• Start
  • Blog
  • In 8 stappen je website AVG proof

in 8 stappen je website AVG proof

 

De termen AVG of GDPR kunnen je de afgelopen maanden niet ontgaan zijn. AVG staat voor Algemene Verordening Gegevensbescherming en de Engelstalige benaming GDPR staat voor General Data Protection Regulation

Meer rechten voor personen, meer plichten voor ondernemingen

Deze nieuwe Europese privacy wet gaat op 25 mei 2018 in werking en ieder bedrijf krijgt hiermee te maken. Bedrijven en overheden verwerken grote hoeveelheden gegevens die te herleiden zijn tot personen. Heel kort komt het erop neer dat natuurlijke personen meer rechten krijgen en organisaties meer plichten om zorgvuldig met de persoonsgegevens om te gaan.

Dit betekent dat bedrijven een privacy-administratie moeten bijhouden. Welke persoonsgegevens verwerken zij? Met welk doel? En hoe zijn die gegevens beveiligd?

Wat betekent dit voor je website?

In dit artikel beperken we ons wat betreft de AVG tot websites en e-mail nieuwsbrieven. Heb je een contactformulier, nieuwsbrief inschrijving en/of registratie mogelijkheid op je website? Is je website gekoppeld aan Google Analytics? Dan worden er dus persoonsgegevens in een database opgeslagen.

Als website eigenaar zul je echt deze privacy wetgeving moeten gaan naleven. Hieronder vind je een 8-stappenplan waarmee je al aan de slag kunt gaan.

Wat als je niet aan de wet voldoet

Als je niet aan de wet voldoet, kun je flinke boetes riskeren.

  • Overtreding van de basisbeginselen: boetes tot 20 miljoen euro of 4 procent van je omzet
  • Minder zware overtredingen: boetes tot 10 miljoen euro of 2 procent van je omzet

waaraan moet je voldoen per 25 mei?
actiepunten welke je kunnen helpen
Gewoon in jip & janneke taal

1. nieuwe privacy verklaring

Zorg voor een heldere privacy verklaring. Ben je aangesloten met je website bij een keurmerk? Vraag wat zij voor je kunnen betekenen. Bijvoorbeeld thuiswinkel.org heeft een handige Privacy Policy Generator voor leden.

In de nieuwe privacy verklaring beschrijf je het volgende:

  • Bedrijfsgegevens
  • Doeleinden (reden van de verwerking van de persoonsgegevens)
  • Persoonsgegevens (welke persoonsgegevens verwerk je)
  • Recht van toestemming
  • Recht op inzage, aanpassing en verwijdering
  • Beveiligingsmaatregelen
  • Cookies

Actiepunt 1

Maak een nieuwe privacy verklaring in eenvoudig taalgebruik. Zorg ervoor dat je privacy verklaring goed te vinden is op je website. Maak hier een eigen pagina voor aan (of laat deze maken door je webdesigner).
Plaats een link in de voettekst van je website maar ook op elke plaats waar je persoonsgegevens verzamelt.

Check waar je bij bent aangesloten en informeer of daar iets wordt geregeld in de vorm van een gedegen privacy verklaring.
Niet aangesloten bij een keurmerk? Kijk dan of je advies nodig hebt van bijvoorbeeld een jurist als Kompas Advocatuur. Andere tip is de Privacy Zeker website. Een online tool waarmee jij als MKB ondernemer met hun hulp en advies op een simpele en betaalbare manier kunt voldoen aan de privacywetgeving.

2. Beveiliging WEBSITE

Nog geen SSL Certificaat (https) voor je website? De privacy by design en privacy by default uitgangspunten van de AVG vereisen dat dergelijke gegevens versleuteld verzonden worden via https.

Zorg voor de meest recente beveiligingsupdates van de gebruikte software (o.a. CMS) en gebruikte plugins. Gegevens en opslag moeten optimaal beveiligd zijn.

Actiepunt 2

Als je nog geen https site hebt, ga dit doen of laat je website ontwerper dit doen. Zorg voor een SSL certificaat en maak op je website gebruik van https-encryptie.

Zorg ervoor dat de software van je website altijd onder de laatste versies draait. Dus je website zelf maar ook al de gekoppelde plug-ins. ItDentity heeft hiervoor website onderhoudscontracten; zelf geen omkijken (meer) naar een veilige website.

3. Inventarisatie

Op het moment dat gebruikers persoonsgegevens achterlaten op je website, bijvoorbeeld met het inschrijven van een nieuwsbrief, moet het duidelijk zijn waarom je die gegevens nodig hebt en hoe je ze gaat gebruiken.

