Maak in 6 stappen je website AVG proof

In mei 2018 trad er een nieuwe Europese wet voor databescherming in werking; de General Data Protection Regulation (GDPR), oftewel de algemene verordening gegevensbescherming (AVG). Deze wet is een aanscherping en aanvulling op de wet bescherming persoonsgegevens, en is bedoeld om de privacy van burgers beter te beschermen. Dit heeft gevolgen voor je administratie, (IT) infrastructuur en je werkprocessen, en meestal ook voor je website. Veel bedrijven vragen zich af wat dit voor specifiek voor hun website betekent. Hieronder een samenvatting.

Ja! Het heeft bijvoorbeeld gevolgen voor je Privacy policy (als je die nog niet hebt, dan is dit het moment om er een toe te voegen), formulieren en Google Analytics settings.

Wat moet ik doen om te voldoen aan de GDPR / AVG wetgeving?

Je herinnert je misschien nog de Cookiewetgeving, waar strenge handhaving uitbleef en nu nog steeds veel websites geen cookiebar hebben. Deze nieuwe wetgeving is echter zo veel omvattender, omdat het zowel over je (online) middelen, infrastructuur als je interne processen gaat. De autoriteit Persoonsgegevens, die verantwoordelijk is voor de handhaving, heeft aangegeven dat er boetes tot 20 miljoen of 4% van je jaaromzet kunnen worden opgelegd. Het is koffiedik kijken in hoeverre ze hier heel strikt op gaan handelen vanaf mei. Het is wel waarschijnlijk dat de de hoogte van de boete afhankelijk gaat zijn van het type overtreding en je intentie.

Richting je sitebezoekers is het natuurlijk wel zo netjes om open en eerlijk te zijn over de manier waarop je met hun privacy omgaat. En de meeste punten in dit blog zijn snel uit te voeren.

Nope – de richtlijn gaat veel verder dan alleen je website. Ook voor je IT structuur, -dienstverleners en interne werkprocessen heeft dit gevolgen. Meer hierover vind je op de website van de Autoriteit Persoonsgegevens. Daarbij ben ik nu ook uitgegaan van een content website zonder al te complexe functionaliteit zoals koppelingen of e-commerce.

Heb je naar aanleiding van dit artikel nog vragen, opmerkingen of aanvullingen? Of heb je uitdagingen bij de implementatie hiervan? Laat het me weten! We helpen je hier ook graag bij, bijvoorbeeld door een AVG-scan te doen.

De bezoeker van je website, zowel B2C als B2B, moet kunnen inzien wat er met zijn persoonsgegevens gebeurt. Maak duidelijk welke gegevens je verwerkt en voor welk(e) doel(en). Gebruik eenvoudige en duidelijke taal. Naast het recht op verzet, inzage en rectificatie, heeft de bezoeker (de ‘betrokkene’) onder de GDPR ook het recht om vergeten te worden, het recht op overdraagbaarheid van zijn data (ook wel: dataportabiliteit), het recht de verwerking te beperken en het recht bezwaar te maken tegen bepaalde verwerkingen. De betrokkene heeft altijd het recht om bezwaar te maken tegen de verwerking van zijn gegevens voor direct marketingdoeleinden. Als de betrokkene zo’n bezwaar indient, dan mogen zijn gegevens niet meer voor marketingdoeleinden worden verwerkt. Let erop dat je systeem en service hier goede mogelijkheden voor hebben.

Pas je profiling toe op je website? Waarbij je bezoekers automatisch groepeert op basis van hun klikgedrag, om bijvoorbeeld relevante aanbiedingen te tonen of e-mail marketing campagnes op te sturen? Dit mag nog steeds, zolang dit geen ernstige nadelen (rechtsgevolgen) heeft voor de bezoeker. Ook moet je er duidelijk over communiceren: je moet informatie over de onderliggende algoritmes opnemen en de gevolgen voor de bezoeker benoemen.

Maak je gebruik van Google Analytics of andere vormen van tracking? Geef dan ook in je privacy statement aan welke aanpassingen je hebt gedaan (zie ook onder 4.).

Hiervoor geldt: vraag alleen gegevens die je echt nodig hebt om je doel te bereiken. Vaak genoeg worden al je contactgegevens uitgevraagd, terwijl de follow-up van een aanvraag bijvoorbeeld digitaal verloopt (complete adresgegevens zijn dan niet nodig). Kunnen er velden weggelaten worden? Bijkomend voordeel: kortere formulieren converteren doorgaans beter ?

Vraag je gevoelige informatie uit op je website? Vraag je dan af of dit ook via een alternatieve route kan, die beter te beveiligen is. Een bijlage met bijvoorbeeld medische informatie kun je ook achteraf laten versturen via secured e-mail. Benoem het doel van deze gegevens in je privacy policy, zodat duidelijk is voor welk doel de gegevens wel (en ook vooral waarvoor ze niet) worden gebruikt.

