiker naar jouw webserver.
  4. Indien je op je website gegevens van personen verwerkt (bijvoorbeeld door middel van formulieren), dan moet je je gebruikers daarvoor om toestemming vragen.
  5. Breng in kaart wie toegang heeft tot de persoonsgegevens die je verwerkt.
  6. Gebruik je Google Analytics of andere analytische software (bijvoorbeeld Hotjar)? Dan moet je met de bedrijven achter die software een verwerkersovereenkomst aangaan. Google is in dat geval namelijk een externe partij (‘derden’), waaraan jij toestemming moet geven om jouw gebruikersgegevens (de gegevens die je met Google software analyseert) te verwerken. Daarnaast moet je in Google instellen dat jij jouw gegevens ‘geanonimiseerd’ naar Google verstuurt.
  7. Je moet in kaart brengen of je cookies gebruikt en zo ja, welke dat zijn. Daarom moet je van de bij punt 1 genoemde privacypagina een cookie/privacy pagina maken of een losse cookie pagina maken. Waarop je duidelijk aan gebruikers uitlegt welke cookies je gebruikt. Zoals gezegd moet deze pagina goed zichtbaar en gemakkelijk te vinden zijn.
  8. Als er een datalek binnen jouw website plaatsvindt dan heb je de plicht om dit lek te melden bij Meldloket Datalekken Autoriteit Persoonsgegevens (https://datalekken.autoriteitpersoonsgegevens.nl/)
  9. Zorg dat jouw website altijd up to date is. Download altijd de laatste patches en updates.
Google Analytics gebruikt ook cookies

Google Analytics gebruikt ook cookies

Praktische to-do list

1) Een (vernieuwde) privacypagina opstellen

Zorg dat je een (vernieuwde) privacypagina met je eigen privacyverklaring opstelt die voldoet aan alle eisen van de AVG. Als je aangesloten bent bij een bepaald keurmerk of lid bent van bepaalde brancheorganisaties kunnen zij je vaak voorzien van een standaard verklaring die je kunt aanpassen. Er zijn ook verschillende websites die een ‘generator’ aanbieden waarmee je gemakkelijk een privacyverklaring kunt opstellen. Het belangrijkste doel van jouw privacyverklaring is transparantie: helderheid over welke persoonsgegevens je gebruikt, waarom je ze gebruikt, wie je nog meer toegang geeft en hoe lang je de gegevens bewaart. Wij adviseren standaard om je nieuwe privacypagina altijd te laten controleren door een jurist, of tenminste iemand met voldoende juridische kennis.

In de privacyverklaring moeten in ieder geval de volgende zaken zijn opgenomen:

  1. De identiteit van je bedrijf (Bedrijfsnaam, contactgegevens, KvK-nr)
  2. Het doel van de verwerking van persoonsgegevens (redenen: waarom wil je het?) en de rechtsgronden ervoor (wettelijke rechtvaardiging: waarom mag je het?)
  3. Duur van de opslag van de persoonsgegevens
  4. Informatie over het recht van je gebruikers/klanten op inzage, aanpassing of wissen van hun persoonsgegevens
  5. Informatie over het recht om een klacht in te dienen
  6. Toelichting over welke technische en organisatorische stappen jij hebt ondernomen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking
  7. Een verklaring over welke cookies op jouw website worden gebruikt en waarvoor (hierover lees je verderop in dit artikel meer)

Je nieuwe privacyverklaring moet je goed zichtbaar en vindbaar op je website beschikbaar stellen.

Je nieuwe privacyverklaring moet je goed zichtbaar en vindbaar op je website beschikbaar stellen. Dit kan door een link in je footer te plaatsen: dit is in de meeste gevallen ook voldoende. Daarnaast moet je, als je persoonsgegevens ophaalt via een formulier, bijvoorbeeld om een nieuwsbrief te sturen, een link plaatsen naar je privacyverklaring. Zo weet een gebruiker die gebruik maakt van het formulier waar hij/zij mee akkoord gaat.

