Hoe maak je je website ‘AVG-proof’: wat je moet weten.

Voordat we verder uitwijden over de impact van de AVG op jouw organisatie is het goed om te weten dat:

• Deze gids bedoeld is om bedrijven handvatten te bieden hoe je je website moet aanpassen om ervoor te zorgen dat het aan de vereisten van de AVG voldoet.
• De implicaties van de AVG verder reiken dan alleen je website. Deze gids is niet geschreven om je te laten zien hoe je aan alle facetten van de AVG voldoet.
• Het pas in de komende jaren duidelijk gaat worden wat de impact van de AVG precies zal zijn. Er zijn een aantal zaken waar rechters, wethouders & juristen zich over uit moeten buigen en er zal in de komende jaren ongetwijfeld meer duidelijk worden over wat deze nieuwe wetgeving concreet betekent. Bijvoorbeeld:
  • Wordt een ‘silent consent’ toegestaan of krijgen we straks op elke website een pop-up waarbij je ‘moet’ accepteren of je de website niet kan gebruiken?
  • Vanuit de Europese Commissie is gecommuniceerd dat het opslaan van B2B data niet onder de scope valt van de AVG. Maar zodra in die data individuen geïdentificeerd kunnen worden valt het wel weer onder de AVG. Hoe gaan rechters dit behandelen?
• Onze adviezen in dit artikel niet dienen als sluitend juridisch advies. Er kunnen geen rechten aan ontleend worden. We raden je aan om altijd eigen onderzoek te doen wat de AVG concreet voor jouw bedrijf/branche betekent in samenwerking met een juridisch adviseur gespecialiseerd in privacy wetgeving.

In het kort: de basisprincipes van de AVG wetgeving

De GDPR-wetgeving heet in Nederland ‘AVG’ (Algemene Verordening Gegevensbescherming, vervanger van de ‘Wbp’) en beslaat maar liefst 99 artikelen. In beginsel is er sprake van diverse basisprincipes die voor elke organisatie gelden:

• Rechtmatigheid, eerlijkheid en transparantie – persoonlijke data dient op een rechtmatige, eerlijke en transparante manier verkregen en verwerkt te worden in relatie tot personen waar de data betrekking op heeft.
• Integriteit en vertrouwelijkheid – er dient sprake te zijn van adequate beveiliging van persoonlijke data, inclusief maatregelen tegen ongeautoriseerde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
• Data-minimalisering – alleen data opslaan en gebruiken welke noodzakelijk is en welke uitsluitend beschikbaar is voor medewerkers die de data nodig hebben voor bedrijfsdoeleinden.
• Afbakening van het doel – persoonlijke data mag uitsluitend worden gebruikt voor duidelijke en rechtmatige doelen.
• Afbakening van de opslag – persoonlijke data wordt niet langer opgeslagen dan noodzakelijk is.

Wat betekent dit concreet voor je website?

De AVG heeft impact op de volgende 4 aspecten van je website. We nemen je stap voor stap mee om te laten zien hoe je aan al deze punten kan voldoen.

1. Privacy- en cookieverklaring

Wat moet er gebeuren?

Een van de sleutelpunten van de GDPR is dat organisaties transparant moeten zijn en te allen tijde moeten kunnen aantonen hoe ze persoonsgegevens verzamelen, toepassen, hoe lang ze deze bewaren én met welke (eventuele) derde partijen ze deze data delen.

Hoe aanpakken?

• Voorop: maak gebruik van eenvoudig taalgebruik. Privacy en cookieverklaringen moeten zometeen ook begrijpbaar zijn voor mensen die geen juridische of technische kennis van zaken hebben.
• Je privacyverklaring moet (in ieder geval) de volgende elementen bevatten:
  • Beschrijven welke maatregelen je neemt of hebt genomen om persoonsgegevens die je verzameld hebt te bewaren en te beveiligen.
  • De bewaartermijn van de verschillende typen data die je verzamelt beschrijven. Maak een lijst met datapunten die je verzamelt via verschillende databronnen en bepaal per datapoint een bewaartermijn. Voor Google Analytics cookies is dit bijvoorbeeld standaard ingesteld op twee jaar maar hebben ze sinds kort functies geïntroduceerd om dit zelf aan te passen. De mogelijkheden die je hierbij hebt zijn: 14 maanden, 26 maanden, 38 maanden, 50 maanden of “niet automatisch verwijderen”.
  • Expliciet benoemen dat mensen altijd hun eigen persoonsgegevens op aanvraag kunnen inzien, corrigeren of kunnen verwijderen. Doe dit bijvoorbeeld door een formulier of contactadres op je website en daarin het proces te vermelden. Bijvoorbeeld: “Mail naar persoonsgegevens@bedrijf.nl welke gegevens we uit onze database moeten verwijderen. Wij reageren binnen 5 werkdagen op deze mail. De gegevens worden binnen 10 werkdagen uit onze systemen verwijderd en u ontvangt hiervan een bevestiging per mail.”
  • We raden aan om expliciet te benoemen dat mensen altijd hun eigen persoonsgegevens op aanvraag kunnen inzien, corrigeren of kunnen laten verwijderen.
  • Vermeld de mogelijkheid voor het indienen van een klacht en de rechten van de bezoeker van je website.
• Je cookieverklaring moet (in ieder geval) de volgende elementen bevatten:
  • Beschrijf wat cookies zijn, welke cookies je website gebruikt, welke data die cookies verzamelen en met welke doeleinden je deze gebruikt. Je hebt in de basis drie type cookies (in #2 wordt hier uitgebreider op ingegaan): Essentiële cookies, Functionele cookies en Prestatie verbeterende cookies.
  • Ook geef je hierin aan met welke derde partijen deze data gedeeld wordt en waarom.
    

