Ik schreef al eerder over de nieuwe privacywet (de AVG), die op 25 mei 2018 in gaat. In dit artikel bespreek ik wat jij moet doen voor je website om aan deze AVG te voldoen. Een handig stappenplan. Hoe ik je daarbij kan helpen lees je onderaan dit artikel.
1 Zet een privacyverklaring op je website
Stel zelf een privacyverklaring op. Zorg ervoor dat betrokkenen naar de privacyverklaring worden verwezen:
- via een link op je website,
- op (inschrijf)formulieren op je wesite,
- in e-mails, brieven of overeenkomsten.
Hier vind je mijn privacyverklaring: Alva Design privacyverklaring.
Een handige tool hiervoor is de Privacyverklaring Generator.
Op de website van Charlottw’s Law staat een handige checklist.
Bij Hosting2Go kun je een voorbeeld van een privacyverklaring downloaden. Deze is juridisch nagekeken (maar er kunnen geen rechten aan worden ontleend).
2 Pas de formulieren op je website aan
Als je een contact-, bestel- of reserveringsformulier op je website hebt moet je op elk formulier aangeven dat je zorgvuldig omgaat met de persoonsgegevens van diegene die het formulier invult. Zorg er voor dat je deze gegevens alleen gebruikt om contact op te nemen, een bestelling toe te sturen of een reservering te maken.
Voeg een vakje aan elk formulier toe met bijvoorbeeld deze tekst:
Over persoonsgegevens
Ik heb kennis genomen van de privacyverklaring (link) van [jouwbedrijf] en ga hiermee akkoord.
[ ] Akkoord (aanvinkvakje).
Maak dit vakje verplicht om in te vullen.
Je mag zonder expliciete toestemming (opt-in) iemand die eencontact-, bestel- of reserveringsformulier invult niet abonneren op een nieuwsbrief of een andere mailing. Als organisatie moet je kunnen aantonen dat een bezoeker vrijwillig en specifiek voor bepaalde informatie toestemming heeft gegeven. Wil je dus dat een websitebezoeker zich aanmeldt voor je nieuwsbrief? Doe dit dan via een apart aanvinkvakje. Hierbij is het belangrijk dat je specifiek en duidelijk uitlegt welke informatie je toestuurt. Vermeld ook in welke vorm en frequentie je dit wilt doen. Het gebruik van voor-aangevinkte vakjes is niet langer is toegestaan.
3 Vraag actief akkoord voor cookies
Er bestaan verschillende soorten cookies:
- Functionele cookies – Deze cookies zijn nodig om je website te laten werken. Denk aan het tonen van een product in het winkelmandje of cookies die onthouden of je bent ingelogd.
- Analytische cookies – Hiermee krijg je inzicht in de statistieken van je website. Google Analytics maakt bijvoorbeeld gebruik van analytische cookies.
- Marketing-cookies (ook wel tracking-cookies genoemd) – Met deze cookies volg je het surfgedrag van bezoekers. Bedrijven kunnen met deze informatie gerichte aanbiedingen doen.
Je websitegebruikers hoeven geen toestemming te geven voor functionele cookies.
Analytische cookies mag je toepassen, mits ze voor eigen gebruik zijn en niet gedeeld worden met derden. Gebruik je Google Analytics? Stel Google Analytics dan ‘privacyvriendelijk’ in. In de handleiding van de AP (PDF) lees je hoe dit werkt.
Voor het gebruik van marketing-cookies moet je toestemming blijven vragen. Bovendien kunnen internetgebruikers met ingang van 2019 via hun browserinstellingen marketing-cookies accepteren of weigeren. De instellingen mogen niet worden genegeerd, wel mag je vragen of een gebruiker alsnog de marketing-cookies wil toestaan. Een cookie-wall – het niet weergeven van de website voor bezoekers die niet akkoord gaan met cookies – is niet langer toegestaan.
Ga na welke cookies je gebruikt op je site. Verwijder onnodige cookies en vraag indien nodig toestemming aan je websitebezoekers voor de cookies. Dit kun je doen middels een cookiebanner met een verwijzing naar je cookieverklaring. Heb je hulp nodig bij het opstellen van een cookiebanner en/of cookieverklaring? Lees dan het artikel van ICTRecht.
Hier leer je meer over cookies:
- Cookies… welke gebruikt jouw website? Voldoe je aan de wet?
- Cookiewet 2017: voldoet de cookiemelding van jouw website?
- De cookiewet wijzigt in 2018 & dit zijn de gevolgen voor je website
4 Beveilig je website met een SSL certificaat
Als je dit nog niet hebt dan raad ik aan om het nu echt aan te schaffen. Als je formulieren gebruikt op je website is het sowieso verplicht om de gegevens die de gebruiker invult via een beveiligde verbinding en versleuteld (dus met SSL) te verzenden. Bovendien geeft Google websites zonder SSL een lagere plaats in de zoekresultaten, en dat wil natuurlijk niemand. Hier lees je alles over een SSL certificaat.
