Wat verandert er op uw website door de AVG?

|

Op 25 mei 2018 wordt de Wet bescherming persoongegevens (Wnp) vervangen door de Algemene verordering gegevensbescherming (AVG). De nieuwe wet omtrent gegevensbescherming geldt voor alle organisaties die binnen de Europese Unie opereren. Welke maatregelen moeten er genomen worden op websites om aan deze nieuwe eisen te voldoen? Om deze vraag te beantwoorden, zal er eerst gekeken moeten worden naar wat er precies gaat veranderen bij de invoering van de AVG;

  • De privacyrechten worden verder uitgebreid en versterkt, hierdoor krijgen mensen meer mogelijkheden om de verwerking van gegevens door bedrijven in eigen hand te houden.
  • Organisaties krijgen meer verantwoordelijkheid, zo is het melden van het verwerken van persoongegevens bij de Autoriteit Persoonsgegevens niet meer nodig.
  • Waar voorheen elke EU lidstaat een eigen privacywetgeving had, gebaseerd op privacyrichtlijnen uit 1995, geldt de nieuwe AVG voor alle EU lidstaten. De AVG is hierbij geldig voor álle organisaties die persoonsgegevens verwerken.

Persoonsgegevens verzamelen en/of verwerken

Persoonsgegevens mogen niet zomaar verzameld en/of verwerkt worden, daar moet een reden (grondslag) voor zijn. Bewaar of verwerk je persoonsgegevens? Dan dien je dit aan het begin (dus bij de grondslag) te melden aan de desbetreffende persoon. De (nogal) voor de hand liggende handelingen hoef je niet te melden, bijvoorbeeld:

Vult iemand een contactformulier in en gebruik je deze gegevens alleen om contact op te nemen met deze persoon dan hoef je dit niet te vermelden in een privacyverklaring en hoeft die persoon daar dus ook geen toestemming voor te geven.

Maar let op! Als je vervolgens alleen al de e-mail met deze gegevens in je e-mail box bewaart (let ook op backup systemen), dan ben je persoonsgegevens aan het bewaren en dien je dit te melden. Daarnaast bewaren (CMS) systemen bijna altijd een kopie van de ingevulde gegevens in de database. Ook dat dient vermeld te worden.

Overigens is het niet meer toegestaan persoonsgegevens te verzamelen die helemaal niet relevant zijn. Wie bepaalt wat wel of niet relevant is moet nog blijken, maar denk in elk geval in de richting dat je niet naar een BSN nummer mag vragen als je iemand alleen hoeft terug te bellen.

Privacyverklaring (Privacy Policy)

Dus we moeten al snel toch een privacyverklaring aanmaken met daarin de juiste beschrijving wat er met de ingevulde persoonsgegevens wordt gedaan.

In deze privacyverklaring beschrijven we onder andere:

  1. Welke gegevens worden opgeslagen;
  2. Voor hoe lang deze gegevens worden opgeslagen;
  3. Eventueel met wie deze gegevens kunnen worden gedeeld;

Google Analytics

Het is mogelijk Google Analytics te blijven gebruiken zonder daarmee met allerlei verplichte cookiemeldingen in de problemen te komen. Daarvoor moeten er wel een aantal stappen ondernomen worden. Google Analytics werkt dan nog prima voor je website, de statistieken zijn dan voor veel van de MKB bedrijven prima. Sterker nog, wij verwachten dat deze bedrijven na de ondernomen stappen geen verschill merken in hun rapportage van de website statistieken.

Ga akkoord met Gegevensverwerking Google (Verwerkingsovereenkomst)

Net als met ieder ander bedrijf, waarmee je (mogelijk) persoonsgegevens deelt, dien je ook met Google een verwerkingsovereenkomst te sluiten. Die heeft Google al aangemaakt, daar dien je dus alleen akkoord mee te gaan. Gelukkig moet ook Google zich aan de wetten houden, dus wij gaan er vanuit dat deze voor beide partijen voldoende is.

Formeel gezien kunnen wij niet akkoord gaan voor iemand anders dan ons zelf. Wij adviseren iedereen dan ook in te loggen bij Google Analytics en akkoord te gaan met deze verwerkingsovereenkomst.

Stop met het delen van gegevens binnen Google

Standaard staan er binnen een Google Analytics account meerdere opties voor het verzamelen en delen van gegevens met Google ingeschakeld. Een deel van deze opties kun je vinden door in te loggen bij Google Analytics en te gaan naar 'Beheer > Accountinstellingen'. Wat deze precies inhouden kun je hier ook lezen.