Bekijk deze links voor meer informatie en waar jouw privacy verklaring allemaal aan moet voldoen:

https://veiliginternetten.nl/privacyverklaring-generator-start/start/
https://www.charlotteslaw.nl/2018/01/is-privacyverklaring-al-avg-gdpr-ready/
https://www.charlotteslaw.nl/2017/05/hebt-nieuwe-privacyverklaring-nodig-25-mei-2018/
https://www.frankwatching.com/archive/2018/01/12/zo-is-je-privacyverklaring-avg-gdpr-proof/

2) Een verwerkersovereenkomst opstellen voor derden

Als je samenwerkingen hebt met derden die toegang/inzicht hebben in de persoonsgegevens die je verzamelt, of deze gegevens verwerken, dan moet je met deze partijen een ‘verwerkersovereenkomst’ aangaan.

Het gaat hier bijvoorbeeld om bedrijven als Google (statistieken via bv Google Analytics), MailChimp (email marketing), het hostingbedrijf waar jouw website wordt gehost, externe programmeurs die werken aan jouw website, etc.

Wij (Rodesk) zijn bijvoorbeeld zo’n soort bedrijf. Wij hebben vaak toegang tot jullie Google Analytics of Mailchimp account waarin persoonsgegevens van jouw klanten voor ons zichtbaar zijn. Wij gebruiken deze gegevens nooit voor onze eigen doeleinden en gebruiken de logins alleen vanuit technisch oogpunt. Bijvoorbeeld om te testen of koppelingen werken. Daarnaast hebben wij in de meeste gevallen ook toegang tot jouw CMS en de data die hierin beschikbaar is.

Wat je het beste kunt doen is een lijst maken met alle partijen waarmee je qua website samenwerkt inzake de persoonsgegevens. Ga per partij na hoe dit nu is geregeld. De meeste partijen zullen (net zoals wij bij Rodesk) al een verwerkersovereenkomst klaar hebben liggen. Die hoeft dan alleen maar ondertekend te worden, tenzij dat al is gebeurd bij het tekenen van jullie oorspronkelijke overeenkomst. Het is belangrijk om dit per partner te controleren en in een document vast te stellen. Mocht de Autoriteit Persoonsgegevens er ooit naar vragen, dan kun je de informatie snel en eenvoudig overhandigen.

Bekijk deze links voor meer informatie over verwerkersovereenkomsten:

https://privacystore.nl/overeenkomsten/bewerkersovereenkomst
http://www.justitia.nl/privacy/bewerkersovereenkomst.html

3) Zorg voor een SSL-certificaat

Onder de nieuwe AVG-wetgeving ben je verplicht de gebruikersgegevens die je op jouw website verzamelt en verwerkt zo goed mogelijk te beveiligen. Gebruik je formulieren op jouw website, bijvoorbeeld een contactformulier of nieuwsbrief aanmelding? Dan is een SSL-certificaat (HTTPS) verplicht. Deze zorgt voor een veilige verbinding tussen de computer van de gebruiker en jouw webserver. Hierdoor worden gegevens (bijvoorbeeld uit formulieren) veilig en met encryptie verstuurd van de browser van de gebruiker naar jouw webserver. Sowieso raden wij aan altijd een SSL-certificaat voor je website te gebruiken, of je nu persoonsgegevens verwerkt op de website of niet.

Heb je nog geen SSL-certifcaat op jouw website draaien, maar wil je dit wel in orde maken? Neem meteen contact met ons op, want zo’n certificaat kunnen we vrij snel voor je regelen.

4) Formulieren

Op het moment dat gebruikers op jouw website gegevens achterlaten, bijvoorbeeld via een contactformulier of via een inschrijving voor een nieuwsbrief, dan moet je heel duidelijk aangeven waar je deze gegevens voor gaat gebruiken. Gebruik deze gegevens dan ook alleen voor de redenen die je hebt aangegeven. Als een gebruiker bijvoorbeeld je contactformulier invult, dan mag je deze niet zomaar toevoegen aan je mailinglijst. Wil je dit wel doen, vermeld het dan expliciet, of beter nog: vraag de gebruiker om toestemming.

