Je website en de nieuwe wet AVG
Per 25 Mei 2018 is de nieuwe wet AVG van toepassing: de Algemene Verordening Persoonsgegevens. Deze wet is onderdeel van de wereldwijde GDPR (General Data Protection Regulation) en moet ervoor gaan zorgen dat onze persoonsgegevens beter beschermd zijn en niet klakkeloos overgenomen mogen worden. Je website en de nieuwe wet AVG zijn onlosmakelijk met elkaar verbonden.
We vertellen je hier meer over de regels met betrekking tot de wet AVG en je website. Maar wel even een flinke disclaimer: we hebben ons verdiept in het onderwerp, maar zijn geen juristen. We hebben hier niet voor geleerd, we delen slechts deze informatie met je. Laat je eigen documenten altijd checken door een jurist of advocaat.
Inhoudsopgave
- Wat zijn persoonsgegevens?
- Wat zijn de belangrijkste punten waar je aan moet denken?
- Verwerkersovereenkomst
- Privacy Verklaring
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle gegevens die betrekking hebben op een persoon of kunnen leiden naar een persoon. Dat zijn dus bijvoorbeeld naam, adres, telefoonnummer, website, BTW nummer, IP adres of meer.
Wat zijn de belangrijkste punten waar je aan moet denken wat betreft de wet AVG en je website?
1. Plaats een Privacy verklaring op je website
Je bezoekers en/of klanten moeten weten en inzichtelijk hebben wat jij met hun gegevens doet. En ook al weet jij dat je er netjes mee om gaat en de gegevens goed beschermd: je moet het wel beschrijven, want je bezoekers heeft geen idee.
Wanneer je erover gaat nadenken dat verzamel je nogal wat persoonsgegevens: in je contactformulier, bij het plaatsen van een bestelling, bij het verzamelen van emailadressen voor je emailmarketing, cookies voor Google Analytics, een pixel voor Facebook of Hotjar en wellicht nog veel meer. Deze maken ook wel gebruik van zogenaamde cookies. Over al deze data die je website verzameld moet je verantwoording afleggen in je privacy verklaring. Je moet dan dus ook weten wat de betreffende bedrijven met deze informatie doen en hoe de informatie wordt beschermd. Dit is terug te vinden op de websites van deze bedrijven.
Vertel in je privacy policy wat je met de gegevens doet en hoe je ze beschermd. En denk niet dat je geen gegevens deelt met anderen, want als je een van de bovenstaande diensten gebruikt, dan deel je de gegevens ook met hen (ook al lijkt het van niet, het is wel zo). Vertel ook met welk doel je de persoonsgegevens gebruikt en hoe lang je de gegevens bewaard. En leef dit ook na.
Verder moet je nadenken over wie er allemaal bij de persoonsgegevens kan komen: wie heeft er allemaal toegang toe? Wie kan er allemaal in je website?
2. Laat bezoekers expliciet toestemming geven voor de verwerking van hun gegevens
Heb je een inschrijving voor een nieuwsbrief op je website staan? Vertel dan altijd expliciet wat je met het emailadres gaat doen: je bezoeker moet snappen dat je het gaat gebruiken voor commerciële doeleinden. Vertel hoe vaak iemand een mailing kan verwachten en link naar je privacy verklaring. Laat je bezoeker een vinkje aanvinken om akkoord te gaan met de inschrijving. Zo is het een actieve handeling die je bezoeker moet uitvoeren waardoor het een bewuste keuze zal zijn.
Voor het invullen van een contactformulier hoef je in principe geen vinkje aan te vinken voor akkoord, mits je het emailadres alleen gebruikt voor het beantwoorden van de vraag die gesteld wordt (en dus niet het emailadres toevoegt op je mailinglijst). Het is wel heel netjes om dat even bij het contactformulier erbij te vermelden.
3. Zorg voor een beveiligde verbinding middels een SSL Certificaat
Zodra je website persoonsgegevens verwerkt is het belangrijk dat je een beveiligde verbinding hebt. Deze kun je realiseren door middel van een SSL certificaat. En deze is belangrijk: een SSL certificaat zorgt ervoor dat de verbinding tussen je website bezoeker en je website beveiligd is door middel van encryptie. Dit betekend dat deze verbinding ontzettend moeilijk te hacken is door mensen die fout willen.
Iedere website gebouwd op basis van een open source software (zoals Joomla, WordPress, PrestaShop e.d.) zou een beveiligde verbinding moeten hebben omdat er voor het onderhoud gebruik wordt gemaakt van een backend. Deze backend bereik je via een speciale link met inlog. Daarachter zit al die gevoelige informatie. Wanneer die verbinding niet beveiligd is zijn ook de gegevens niet veilig.