Verwijs bij het verzamelen van persoonsgegevens naar de privacyverklaring van jouw website of onderneming.

Actiepunt 3

Beschrijf duidelijk waarvoor iemand zich inschrijft. Hoe vaak verstuur je iets? En zorg ervoor dat iemand zich makkelijk weer uit kan schrijven (opt-out).

Deze opt-out moet een duidelijke en bevestigende actie zijn. Verwijs bij elke opt-in met een link naar de privacyverklaring.

Een opt-in is waar de eigenaar van een e-mailadres expliciet en aantoonbaar toestemming geeft voor het ontvangen van e-mail van een bepaalde mailinglist. Een opt-out daarentegen is het tegenovergestelde: dit is de uitschrijfmogelijkheid.

4. verwerking en opslag data

Breng in kaart waar welke data wordt opgeslagen. Ga alle soorten opslag en procedures na.

Door gegevens centraal in de cloud of op eigen servers op te slaan, deze te versleutelen en de juiste toegangsrechten in applicaties en apps aan gebruikers toe te kennen, blijft de data ontoegankelijk voor onbevoegden.

Lokale opslag kan het beste helemaal voorkomen worden en anders moet ook die data encrypted zijn. Denk aan externe schijven, usb-sticks, maar ook aan verzending via bijvoorbeeld e-mail.

Apparatuur zoals computers, tablets en smartphones, moet daarnaast voorzien zijn van een toegangscode of een andere beveiligingsmethode. Bij verlies of diefstal moet een apparaat op afstand gewist kunnen worden. Mobiele applicaties zijn het veiligst als data op een centrale locatie benaderd wordt en niet lokaal is opgeslagen.

Actiepunt 4

Documenteer waar welke data opgeslagen wordt.

Verbeter eventueel de opslag van de data. Denk hierbij aan centrale en niet lokale data opslag. Zorg voor toegangscodes of een andere beveiligingsmethode voor alle apparaten.

Bepaal ook hoe lang persoonsdata bewaard moet worden (niet langer dan noodzakelijk) en beschrijf dit in je privacy verklaring. Maak het ook technisch mogelijk om deze data na deze termijn te verwijderen.

Ook hier weer de tip zoals genoemd in Actiepunt 1: Privacy Zeker website. 

5. Google Analytics anonimiseren

Google Analytics deelt data met Google voor diverse doeleinden afhankelijk van je instellingen. Ook is het mogelijk gebruikers te tracken door middel van een user ID. Google Analytics werkt op basis van IP-adressen, welke herleiden naar personen. Dus niet anoniem. Werk aan de winkel dus. Dit is alleen van toepassing als je geen goede cookievermelding hebt.

Om te voldoen aan de nieuwe wetgeving moet in de cookiemelding te lezen zijn dat cookies pas geplaatst worden als mensen:

  • Actief aangeven dat ze hiermee akkoord gaan of
  • Als ze verder navigeren door de website.

Actiepunt 5

Het is niet heel moeilijk om Google Analytics te laten voldoen aan de nieuwe wetgeving. Via deze link: Autoriteit Persoonsgegevens (pdf) kun je de handleiding inzien. Als je hierbij hulp nodig hebt, vraag het je Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.

Wat je wel mist als je het bovenstaande uitgevoerd hebt, is bijvoorbeeld de mogelijkheid van remarketing. Wil je deze wel (blijven) gebruiken, dan ben je verplicht de bezoeker te vragen om de cookies van jouw website te accepteren.

* Klanten van ItDentity met een website onderhoudscontract hoeven zich geen zorgen te maken over actiepunt 5. Voor al deze websites is een verwerkersovereenkomst met Google reeds geregeld en alle punten uit de Autoriteit Persoonsgegevens zijn reeds ingesteld voor de betreffende websites.

6. toestemming

Je hebt toestemming nodig van de personen waarvan je gegevens verwerkt. Die toestemming verkrijg je doordat personen zich inschrijven voor o.a. je nieuwsbrief of door een contactformulier in te vullen.

Persoonsgegevens bewaar je niet langer dan noodzakelijk voor het doel van de verwerking. Je kunt deze termijn wel rekken onder het mom van 'statistische doeleinden'. Bijvoorbeeld als je gegevens gebruikt voor de opbouw van statistieken of onderzoek.

Maar ook hier weer; zet het in je privacy verklaring.

Tot op heden is dit nog niet helder in kaart gebracht. Volg de berichtgeving over dit onderwerp dus goed.

Actiepunt 6

Zet in je privacy verklaring van wie je gegevens verwerkt en waarom. Hebben ze (opnieuw) toestemming gegeven om zichzelf in te schrijven op bijvoorbeeld  jouw nieuwsbrief? Documenteer dit duidelijk. Glashelder zijn is nu van belang.