Vraag daarnaast in formulieren alleen om de gegevens die je echt zeker weten nodig hebt. Je moet kunnen verantwoorden waarom je bepaalde gegevens opvraagt. Een voorbeeld: voor een offerteaanvraag heb je geen geboortedatum nodig. Vraag je deze wel aan, dan moet je expliciet kunnen aantonen waar je deze gegevens voor nodig hebt. Nog een voorbeeld: voor een contactformulier heb je alleen een naam en e-mail nodig om te kunnen reageren. Daarvoor hoef je dus niet om complete NAW-gegevens te vragen.

Bedenk goed waar de gegevens van het formulier naartoe worden verzonden en wie allemaal toegang hebben tot die gegevens. Als de output van het formulier wordt verstuurd naar een mailbox, dan moet je nagaan wie er toegang tot deze mailbox heeft. Een ander voorbeeld: de output van het formulier wordt verstuurd naar MailChimp: wie heeft er allemaal toegang tot dit MailChimp-account? Bedenk hoe lang deze gegevens worden bewaard, en leg die bewaartermijn ook schriftelijk vast. Het is belangrijk om dit per formulier in kaart te brengen en in een document vast te leggen. Zo kun je ook hier de gegevens snel aanleveren als de Autoriteit Persoonsgegevens er ooit naar vraagt.

Om zeker van je zaak te zijn moet je bij elk formulier altijd verwijzen naar je privacyverklaring, waarin je (als het goed is) duidelijk uitlegt welke gegevens je verzamelt en waar je ze voor gebruikt. Zo is het voor de gebruiker zo transparant mogelijk waar hij/zij aan begint als het formulier wordt ingevuld.

Dit kun je bijvoorbeeld doen met een verplichte checkbox onderaan je formulier met de melding; ‘Ik ga akkoord met de algemene voorwaarden (link naar pagina) en ik geef toestemming om mijn gegevens te gebruiken zoals omschreven in de privacyverklaring (link naar pagina).’

Weet je niet zeker of de formulieren op jouw website in hun huidige staat voldoen aan de eisen van de AVG? Neem contact met ons op: wij kunnen een scan doen en waar nodig advies geven, zodat al je formulieren kloppen met de nieuwe wetgeving.

5) Breng in kaart wie toegang heeft tot persoonsgegevens

Sla jij persoonsgegevens op in je CMS? Breng in kaart wie er allemaal toegang heeft tot dat CMS. Sla jij persoonsgegevens op in een e-mail marketingprogramma (bijvoorbeeld Mailchimp), breng dan ook in kaart wie allemaal toegang heeft tot dit account.

Iedereen die toegang heeft moet hier expliciet een goede reden voor hebben. Onnodige accounts kan je sowieso beter verwijderen. Het is belangrijk om dit per plek waar je gegevens beheert en bewaart in kaart te brengen, en dit vervolgens vast te leggen in een document. Zo kun je ook deze informatie snel aan de Autoriteit Persoonsgegevens overleggen als er ooit naar wordt gevraagd.

Iedereen die toegang heeft moet hier expliciet een goede reden voor hebben.

6) Gebruik je Google Analytics of andere analytische software

Wanneer je gebruikt maakt van analytische software zoals Google Analytics of Hotjar dan moet je ook met deze partijen een verwerkingsovereenkomst aangaan. Gelukkig zijn deze softwareleveranciers hier goed op voorbereid en kun je dit allemaal vrij gemakkelijk regelen.

Daarnaast moet je er met instellingen voor zorgen dat de data die Google van jouw website verzamelt wordt ‘geanonimiseerd’ voordat het naar Google wordt doorgestuurd. Zo kan Google deze data niet onrechtmatig gebruiken of in het ergste geval misbruiken. Dat anoniem versturen heeft wel een nadeel: het is van invloed op hoe je Google Analytics kunt gebruiken, bijvoorbeeld voor remarketing en koppelingen met Google Adwords. Wil je hier geen nadelen van ervaren, dan kun je besluiten de data niet ‘geanonimiseerd’ te versturen. Dan moet je wel heel duidelijk vermelden welke cookies je gebruikt, en waarom. Daarover lees je verderop in dit artikel meer.

