• Home
  • de AVG en je website - 10 praktische tips!

de AVG en je website - 10 praktische tips!

Je zult er vast al het een en ander over gehoord en gelezen hebben; de AVG (Algemene Verordening Gegevensbescherming), oftewel de nieuwe privacywet die 25 mei 2018 van kracht wordt.
In dit artikel geef ik wat tips over wat je met je website moet doen als het gaat over de AVG.

Heb je een eigen bedrijf, dan moet je hier zeker mee aan de gang. En heb je een website, dan is dit zelfs verplichte kost en moet je de wetgeving naleven. De boetes zijn niet mals en kunnen behoorlijk oplopen. Zorg ervoor dat je website ‘AVG compliant is’!

O ja, nog even dit:
Ik heb een eigen bedrijf; werk samen met andere ondernemers en ontwikkel websites; weet veel van SEO; Joomla CMS; en een beetje van de AVG. Oftewel, ik ben geen jurist. Ik schrijf dit voor mijn klanten en iedereen die een website heeft en ‘iets’ moet doen omdat de AVG moet worden nageleefd. Raadpleeg een advocaat of jurist die meer over de AVG weet als je na het lezen van dit artikel nog vragen hebt.

De AVG in het kort

europe GDPR AVGDe AVG regelt op een betere manier de privacy van personen in de EU en gaat de huidige WBP vervangen.
De AVG is over het algemeen van toepassing op MKB bedrijven maar ook op Zelfstandig Professionals of bijvoorbeeld de sportvereniging. De AVG komt eraan te pas zodra je ‘iets’ doet met ‘persoonsgegevens’ (de officiële term is ‘verwerken’).

Je moet zorgen voor een betere beveiliging van persoonsgegevens; afspraken maken met anderen die ook bij die gegevens kunnen; transparantie geven; en nog veel meer.
Voor een completer overzicht: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg
Deze wet is 2 jaar geleden aangenomen en om bedrijven de tijd te geven zich hierop voor te bereiden gaat de wet op 25 mei 2018 in.

Wat is het verschil met de huidige privacywet (WBP)?
Het grootste verschil zit hem in het kunnen aantonen dat je je aan de wet houdt. Je bent bijvoorbeeld verplicht om bij te houden welke persoonsgegevens je van iemand gebruikt;
voor welk doel; en met welke wettelijke grondslag.

Daarnaast moeten de personen van wie je de gegevens verwerkt, deze kunnen inzien, wijzigen en indien gevraagd ook kunnen wissen (recht van vergetelheid).

Tips voor jou en je website

1. Beveilig je computer en smartphone

Ongetwijfeld heb je bestanden op je PC of telefoon die persoonsgegevens bevatten of linken naar een website waar de gegevens staan.
Beveilig ze daarom als volgt:

  • Zorg voor een wachtwoord wanneer de PC aangaat of uit de slaapstand komt.
  • Gebruik sterke wachtwoorden (lang, met verschillende karakters, en sla deze op in een kluis).
  • Gebruik een goede firewall en anti-virus software.
  • Gebruik geen openbare WIFI hotspots zonder beveiliging (gebruik VPN).

2. Gebruik sterke wachtwoorden

Uiteraard gebruik je voor je website en andere websites waarop je inlogt, al verschillende wachtwoorden. Zorg er dan ook voor dat deze wachtwoorden sterk zijn; minimaal 12 karakters (of nog beter, 16) en gebruik hoofdletters, kleine letters, cijfers en leestekens.
Lastig om te onthouden? Jazeker, maar dat moet ook! Gebruik daarom een wachtwoordkluis, hierin worden al deze lange wachtwoorden met gebruikersnaam opgeslagen en middels 1 lang wachtwoord heb je zelf toegang. Er zijn verschillende leveranciers van wachtwoordkluizen, zelf gebruik ik 1Password.

Enkele leveranciers van wachtwoordkluizen:
https://1password.com
https://www.lastpass.com
https://keepass.info

Actiepunt: check je wachtwoorden, maak ze sterk, en sla ze slechts op 1 plek op: een wachtwoordkluis.

3. Informeer de bezoekers van je site

In een zogenaamde privacyverklaring dien je de bezoekers van je site te informeren hoe je met de privacygegevens omgaat en met welk doel je ze verwerkt. De manier waarop je dat verwoordt moet helder en transparant zijn; een soort ‘Jip-en-Janneke-taal’.