Ingevulde formulieren krijg je meestal via de mail binnen. Vaak worden de berichten ook in de database en/of het CMS opgeslagen. Vraag jezelf af of dit echt nodig is. En als dit nodig is (bijvoorbeeld als backup wanneer een mail niet aankomt of per ongeluk wordt verwijderd), hoe lang je ze dan wilt bewaren. Je kunt deze bijvoorbeeld na x dagen automatisch laten verwijderen.

Elk CMS en elke website heeft zijn eigen plugins en processen die in de achtergrond persoonsgegevens zouden kunnen verwerken. Vaak zijn hiervan de (standaard)instellingen aan te passen. Check bij je beheerpartner of dit van toepassing is. Binnenkort publiceren we bij acato een ‘part two’ van dit thema over de instellingen die wij in WordPress websites toepassen voor onze klanten, en wat hierin de mogelijkheden zijn op het vlak van privacybescherming.

Elke pagina waar persoonsgegevens worden verzameld, moeten beveiligd zijn met https (dmv een SSL certificaat). Dit zorgt ervoor dat de gegevens die je bezoeker invult, versleuteld worden verstuurd. Je herkent zo’n beveiliging aan ‘https://’ in de menubalk. Dit kun je op specifieke pagina’s toepassen, of op je volledige website.

Als je Google Analytics gebruikt, verwerk je daarmee gegevens zoals IP-adressen, die ook onder persoonsgegevens vallen.

Kort samengevat;

• Sluit een bewerkersovereenkomst met Google af. Had je er al een afgesloten? Accepteer dan de gewijzigde versie.
• Zorg dat de laatste 8 bits (het laatste octet) van de IP adressen wordt afgeschermd voor Google (Anonymize IP). Hierbij worden de laatste 3 cijfers van de IP adressen niet meegenomen.
• Vink de standaardinstelling ‘Gegevens delen met Google’ uit.
• Schakel de functie voor User ID’s uit waarmee je surfgedrag over meerdere apparaten kunt koppelen aan dezelfde gebruiker.
• Cookiemelding: Persoonsgegevens en pseudo-anonieme data (zoals tracking cookies) mogen met expliciete opt-in en opt-out worden gebruikt voor gespecificeerde, expliciete en rechtmatige doeleinden en niet verder worden verwerkt op manieren die niet verenigbaar zijn met deze doeleinden. Zonder toestemming van de bezoeker mag je officieel geen tracking gebruiken. Ook moet je duidelijk vermelden welke data worden verzameld en voor welke doeleinden deze worden gebruikt. Doordat dit voor de gebruiker een drempel betekent, vangen veel sites dit af met een cookiewall of impliciete opt-in, waarbij je bij verder gebruik van de site akkoord gaat. Als iemand in het verleden toestemming heeft gegeven voor het verwerken van zijn of haar persoonsgegevens, moet hij of zij zich vervolgens op elk moment op eenvoudig kunnen afmelden door middel van een opt-out. Er volgt nog een aparte e-Privacy wetgeving die de bestaande cookiewet gaat vervangen, maar de GDPR geeft wel aan welke gegevens je mag verzamelen en hoe.
• Geef in je privacy statement aan dat je bovenstaande acties hebt toegepast; zie ook de instructie van de Autoriteit Persoonsgegevens voor een voorbeeld.

Sinds 2016 is het voor de Wet Bescherming Persoonsgegevens (Wbp) verplicht om als eigenaar van een website een verwerkersovereenkomst (voorheen bewerkersovereenkomst) te hebben met de partij die de website beheert. De persoonsgegevens die op je website worden gebruikt, worden opgeslagen op de server van het webbureau en/of zij hebben vaak toegang tot de gegevens voor beheerdoeleinden. Als eigenaar van de website heb je de rol als Verantwoordelijke en ben je aansprakelijk bij eventuele datalekken. Daaronder wordt verstaan de toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens door onbevoegden. Zorg dat je overeenkomst vanaf mei ook voldoet aan de volgende verplichte onderdelen;

• het doel van de verwerking;
• het soort persoonsgegevens dat wordt verwerkt;
• de categorieën van betrokkenen;
• dat passende beveiligingsmaatregelen zullen worden genomen;
• dat de bewerker meewerkt aan audits om te controleren of de bewerker zich aan alle verplichtingen houdt, en
• na afloop van de verwerking vernietiging of retourneren van de persoonsgegevens aan de verantwoordelijke.
• de bewerker mag niet meer een derde partij inschakelen zonder de voorafgaande schriftelijke toestemming van de verantwoordelijke.

Bij acato is een bewerkersovereenkomst sinds 2016 een vast onderdeel van de beheerovereenkomst.