  • Producten en services van Google
  • Benchmarking
  • Technische ondersteuning
  • Accountspecialisten
  • Geef alle Google-salesexperts toegang

Daarnaast kun je gaan naar 'Beheer > Property-instellingen'. Daar staan nog een aantal opties inzake het verzamelen van gegevens:

  • Rapporten over demografische en interessecategorieën inschakelen
  • Uitgebreide linktoeschrijving gebruiken
  • Gebruikersstatistiek inschakelen in rapporten

Daarnaast kunt u gaan naar 'Beheer > Trackinginfo > Gegevensverzameling'. Daar staan nog een aantal opties inzake het verzamelen van gegevens:

  • Remarketing
  • Rapportagefuncties voor advertenties

Wij adviseren je al deze opties uit te schakelen. Door deze uit te schakelen hoef je geen (uitgebreide) cookiemelding te tonen op je website.

Het is zeker mogelijk dat een aantal van deze opties al bij jou uit staan. Daarnaast is het ook mogelijk dat je deze functionaliteiten blijft gebruiken en dus aan laat staan. In dat geval dien je de bezoekers van jouw website daarover wel te informeren in een (uitgebreide) privacy verklaring.

Een website partner kan (met de benodigde toegang) uiteraard zonder problemen deze instellingen voor je aanpassen. Wij hebben dit voor (vrijwel) al onze klanten met een Service overeenkomst al gedaan. Een paar van onze klanten gebruiken uitgebreide statistieken van Google, met in sommige gevallen een cookiemelding. Wij nemen in mei contact op met deze klanten om diegene te adviseren.

Pas de Google Analytics trackingcode aan

Door aan de trackingcode van Google wat instellingen mee te geven zorg je ervoor dat de gegevens echt anoniem worden verzameld. Wij begrepen dat hierdoor bijvoorbeeld een IP adres eerst wordt geanonimiseerd alvorens het op de servers van Google wordt opgeslagen. Daarnaast is het fijn dat deze handeling ook echt via SSL gebeurd. Hiervoor dien je 2 instellingen mee te geven, te weten:

  • ga('set', 'forceSSL', true) //Gebruik https
  • ga('set', 'anonymizeIp', true) //zet IP-masker aan

Een website partner kan dit uiteraard zonder problemen doorvoeren. Wij hebben dit voor (vrijwel) al onze klanten met een Service overeenkomst al gedaan. Een paar van onze klanten gebruiken uitgebreide statistieken van Google, met in sommige gevallen een cookiemelding. Wij nemen in mei contact op met deze klanten om diegene te adviseren.

E-mail nieuwsbrief (opt-in)

Je mag al jaren niet zomaar iemand toevoegen aan je e-mail nieuwsbrief, dit is zelfs strafbaar. De regels rondom het opslaan en verwerken van een naam en e-mail adres zijn, met de AVG, wel aangescherpt. Maar de manier waarop iemand zich dient aan te melden en moet kunnen afmelden, is (nog steeds) door een actieve handeling van de bezoeker. Dus iemand moet een vinkje aan zetten en moet zich eenvoudig kunnen afmelden. Een vinkje vooraf al aangevinkt zetten mag niet.

Kort samengevat dient iedereen zich, voor het versturen van e-mails, sms berichten en appjes, te houden aan het volgende:

  • Zonder uitdrukkelijke toestemming mag je iemand niet commercieel mailen
  • Je dient duidelijk aan te kunnen tonen dat iemand toestemming heeft gegeven
  • Iedereen moet zich makkelijk kunnen afmelden, dat hoeft niet zozeer 1 klik op een knop te zijn
  • In de e-mail moet de afzender duidelijk zichtbaar zijn

Meer lezen over dit onderwerp?

Gegevensbescherming (Security)

Last but not least: je moet kunnen aantonen dat je je uiterste best doet cq. hebt gedaan om deze (persoons) gegevens veilig te bewaren / verwerken.

Wat betekent de AVG voor uw website?

Heeft je website een formulier, dan is er al snel toch een privacyverklaring nodig. Zorg dat iedereen die het formulier gebruikt ook echt akkoord moet gaan met de privacyverklaring en bewaar dit akkoord goed. Daarnaast is dan ook een HTTS verbinding (via een SSL certificaat) een vereiste. We moeten namelijk voorkomen dat de ingevulde gegevens in verkeerde handen terecht komen.

Bekijk ook alle informatiestromen van je website goed. Gebruik je een CMS systeem? Controleer goed hoe deze staat ingesteld. Slaat deze gegevens op, zorg er dan voor dat dit wordt ingesteld in overeenkomst met de privacyverklaring. Creëer daarnaast een (kleine) procedure om ook te voldoen aan de maximale bewaartermijn. Veel CMS systemen zijn er namelijk niet op gemaakt om gegevens na verloop van tijd echt te verwijderen uit een database.

Bij veel van onze klanten volstaat de website door het toevoegen van een vinkje bij de (contact)forumlieren en het aanmaken of aanpassen van een privacyverklaring. Voor al onze klanten met een service overeenkomst zullen wij ervoor zorgen dat deze aanpassing op tijd wordt doorgevoerd. Bij klanten waarbij deze aanpassingen gecompliceerder liggen, zullen wij in mei contact opnemen.

Meer informatie? Bekijk ook de website van de Autoriteit Persoonsgegevens.