Ook als het doel het opslaan van slechts enkele gegevens in je eigen klantenbestand is, ben je verplicht dit te melden middels een privacyverklaring op je website.

Maak je gebruik van andere diensten van derden, dan moet je ook hier nog eens goed over nadenken wat dat met de privacy doet. Denk bijvoorbeeld aan:

  • nieuwsbrieven (Mailchimp);
  • Google Analytics voor je statistieken;
  • Google maps verzamelt de geolocatie van je bezoekers;
  • Embedded Vimeo en YouTube video's;
  • Facebook pixels (heeft grote impact op de privacy van bezoekers!).

 Welke persoonlijke data sla je op en waarom?

persoonlijke data AVGIn je Privacy Statement op je site dien je onder meer te vermelden welke persoonlijke gegevens je opslaat/verwerkt binnen je bedrijf, maar ook met welk doel (is het wel nodig?) en hoelang je het bewaart.
Allemaal zaken die je van tevoren moet uitzoeken. Op je site vermeld je alleen welke gegevens je via je website ‘verwerkt’ maar in je eigen verwerkingsregister zul je ook alle andere verwerkingen moeten opgeven. Belangrijk om te weten.
Aanpassing: In het Privacy Reglement vermeld je alle verwerkingen binnen je hele bedrijf, dus niet alleen wat via je website wordt verwerkt.

Actiepunt: maak een privacyverklaring pagina aan en plaats een link hiernaar in de footer van de website en bij formulieren waar dat van toepassing is.

Wat zijn persoonsgegevens?

Alle gegevens die direct en indirect te herleiden zijn naar een persoon vallen onder de nieuwe privacywet, denk aan:

  • naam
  • e-mailadres
  • postadres
  • foto
  • kenteken
  • vingerafdruk
  • IP-adres en geolocatie
  • leeftijd
  • RFID-tag
  • MAC-adres (uniek identificatienummer dat is gekoppeld aan je PC )
  • IMEI (unieke serienummer van je telefoon)
  • cookie

Goed om te weten; bedrijfsinformatie (bijv. organisatienaam, e-mailadres, postadres, etc.) valt niet onder persoonsgegevens. Tenzij je een persoonlijk mailadres gebruikt of als het postadres hetzelfde is als het bezoekadres en dit adres in het kadaster is opgeslagen op een persoonsnaam. Dan is het herleidbaar tot een persoon en dus een persoonsgegeven. Lastig hè?

Bijzondere persoonsgegevens

dit zijn extra privacy-gevoelige gegevens die een andere behandeling vereisen als je deze verwerkt in je organisatie. Deze extra eisen zijn ook van invloed op je website als je deze gegevens daar verwerkt. Het gaat hier om:

  • BSN
  • ras
  • medische informatie
  • seksuele voorkeur
  • religie / politieke voorkeur
  • lidmaatschap vakbond

4. Vraag toestemming voor gebruik persoonsgegevens

Heb je een online nieuwsbrief? Of gebruik je cookies op je site? Zorg dan voor expliciete toestemming van je bezoeker voordat je gegevens gaat verzamelen.

Natuurlijk gebruik je al een opt-in voor je nieuwsbrief, maar kun je achteraf ook aantonen dat je die opt-in op een wettelijke manier verkregen hebt? Je zult exact moeten vastleggen waarvoor iemand zich bij jou heeft ingeschreven; via een bestelling of via een pop-up op je site. Daar zul je dus onderscheid in moeten maken.
Kun je het niet aantonen van je huidige klantenbestand, dan zul je opnieuw toestemming moeten vragen aan de mensen die nu op je mailinglijst staan.
Mensen die je al eens een product of dienst verkocht hebt, mag je nog wel blijven benaderen voor soortgelijke producten of diensten.

cookies 600Wat cookies aangaat, de toestemming valt onder de GDPR (de rest valt onder de nieuwe ePrivacy Regulation die later dit jaar of in 2019? komt), let op het volgende:

  • Een cookie wall is niet meer toegestaan.
  • Keuzevakjes voor de te plaatsen soorten cookies mogen niet meer aangevinkt zijn.
  • Je dient gemaakte keuzes bij te houden in een log.
  • De keuzes moeten makkelijk te verwijderen of aan te passen zijn.
  • Je dient altijd op de hoogte te zijn van alle gebruikte cookies op je website (30% van de cookies verandert maandelijks) en deze te vermelden in je cookieverklaring.
  • Je website dient toegankelijk te zijn, ook als er geen toestemming gegeven is.