Beter is om jouw iedereen uit jouw waardevolle email adressenlijst opnieuw te benaderen met het verzoek om zich opnieuw in te schrijven voor je nieuwsbrieven.

Oje, mijn nieuwsbrief adressenbestand slinkt!

Jazeker, zeer waarschijnlijk krimpt jouw waardevolle e-mail adressenlijst en dramatisch ook. Maar daarentegen hou je wel de waardevolle geïnteresseerden over. En door goede contacten op te bouwen en vertrouwen, kun je je bestand ook weer laten groeien.

En ja, ItDentity snapt je dillema heel goed, wij hebben deze nieuwe wet niet verzonnen maar proberen het positief te benaderen. Kwaliteit, daar draait alles om! Kwaliteit met websites maken, de inhoud van de websites, SEO en nu dus ook met deze nieuwe wet.

7. recht om vergeten te worden

Natuurlijke personen krijgen met de invoering van de AVG, naast het recht op inzage, ook 'het recht om vergeten te worden'. Dus deze personen mogen alle informatie die van hen verzameld wordt, opvragen. Bij een eerste verzoek om gegevens te verwijderen dient hier dan ook gevolg aan gegeven te worden.

Zo eenvoudig mogelijk moeten aangemaakte accounts in te zien, aan te passen of te verwijderen zijn. Iemand die een account bij een website heeft, kan wellicht al een aantal gegevens zelf inzien/wijzigen.

Zoals bijvoorbeeld bij een email nieuwsbrief als MailChimp, hier kunnen de e-mail voorkeuren gewijzigd worden, dit staat in de footer van de nieuwsbrief. Met moet zich ook specifiek af kunnen melden voor data profilering. Data profilering is het opdelen van de doelgroep in groepen met als doel een nog specifieker boodschap voor te leggen. Een boodschap welke waarschijnlijk eerder tot conversie leidt.

In de privacyverklaring moet daarom ook staan hoe iemand zijn of haar gegevens kan wijzigen of verwijderen.

Actiepunt 7

Zorg ervoor dat het mogelijk is om dit door te voeren in jouw nieuwsbrief software. Ga dit na bij de leverancier van het pakket.

Vraag na bij het bedrijf welke jouw website gemaakt heeft, welke gegevens dit bedrijf heeft over jouw klanten. Waarschijnlijk dezelfde gegevens welke jij uit je website kunt halen. Wat dan dus wel van belang is, hoe gaat je website maker ermee om (zie ook actiepunt 8).

Persoonlijk vinden wij dit een lastig punt. Iemand verwijderen uit de bestanden is geen probleem. Inzage in wat er opgeslagen is op lokale computers wordt wel wat complexer. Vaak zijn dit Excel of Word bestanden van bedrijven welke op meerdere plaatsen/bestanden opgeslagen worden.
Advies is dus om dit centraal op te slaan zodat wijzigingen/ verwijderingen eenvoudig zijn aan te brengen.

8. Bewerkersovereenkomsten

Je hebt een bewerkersovereenkomst (DPA – data processing agreement) nodig met alle partijen die toegang hebben tot de persoonsgegevens die jij verzamelt.

Je hebt dus overeenkomsten nodig welke je afsluit met partijen als MailChimp, je hostingbedrijf, je webdesign bureau (programmeur), Google Analytics etc.
Deze overeenkomst biedt garantie dat de bescherming van de rechten van personen worden gewaarborgd. Ontstaan er problemen dan is de verwerker hiervoor verantwoordelijk en aansprakelijk.

Actiepunt 8

Maak een lijst van alle partijen waarmee je samenwerkt voor wat betreft verwerking van persoonsgegevens. Check hoe dit nu geregeld is bij die partners. Grote kans dat de betreffende partij zo'n overeenkomst heeft liggen. Is dit niet het geval, zorg dan voor een bewerkersovereenkomst.

Een verwerker is een partij aan wie de gegevensverwerking is uitbesteed. Je moet als ondernemer jezelf ervan vergewissen dat de data die gebruikt wordt veilig is. AVG is weliswaar ingewikkelde materie, maar gebruik ook je gezond verstand: heb ik deze data echt nodig? En mag ik deze data zomaar gebruiken of moet ik om toestemming vragen?

Voor een bewerkersovereenkomst kun je o.a. bij Kompas Advocatuur in Tilburg terecht. Meer over bewerkingsovereenkomsten lees je ook op de website Justitia.

meldplicht datalekken

Je hebt meldplicht bij datalekken. Deze datalekken moeten binnen 72 uur gemeld worden. Eveneens moet je alle betrokkenen informeren en je moet de meldingen in het eigen datalekregister zetten.
 
