Is jouw website klaar voor de nieuwe privacywet AVG?
De AVG, ook wel bekend als GDPR, komt er aan. Een belangrijke privacywetgeving die een enorme impact heeft op de manier hoe je met jouw klantgegevens omgaat en die ook gevolgen heeft voor jouw website en marketingtools.
25 mei
Op 25 mei is de AVG actief en vanaf dat moment geldt er voor heel Europa één privacywetgeving. Voor je website houdt dit onder andere in dat er een privacy statement dient te zijn, je moet melden én toestemming vragen welke cookies je gebruikt én dat er een verwerkingsovereenkomst moet zijn met partijen die met privacy gevoelige gegevens werken. Denk aan je website beheerder, het IT bedrijf én je webhost, maar ook Google Analytics, MailChimp, Zendesk / ZoPim (chat) of AddThis (share buttons).
Het blijft hier niet bij, want je dient tevens na te denken over welke gegevens je van je klant verzameld, waarom en hoe lang je deze bewaard. Wil je de gegevens binnen je website verkrijgen? Dan dienen de pagina's waarop je dit doet een beveiligde verbinding (SSL) te hebben. Dit SSL certificaat heeft overigens ook andere voordelen voor je site zoals een hogere score binnen Google én geen meldingen over een ‘onveilige’ site binnen enkele browsers!
Dit zijn de belangrijkste regels:
Zorg voor een goed Privacy Statement
Hier dien je in duidelijke taal vast te leggen wat de gebruiker(s) van je site en / of je klanten kunnen verwachten. De AVG strooit met termen als ‘beknopt’ en ‘transparant,’ maar in de praktijk dient er soms aardig wat beschreven te worden.
Het privacy statement dient het volgende te bevatten:
- Van wie komt het Privacy Statement? Kortom: wie ben je als bedrijf
- Contactgegevens, hoe kan men je bereiken?
- Waarom worden er gegevens opgeslagen. Het doel kan per ‘gegevensopslag’ variëren, omschrijf in dit geval per dienst, doel of middel wat je opslaat en waarom
- Wie heeft er toegang tot de gegevens. Dat kan variëren van de marketing afdeling binnen je bedrijf tot een derde zoals Google Analytics of MailChimp
- Hoe lang sla je de gegevens op. Dit is soms een lastige omdat je in principe gegevens niet voor altijd mag opslaan, maar bij een dienst als een nieuwsbrief bewaar je de gegevens totdat er uitgeschreven wordt. Probeer per ‘gegevensopslag’ te bepalen hoelang de duur is en waarom dit is
- Een bericht waaruit blijkt dat de klant het recht heeft zijn gegevens aan te passen, te verwijderen en in te zien. Hierbij dien je aan te geven wat de procedure hiervoor is
- De gegevens die je van een klant hebt, moet je aan kunnen leveren in een format dat deze kan hanteren zodat de gegevens overdraagbaar zijn
- Hoe een klant / gebruiker zijn toestemming in kan trekken. Vanaf het moment dat dit gedaan is, mogen er geen nieuwe gegevens van de klant opgeslagen worden. Oude data mag wél bewaard worden
- Een beschrijving en / of link hoe de website gebruiker een klacht in kan dienen bij de Autoriteit Persoonsgegevens als hij / zij het niet eens is met de manier waarop de informatie binnen de website wordt verwerkt
- Uitleggen wanneer en waarom er een bewaarverplichting is, als dit van toepassing is. Een online dienstverlening voor een monteur aan huis kan geen service bieden als er geen adres door de klant wordt achtergelaten en ook een pakket kan niet bezorgd worden in deze situatie
- Beschrijven van automatische processen. In principe elke situatie waarbij een algoritme een beslissing neemt om een persoon deel te laten nemen, uit te sluiten, te matchen, etc. Denk aan automatische sollicitatie bijvoorbeeld. In de regel alle processen waarbij een beslissing valt zonder menselijke interactie.
Verzamel je géén privacy gevoelige gegevens binnen je site, dan kan je dit aangegeven in je Privacy Statement en voldoe je hierdoor aan de wet.
Cookies accepteren en vermelden
Volgens de huidige wet dient een website al een ‘cookie verklaring’ te hebben. In de AVG wordt dit uitgebreid. De belangrijkste regels:
- Het vermelden van het feit dat je cookies gebruikt is niet genoeg
- Een persoon moet je website kunnen bezoeken en hierbij de keuze hebben cookies uit te schakelen (als deze aanwezig zijn)
Er wordt onderscheid gemaakt tussen verschillende cookies:”
- Functionele. Deze zijn nodig voor de werking van de website. Denk aan voorkeursinstellingen zoals de kleur van een site die per bezoeker bepaalbaar is
- Analytische cookies voor bijvoorbeeld Google Analytics en AddThis
- Tracking cookies voor reclame doeleinden
- Diverse andere cookies
Bij de cookie verklaring kan je een link plaatsen naar het Privacy Statement.
Tip: wil je gebruik maken van Google Analytics zonder hier toestemming voor te hoeven vragen? Dat kan door de gegevens van Google Analytics te laten anonimiseren. Er zijn diverse tutorials hierover én ik kan dit ook voor je regelen.
SSL certificaat bij verzenden van gegevens
Worden er gegevens op je site opgeslagen of via de site verbonden? Dan dien je een SSL certificaat te hebben voor een veilige verbinding.
Expliciet toestemming geven voor informatie binnen contactformulieren
Als je een contactformulier gebruikt waarop gebruikers specifieke persoonlijke informatie moeten invullen, dien je voor expliciet aan te geven waarom deze informatie verzocht wordt.
Beperk toegang tot gegevenssystemen
Bij het gebruik van een website met Content Management Systeem (CMS) hebben soms verschillende gebruikers hier toegang tot. Beperk dit zoveel mogelijk en leg vast waarom gebruikers toestemming hebben en waarvoor. Dit kan door middel van een verwerkingsovereenkomst
Verwerkingsovereenkomst
De eerdere genoemde verwerkingsovereenkomst dient er te zijn tussen alle partijen met je data verwerkt. Voorbeelden:
- Je website maker / beheerder
- Webhosting
- Google Analytics, AddThis, MailChimp, etc. De meeste partijen bieden een standaard overeenkomst aan
- Marketing en communicatiebedrijven die toegang hebben tot je gegevens van klanten
- Etc,
Wat als ik 25 mei niet aan de AVG voldoe?
In principe ben je strafbaar als je niet aan de AVG voldoet en dit kan flinke boetes opleveren. In de praktijk zal er niet meteen gehandhaafd worden, ook omdat er nog veel onbekend is.
Belangrijk:
Dit document heeft als doel om je zo goed mogelijk te informeren. Ik ben geen jurist en er zijn géén garanties dat je, als je alle stappen die in dit document staan hebt uitgevoerd / laten uitvoeren, 100% ingedekt bent. Wil je deze garanties wel? Win dan juridisch advies in!
Dat gezegd hebbende: momenteel is er nog veel onduidelijk over de wetgeving én de uitvoering er van en zelfs de controlerende instantie heeft nog geen antwoord op alle vragen. Het beste is zodoende om met wat bekend is aan de slag te gaan én dingen aan te scherpen wanneer er nieuwe of meer up-to-date informatie beschikbaar komt. Kortom: blijft de ontwikkelingen rondom de AVG volgen!
Meer informatie over de AVG:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving
Meer weten? Neem gerust contact op!