Actiepunt: check welke cookies je site gebruikt (of laat dit checken als je geen idee hebt welke cookies je gebruikt) en installeer een cookie-extensie die dit netjes regelt.

5. Gebruik het principe ‘Privacy by Design’

Eén van de principes van de AVG is Privacy by Design, waarbij je bij alles wat je doet en ontwikkelt, nadenkt over de privacygegevens die je verwerkt. Denk daarbij aan:

  • data minimalisatie (vraag niet meer dan nodig is);
  • korte bewaartermijnen;
  • faciliteiten voor het opvragen, corrigeren en verwijderen;
  • pseudonimiseren en anonimiseren;
  • encryptie;
  • toegangsbeveiliging;
  • toestemming van betrokkenen;
  • doelbinding (het principe dat iemand alleen informatie mag vragen, opslaan, gebruiken, delen ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden).

6. Beveilig je site met TLS

https beveiliging en AVGMet een SSL certificaat is je website bereikbaar via https://... Let op de extra s.
SSL zorgt ervoor dat de gegevens tussen de server (website) en je browser (van de klant) versleuteld worden en daarmee beveiligd. Criminelen of andere kwaadwillenden kunnen nu niet de informatie lezen of aanpassen.
Tegenwoordig maken we gebruik van de TLS techniek; een verbeterde versie van de voorganger SSL. Maar omdat iedereen nog steeds de term SSL gebruikt, doen wij dat ook maar.
Het is een relatief eenvoudige stap om uit te voeren en zeker noodzakelijk. Lees meer over SSL certificaten.

Actiepunt: heb je nog geen SSL certificaat? Regel dit dan direct via je hosting provider en/of webbouwer en laat de site testen of alles goed via https verloopt.
Vergeet ook niet de nieuwe https-URL aan te melden bij Google Search Console (sitemap) en Google Analytics.

7. Check je site op plugins die privacy gegevens ‘lekken’

kranen lekken 600Er zijn nogal wat onderdelen van een website die privacy gegevens naar andere partijen sturen om daar te bewerken. Denk aan Akismet, die e-mailadres en IP-adres controleert om spam tegen te gaan, of Mailchimp die minimaal de naam en het mailadres verkrijgen om vervolgens in een mailinglijst te plaatsen. En is dat een mailinglijst op een website met als onderwerp een ernstige ziekte of een ander ‘speciaal’ persoonsgegeven, dan kun je ervan uitgaan dat je die gegevens nog iets beter moet beveiligen.

Blijf je gebruik maken van deze diensten, regel dan wel een verwerkersovereenkomst met deze partijen.

Mailchimp is bezig om tools te ontwikkelen die je helpen om aan de AVG (GDPR op z’n engels) te voldoen, zie dit blog artikel: https://blog.mailchimp.com/getting-ready-for-the-gdpr/

Een verwerkersovereenkomst (Data Processing Addendum) kun je hier aanvragen:
https://mailchimp.com/legal/forms/data-processing-agreement/

8. Maak backups en regel het (technisch) onderhoud

Als eigenaar van je eigen website ben je ook verantwoordelijk om er goed mee om te gaan. Dat betekent o.a. dat je regelmatig checkt of alle onderdelen van je website nog up-to-date zijn. Denk hierbij aan nieuwere versies van zowel het CMS wat je gebruikt (Joomla, WordPress, etc.) maar ook van de template/het theme, de plugins (formulier, etc.) en de PHP-versie waaronder je site draait (is die up-to-date en veilig?)
Een best wel lastige klus als je het niet dagelijks doet. Uitbesteden is dan ook verstandig, maar vergeet dan de verwerkersovereenkomst niet. Lees meer over: technisch onderhoud.

Actiepunt: is het technisch onderhoud en back-ups nog niet geregeld? Sluit een contract af zodat je site in de gaten wordt gehouden en up-to-date blijft. De kans op een datalek wordt daarmee sterk verkleind.