Het melden van een datalek doe je bij het Meldloket datalekken AP.
 
Alles over de meldplicht datalekken vind je hier.

TIP! ONLINE pRIVACY software

Gratis starten met de meest complete Privacy/AVG/GDPR software op de Nederlandse markt.

De Privacy Suite biedt uitkomst. Het is de meest complete Privacy/AVG/GDPR software op de Nederlandse markt. Van een AVG-compliancy scan tot een dataregister voor gegevensverwerking, een registratiesysteem voor privacy incidenten, functionaliteit om aanvragen persoonsgegevens makkelijk te verwerken en nog veel meer. Bovendien is de software voor en door gebruikers ontwikkeld en kun je gratis starten. Klik hier om naar de website te gaan.

Hoe groot is de pakkans als je de regels overtreedt

Het APG is vanaf 25 mei verplicht om álle klachten van individuen over privacy in behandeling te nemen. Er hoeft maar één iemand te klagen over jouw bedrijf/organisatie en dat is reden genoeg om gecontroleerd te kunnen worden.

Verder zullen ze steekproefsgewijs controles doen bij organisaties en bedrijven. Belangrijk is de vraag of de beveiliging op orde is. De controles zullen risico gestuurd zijn. Bij deze controle is basaal:

  • De databoekhouding: werk je databoekhouding bij, net zoals je je financiële boekhouding bijhoudt.
  • De functionaris voor de gegevensbescherming: als een bedrijf een FG moet hebben, wie is de FG*?

* Sommige organisaties zijn verplicht om een functionaris gegevensbescherming (FG) aan te stellen. Deze verplichting geldt voor overheidsorganisaties en organisaties als kerntaak hebben het op grote schaal volgen of observeren van personen. Meer informatie hierover vind je op de website van het AP.

Waarschijnlijk zal de APG nu nog te weinig capaciteit hebben om alle klachten te controleren en zullen ze zich vooral richten op bedrijven waar meerdere klachten over binnenkomen. Maar ja, wil jij het risico lopen?

aandachtspunten voor je nieuwsbrief

  • Zorg dat alle opt-ins die je hebt binnen je website, shop, social media en landingspagina’s voldoen aan de eisen.
  • Nog geen 16 jaar? Iemand met ouderlijk gezag moet (mede)toestemming geven.
  • Een ‘noreply@’-e-mailadres mag onder de nieuwe wetgeving niet meer. Als je dat nu gebruikt als afzender voor je (nieuwsbrief)mailverkeer, dan moet je dat aanpassen naar een adres waar de ontvanger wel naar kan mailen.
  • Er mogen niet meer gegevens worden gevraagd dan noodzakelijk is voor het doel waarvoor de gegevens worden verwerkt.
  • Uiteraard mag je natuurlijk niet meer mailen als iemand zich uitgeschreven heeft voor je nieuwsbrieven.

Dit zijn slechts enkele punten. Meer over de AVG en het versturen van nieuwsbrieven lees je in dit artikel.

Is er ook nog wat leuks te melden wat betreft het AVG?

Net als met het maken van een website gaat het niet altijd om de hoeveelheid kliks welke je krijgt. Het gaat om relevante kliks van echt geïnteresseerden. Dit levert je meer op dan de kwantitatieve hoeveelheid.

Zo ook wat betreft het AVG. Je kunt nu investeren in kwalitatief contact met een gerichte doelgroep/klant. Met een transparante communicatie zul je gerichter en ook persoonlijker communiceren wat waarschijnlijk meer oplevert. In ieder geval de waardering van je klanten ;)

Daarnaast wekt het vertrouwen op bij je (potentiële) klanten als jij je zaken omtrent de nieuwe Privacy Wet goed geregeld hebt. Niet alleen voor de wet maar ook omdat jij het zelf belangrijk vindt dat het duidelijk is dat je er alles aan doet om zeer vertrouwelijk met de gegevens van je klanten omgaat.

Voor de complete informatie over de AVG kijk op de website van Autoriteit Persoonsgegevens.

Geschreven door

Ingrid Bastiaansen - de Bont, oprichter en eigenaar ItDentity

Gespecialiseerd in grafische vormgeving, webdesign en SEO sinds 2000.

Interesse?

Vul je gegevens in en wij nemen snel contact met je op!

Internetbureau Breda

T 076 521 2308
M 06 10 48 06 48
E Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.
Kvk 20097820

 

Privacy reglement   |   Cookieverklaring   |   ItDentity Gewoon Grafisch Goed