Daarnaast heeft vrijwel iedereen een contactformulier op de website staan. Daarin deelt met persoonsgegevens en dus moeten deze volgens de nieuwe wet voldoende beveiligd zijn. Zonder SSL certificaat is dat niet het geval.
Heb je een webshop? Dat is het hebben van een SSL certificaat helemaal een must, want dan worden er zelfs betalingsgegevens uitgewisseld.
4. Plaats een cookiebar
Je kent ze wel, een melding boven of onder op een website die je laat weten dat de website die je bezoekt gebruik maakt van cookies en dat je daarmee wel of niet akkoord kan gaan.
Er zijn verschillende soorten cookies:
- Noodzakelijke cookies. Deze zijn nodig voor het normaal kunnen functioneren van een website en bevatten geen persoonsinformatie.
- Voorkeurscookies. Deze zorgen ervoor dat de website optimaal gebruiksgemak biedt voor je bezoeker. Zo ziet en onthoud de website je voorkeurstaal, items die er in het winkelmandje zijn gedaan en meer.
- Statistische cookies. Deze geven website eigenaren inzicht in het gebruik van de website door de bezoekers. Hieronder valt bijvoorbeeld Google Analytics
- Marketing cookies. Deze worden gebruikt voor marketing doeleinden. Deze cookies “onthouden” welke websites je hebt bezocht om je op diverse plekken gerichte advertenties te kunnen tonen. Ook wel tracking cookies genoemd.
Noodzakelijke en voorkeurscookies zijn noodzakelijk en hoeft je bezoeker geen akkoord op te geven. Ook omdat deze cookies niet tot zeer slecht te herleiden zijn tot de persoon zelf.
Statistische en marketing cookies daarentegen moet je bezoeker toestemming voor geven. Zeker wanneer je je gegevens in Google Analytics niet hebt geanonimiseerd.
Om je bezoekers toestemming te laten geven voor deze cookies is een cookiebar verplicht. Deze kunnen wij uiteraard voor je instellen. Wil je dat graag, stuur ons dan even een mail.
Je ziet ook wel eens websites die je niet kan betreden zonder dat je akkoord bent gegaan met de cookies. Dat heet een cookiewall en mag vanaf 25 Mei niet meer. Websites moeten ten alle tijden toegankelijk zijn.
Wanneer je geen statistische en/of marketing cookies verzameld, of alleen anoniem, dan is een cookiebar niet nodig.
5. Zorg ervoor dat je bezoekers/gebruikers hun gegevens kunnen inzien en kunnen verwijderen
Binnen de AVG wet heb je het recht op vergetelheid van je gegevens. Daarvoor kan je gegevens anonimiseren of geheel verwijderen. In ieder geval moeten klanten inzage krijgen in hun gegevens en op basis daarvan kunnen beslissen wat ze daarmee willen doen.
WordPress 4.9.6 is onlangs uitgebracht. Daarin zijn verschillende wijzigingen mee genomen voor om aan de AVG wet te voldoen. Je leest er meer over in dit blog.
PrestaShop heeft een hele module in het leven geroepen om aan de AVG wet te kunnen voldoen. De module vind je hier.
Verwerkersovereenkomst
Hiervoor ging het vooral over hoe jij met de persoonsgegevens omgaat van jouw klanten. Maar er zijn meer personen of bedrijven die bij de gegevens kunnen.
Wie beheert bijvoorbeeld je website? Misschien beheer je je website zelf, maar ook je webbouwer kan erin. Feitelijk kan die dus bij de persoonsgegevens van jouw klanten. En wat dacht je van je hostingpartij? Ook die kan feitelijk bij de persoonsgegevens van jouw klanten komen.
En hoe zit het met je administratie? Heb je een boekhouder? Ook die kan dan dus bij de persoonsgegevens van jouw klanten.
Met alle partijen die bij de persoonsgegevens van jouw klanten kunnen komen moet je een verwerkersovereenkomst afsluiten. Ben jij een klant van ons? Dan komt die eraan!
De Privacy verklaring van Madoo
Zoals gezegd zijn wij geen juristen, maar wij hebben wel ons best gedaan op een goede privacy verklaring. Deze kan je gebruiken ter inspiratie. Heb je vragen over je website en de nieuwe wet AVG en het toepassen ervan? Je mag ons altijd bellen of mailen.
Laat in een reactie hieronder weten of het toepassen van de wet AVG op jouw website je is gelukt en hoe jij het aangepast hebt. Vinden we leuk!