2. Cookiebar & Opt-in en opt-out mogelijkheden

Wat moet er gebeuren?

Het uitgangspunt is dat voor alle bekende vormen van tracking door middel van cookies een opt-in en opt-out mogelijkheid vereist is. Dat wil zeggen dat de bezoeker van je website zelf de mogelijkheid moet krijgen om bepaalde cookies wel en andere cookies niet te gebruiken.

Hoe aanpakken?

• Wij werken met de tool www.cookiebot.com. Deze tool biedt de mogelijkheid voor gebruikers tot een opt-in en opt-out, om zodoende verschillende cookies wel- of niet toe te staan.
• Hierbij is het aan te raden om je cookies op te splitsen in in ieder geval 3 verschillende soorten cookies:
  • Essentiële cookies: hiervoor hoef je geen nadrukkelijke toestemming te krijgen. Dit gaat bijv. om een cookie die je gebruikt om mobiele gebruikers automatisch te redirecten naar de mobiele website.
  • Functionele cookies: moet je enkel over informeren in de cookie of privacy verklaring. Dit zijn bijv. cookies op Marktplaats.nl die onthouden de postcode die je een tijdje geleden hebt ingevoerd: zodat je gemakkelijk opnieuw kunt zoeken.
  • Prestatie verbeterende cookies: hiervoor moet je nadrukkelijk toestemming krijgen door bijv. een volledig geaccepteerde cookieverklaring. Deze cookies worden ook wel marketing cookies genoemd en zijn enkel in gebruik om je websiteverkeer te analyseren voor non-essentiële doeleinden. Remarketing cookies & pixels, die komen over het algemeen in deze categorie.
• Je moet een afweging maken tussen ‘silent’- & ‘active consent’. Wanneer iemand de cookiemelding negeert kan je ervoor kiezen om cookies te plaatsen op basis van ‘silent consent’. Silent consent is vanaf 25 mei discutabel. De tijd zal uitwijzen of dit een gangbare manier van tracking blijft. Active consent houdt in dat je pas begint met tracken vanaf het moment dat de gebruiker de cookies bewust heeft geaccepteerd.
• Wanneer je gebruik maakt van ‘active consent’ raden we aan om gebruik te maken van een pop-up die mensen direct krijgen bij het openen van je website voor de eerste keer. Op deze manier krijg je de mogelijkheid om alsnog van al je gebruikers data te verzamelen voor remarketing e.d. tools.

3. Formulieren en accounts

Wat moet er gebeuren?

Bijna elke website maakt wel gebruik van formulieren of biedt gebruikers wel de mogelijk om in te loggen. De GDPR zou de GDPR niet zijn als hier niet ook wijzigingen in zullen plaatsvinden.

Hoe aanpakken?

• Je moet altijd kunnen verantwoorden waarom je om welke data vraagt. Je mag dus enkel vragen om informatie die noodzakelijk is om het doel van de klant te bereiken.
• Je mag geen checkboxes gebruiken waarmee gebruikers in 1 klik verschillende soorten verklaringen accepteren. En let op: geen standaard vooraf ingevulde ‘check-boxes’. Bezoekers moeten zelf een keuze maken om een bepaalde optie ‘aan te vinken’.
• Bij e-mail opt-ins moeten gebruikers een ‘dubbele opt-in’ doorvoeren. Dat wil zeggen: eerst een nieuwsbrief aanvraagformulier invullen en vervolgens in hun inbox bevestigen dat ze deze nieuwsbrief willen ontvangen.

4. Beveiliging & bewaring van persoonsgegevens

Wat moet er gebeuren?

Als bedrijf krijg je zometeen meer verantwoordelijkheden om persoonsgegevens te beschermen. Je moet actief maatregelen nemen om je website & servers te beveiligen tegen onrechtmatige toegang en misbruik.

Hoe aanpakken?

• Alles in HTTPS (versleutelde encryptie) waardoor gegevens versleuteld worden, worden doorgestuurd naar een database. Anders is het voor hackers te makkelijk om data af te vangen en te ontsluiten.
• Zorgen dat alle software op je website up-to-date is (inclusief plug-ins, extensies & widgets).
• Iedereen die toegang heeft tot uw CRM & CMS moet een geldige reden hebben om inzicht hebben in die gegevens.
• Gebruikers moeten altijd het recht kunnen hebben om een aanvraag in te dienen om hun gebruiksdata te laten corrigeren, te laten verwijderen of in te kunnen zien.
• Maak iemand verantwoordelijk voor het nastreven van alle beleidsregels zowel extern als in de interne organisatie en noem deze persoon in je privacyverklaring met naam & email adres.

Tot slot

Zoals eerder al gemeld: de GDPR gaat om meer dan alleen het aanpassen van privacy statements op je website. Deze gids helpt je enkel en alleen om inzichtelijk te krijgen in hoeverre je website nu al voldoet aan de GDPR eisen en welke facetten van je website je in ieder geval nog moet aanpassen. Onderstaand nog twee zaken die we nog niet expliciet hebben benoemd, maar welke wel deel zijn van een volledige GDPR-implementatie:

• het bijhouden van een verwerkingsregister (registratie van de verwerking van data)
• het afsluiten van verwerkersovereenkomsten (contract tussen beheerder en verwerker van data)

Om er zeker van te zijn dat je organisatie ‘GDPR-proof’ is, is het belangrijk om dit met een juridisch adviseur te bespreken. Mocht je vragen hebben over de inhoud van dit artikel, laat het ons weten uiteraard ook weten. We denken graag met je mee :-).