In het volgende artikel staat uitgelegd hoe je met Google een verwerkersovereenkomst kan afsluiten en de gebruikersdata anoniem kan versturen naar Google.

https://imu.nl/internet-marketing/analytics-anonimiseren-voor-avg/

https://www.frankwatching.com/archive/2018/02/06/betekent-gdpr-avg-digital-analytics/

Verwerkersovereenkomst met Mailchimp
Leg hier de verwerkersovereenkomst met Mailchimp vast.

7) Welke cookies gebruikt jouw website en heb je hiervoor toestemming nodig

Een heel belangrijk onderdeel van de nieuwe AVG wet is transparantie in het gebruik van cookies op je website. De wet verplicht je om in kaart te brengen welke cookies je allemaal op jouw website gebruikt en waarvoor. Voor sommige soorten cookies moet je gebruikers ook de mogelijkheid geven om deze uit te kunnen zetten.

Wat zijn cookies en hoe worden ze gebruikt
In tegenstelling tot wat de naam soms doet denken zijn technische cookies niet eetbaar. Het zijn dus geen stroopwafels, en chocolate chip cookies kun je niet installeren. Cookies zijn hele kleine bestanden die door jouw internetbrowser worden opgeslagen bij het gebruik van een website. Bijna elke website slaat wel een paar cookies op in jouw browser. Vaak zijn cookies bedoeld om het gebruik van een website gemakkelijker te maken. Cookies zijn te verdelen in drie verschillende soorten, en voor elke soort gelden andere regels.

Functionele cookies
Functionele cookies zijn nodig om een website naar behoren te laten werken. Ze slaan bijvoorbeeld op welke producten jij in je winkelmand van een webshop hebt zitten, of ze onthouden bepaalde voorkeuren die jij hebt ingesteld. Een ander voorbeeld is een cookie die jouw account onthoudt als je bent ingelogd bij een website, zodat je bij een volgend bezoek niet nogmaals hoeft in te loggen. Voor functionele cookies is geen toestemming van de gebruiker vereist, want de privacy van de gebruiker blijft bij deze cookies gewaarborgd.

Analytische cookies
Analytische cookies zijn cookies die gebruikt worden om je inzicht te geven in het gebruik van jouw website en het gedrag van bezoekers op jouw website. Deze data kan door jou, door Rodesk of door andere partijen worden gebruikt om de gebruikerservaring te verbeteren. Voor analytische cookies is geen toestemming nodig van de gebruikers, maar je moet de gebruikers wel informeren over het gebruik er van. Dat betekent dat je op een cookie/privacypagina moet uitleggen welke cookies je gebruikt en waarvoor. Daarnaast moet je zorgen dat de gegevens die je verstuurt naar de analytische software worden ‘geanonimiseerd’. Zo ontvangen externe partijen geen persoonsgegevens, maar alleen anonieme data. Zie voor meer informatie ook paragraaf 6 over bijvoorbeeld het gebruik van Google.

Tracking cookies
Tracking cookies (vaak ook marketing cookies genoemd) zijn cookies die worden gebruikt om het surfgedrag van bezoekers vast te leggen. Op basis van dat surfgedrag krijgen ze gerichte aanbiedingen en advertenties te zien. Bekende methodes hiervoor zijn gebruik van Google Adwords, Facebook Pixels en zogenaamde affiliate networks. Voor deze vorm van cookies is wel toestemming nodig. Je moet je gebruikers informeren over het gebruik ervan, en je moet ze de mogelijkheid geven om deze cookies uit te zetten.

Het einde van de cookiewall
De nieuwe wetgeving zorgt er ook voor dat er eindelijk een einde komt aan wat de cookiewall wordt genoemd. Wat ons betreft een ontzettend vervelend fenomeen, dat ontstond door de onduidelijke wirwar aan Nederlandse en Europese regels. Een cookiewall is een soort digitale muur om een website heen waarbij je eerst toestemming moet geven voor je de website kunt bezoeken. Zonder die toestemming kun je de website niet bezoeken. De nieuwe wetgeving verplicht volledige toegang tot elke website, zonder cookiewall dus, omdat dit essentieel is voor de digitale communicatie van internetgebruikers.