5 Bewaar geen onnodige gegevens
Veel functionaliteiten van je website verzamelen gegevens van je bezoekers. Denk bijvoorbeeld aan de inzendingen van formulieren, die in de database worden opgeslagen. Deze inzendingen ontvang je ook in je e-mailbox. Het is onnodig om deze op 2 plaatsen te bewaren. Verwijder deze dus regelmatig, zodat persoonlijke informatie niet langer dan nodig bewaard blijft op een plek waar er niets mee wordt gedaan. Denk er ook aan dat je de inzendingen van je formulier van je dashboard regelmatig verwijdert. Dat zijn tenslotte ook persoonsgegevens.
6 Update je website regelmatig
Een website die niet up to date is, loopt het risico gehackt te worden. Met een gehackte website kunnen persoonsgegevens die op de website zijn opgeslagen in handen komen van kwaadwillenden. Om dit te voorkomen is het belangrijk om je website technisch op orde te houden. Dit kun je doen door regelmatig de software van je website (WordPress, plugins en thema’s) bij te werken naar de laatste versie. Nieuwe versies bieden, naast nieuwe functionaliteit, vaak ook veiligheidsupdates. Deze veiligheidsupdates verminderen de kans op hacks, malware en datalekken. Wanneer je de updates wekelijks uitvoert, ben je op dit onderdeel goed bezig de privacy van je bezoekers te beschermen. Wanneer je het onderhoud van je website door Alva Design laat doen is het CMS van je website al up-to-date en daarmee zo veilig als mogelijk.
7 Controleer je WordPress-plugins
Houd er rekening mee dat je WordPress-plugins in lijn dienen te zijn met de AVG. Verzamel via je plugins dus geen onnodige gegevens, en deel niet zomaar zonder een verwerkersovereenkomst gegevens met derden. Maak een overzicht van de WordPress-plugins op je site. Vervolgens kun je per plugin nagaan welke gegevens deze verzamelt. Een overzicht van je plugins vind je onder ‘Plugins’ in de sidebar van je WordPress-Dashboard.
Ga nu na of de plugins voldoen aan de AVG. Dit kun je meestal vinden op de website van de pluginmaker of via WordPress.org. Via WordPress.org kun je bijvoorbeeld onder het ‘Support’-tabje van een specifieke plugin zoeken op ‘GDPR’. Geen resultaten gevonden of twijfel je? Stuur dan de makers van de plugin een berichtje of ga op zoek naar een andere plugin die wel aan de vereisten voldoet.
8 Verwijder onnodige accounts in WordPress
Organisaties zijn volgens de AVG verplicht om alleen bevoegde medewerkers toegang tot persoonsgegevens te geven. Dit geldt uiteraard ook voor het Dashboard van je website. Ga dus na wie er toegang hebben tot jouw website. Verwijder vervolgens de gebruikers voor wie toegang voor hun werkzaamheden niet vereist is.
9 E-mail nieuwsbrieven
Werk je met MailChimp? MailChimp heeft diverse maatregelen genomen om organisaties te helpen met de AVG. Meer informatie vind je hier: New MailChimp Tools to Help with the GDPR.
En verder …
Het AVG-proof maken van je website is een stap in de goede richting. Maar vergeet ook zeker niet de andere processen binnen jouw organisatie na te lopen. Je bent vanuit de AVG bijvoorbeeld ook verplicht:
- om alle verwerkingen van persoonsgegevens in een register te documenteren (registerplicht);
- bij de ontwikkeling van producten en diensten voldoende rekening te houden met privacy (privacy by design);
- indien nodig te werken met een Privacy Impact Assessment (PIA);
- een functionaris voor de gegevensbescherming aan te stellen (dit is niet voor iedere organisatie verplicht);
- datalekken te registreren (ook indien je deze niet bij de AP hoeft te melden);
- verwerkersovereenkomsten te sluiten met de partijen met wie je samenwerkt.
Wat kan ik voor je doen?
- Je helpen bij het maken van een privacyverklaring en een verwerkingsregister.
- De formulieren op je website aanpassen (toestemming vragen en/of duidelijke info geven).
- Een SSL-certificaat aan je website toevoegen (veiligheid).
- Je cookie-melding in orde maken (toestemming vragen).
- Google Analytics ‘privacyvriendelijk’ instellen.
Neem gerust contact met me op als je hulp wilt om jouw website klaar te maken voor de AVG.
Disclaimer: Dit is geen geen juridisch artikel en hieraan kunnen geen rechten worden ontleend.