Het einde van de cookiewall

Het einde van de cookiewall

Een goede cookiepagina
Een goede cookiepagina is dus de enige passende oplossing. Deze pagina is vanaf 25 mei dus altijd verplicht: zelfs als je alleen functionele cookies op je website gebruikt. Je moet gebruikers altijd informeren over het soort cookies, hoe ze heten en wat ze doen. Ook als het alleen functionele cookies zijn. Als je ook tracking cookies gebruikt en/of je de analytische cookies ‘geanonimiseerd’ verstuurt, moet je daarnaast de mogelijkheid bieden om deze cookies uit te zetten.

NOS
BBC
Centric
Coolblue (uitgebreid)

Je moet in kaart brengen of je cookies gebruikt, en zo ja, welke cookies dat zijn. Op een cookie/privacy pagina moet je hier duidelijk uitleg over geven aan gebruikers. Deze cookie/privacy pagina moet goed zichtbaar en vindbaar zijn.

Weet je niet zeker of op jouw website cookies worden gebruikt, of weet je niet welke precies? Neem dan contact met ons op, zodat we je site op cookies kunnen scannen en helpen met opzetten van een cookiepagina die voldoet aan de nieuwe wetgeving.

Cookie toestemming vanuit de browser
Sommige moderne browsers bieden de mogelijkheid om cookies toe te staan, maar een hoop van de (veelgebruikte) browsers ondersteunen dit nog niet. Voor gebruikers en ontwikkelaars zou het erg handig zijn als iedereen in zijn/haar browser kan instellen welke soort cookies (analytisch en/of tracking) worden toegestaan. Dan zijn website-eigenaren niet verplicht om dit op een cookiepagina te vragen. Maar dit lijkt voorlopig nog toekomstmuziek.

8) Meld een datalek bij Meldloket Datalekken Autoriteit Persoonsgegevens

Wat is een datalek? Een datalek is betreft altijd een beveiligingsprobleem waardoor data die afgeschermd zou moeten zijn toegankelijk wordt. We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Denk hierbij bijvoorbeeld aan hackers. Mocht je onverhoopt een datalek hebben gevonden op je website of ben je gehackt en zijn persoonsgegevens van uit jouw website op straat komen te liggen. Dan moet je dit altijd melden bij het Meldloket Datalekken Autoriteit Persoonsgegevens (https://datalekken.autoriteitpersoonsgegevens.nl/).

Bekijk deze links voor meer informatie over datalekken:

http://www.justitia.nl/privacy/datalekken.html

Rodesk helpt je graag om je website AVG-proof te maken

Wij kunnen jou als website-eigenaar helpen bij het analyseren van je complete site. Vanuit onze analyse geven we gericht advies over de praktische toepassing van de AVG-wet. Zo weet je zeker dat je geen belangrijke details over het hoofd ziet en voorkom je problemen in de toekomst. Neem vooral even contact op als je hier vragen over hebt of even over wilt sparren.

Disclaimer: schakel professionele juridische assistentie in

Let op! De inhoud van dit artikel is gebaseerd op onze research naar bestaande artikelen en onze ervaringen uit de praktijk. Deze tekst is zeker geen wetgeving, en wij zijn strategisch ontwerpers, geen juristen. We hebben uit zorg voor al onze klanten en voor onze eigen gemoedsrust diep gegraven om zo goed mogelijk te kunnen adviseren over verstandig omgaan met de nieuwe AVG-wetgeving. We hebben ons ook vooral gericht op de punten waar de nieuwe wet raakt aan de producten en diensten van Rodesk. Daarom kunnen aan deze explainer geen rechten worden ontleend. Als je er echt 100% zeker van wilt zijn dat je aan alle eisen van de nieuwe AVG wet voldoet, schakel dan een professionele jurist in om je te adviseren. Dit artikel is onze manier om onze verantwoordelijkheid te nemen nu het wettelijke landschap rond persoonsgegevens verandert. We raden iedereen aan om haar of zijn eigen verantwoordelijkheid te nemen, zodat we er samen voor zorgen dat gevoelige persoonlijke informatie niet verkeerd gebruikt kan worden – zowel de gegevens van onze gebruikers als die van onszelf!

 

#7 Make every interaction count Read our manifesto