9. Leg protocollen vast

In de toekomst krijg je vast te maken met verschillende situaties die bepaalde handelingen vereisen.
Daar zul je vooraf over moeten nadenken hoe je dat gaat afhandelen binnen de juiste tijd.
Denk hierbij aan de volgende zaken:

Datalekken
Volgens de wet moet je bij een datalek binnen 72 uur de Autoriteit Persoonsgegevens informeren. En in bepaalde gevallen ook de personen waarvan data is gelekt. Je moet dus veel regelen in korte tijd. Het is verstandig om dit van tevoren in een protocol vast te leggen. Daarin omschrijf je hoe je omgaat met een datalek; waar het gemeld moet worden; hoe en wat er wordt onderzocht; en of het aan de Autoriteit Persoonsgegevens en betrokkenen gemeld moet worden.
Lees meer op: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/voorbereiding-op-de-avg#stap-7-meldplicht-datalekken-5897

Actiepunt: stel een protocol Datalekken op.

Verzoek van persoon
Een verzoek van een persoon om bijvoorbeeld data in te zien of (nog erger?) om ‘vergeten te worden’. Personen hebben straks het recht om de persoonlijke data van zichzelf op te vragen, in te zien, te bewerken of zelfs te verwijderen. Hoe ga je daarmee om? Laat je de gebruiker dit zelf doen of regel jij het voor ze?
En hoe moet zo'n persoon zich kenbaar maken bij jou?
Je zult in je privacy verklaring moeten aangeven hoe je hiermee omgaat.
Als Zelfstandig Professional zul je dit soort verzoeken niet vaak krijgen en kun je het per geval prima zelf oplossen, zonder automatisering. Voor een groter bedrijf kan dit wel eens vaker gebeuren, overweeg dan of je dit proces moet automatiseren, zodat een gebruiker zelf zijn privacy data kan inzien en wijzigen.

Actiepunt: denk na hoe je om gaat met ‘verzoeken van personen’ en hoe snel je daarop kunt inspelen.

restricted area 600Veiligheid
Leg vast hoe je je website veilig houdt. Wie doet de updates? En de back-ups en hoe lang bewaar je back-ups? Welke persoonlijke gegevens sla je op binnen je website (formulier) of juist niet.
Vaak slaan formulieren alle data die wordt ingevuld inclusief IP-adres (ook een persoonsgegeven!) op in de database. Wil je dit niet? Check dan of je dit uit kunt zetten.

Ter voorbereiding op de AVG gaan wij in overleg met onze klanten en adviseren we om de data-opslag van formulieren uit te zetten en de huidige gegevens te wissen. Persoonlijk heb ik deze gegevens liever niet meer in de database of in de back-ups. Het is én een veiligheidsrisico en een ‘probleem’ bij ‘het recht op vergetelheid’.

Actiepunt: check hoe je de veiligheid van je site hebt geregeld: SSL, back-ups, updates van je CMS en extensies.

De AVG en je webshop

Heb je een webshop, dan deel je waarschijnlijk persoonsgegevens met nog meer partijen.
Denk bijvoorbeeld aan: je hostingpartij; cloudopslag, CRM-software (in de cloud) en als je reviews op je site vertoont via een externe partij.
Met al deze partijen moet je een verwerkers overeenkomst afsluiten.
In een verwerkersovereenkomst leg je de taken en verantwoordelijkheden vast en wordt er rekening gehouden met de risico’s van de verwerking voor de privacy van de consument.

De Payment Service Providers (bedrijven zoals Mollie etc) verwerken wellicht persoonsgegevens, echter zij zijn zelf voor wat betreft de betaling de verantwoordelijke. Er is dan geen relatie tussen jou en de betaaldienst in de vorm van verantwoordelijke / verwerker. Iedere partij is zelf verantwoordelijk voor de gegevensverwerking. Je hoeft dus geen verwerkers overeenkomst met een PSP af te sluiten. Wel zal je in het verleden met de PSP al een overeenkomst hebben afgesloten, waarin iets over de gegevens verwerking is afgesproken, dat zal dan voldoende zijn.
 

10. Sluit een verwerkersovereenkomst met alle partijen die persoonsgegevens verwerken

In de huidige WBP geldt deze regel, ook al wordt deze nog maar weinig toegepast. De verwachting is wel dat er strenger op gecontroleerd gaat worden. Het is dus een overeenkomst met partijen die privacygegevens voor jou verwerken. Denk aan Google Analytics, Mailchimp, je webbouwer en hostingprovider.
De verwerkersovereenkomst biedt garanties dat de bescherming van rechten van personen wordt gewaarborgd en in geval van een probleem kan de verwerker hier verantwoordelijk voor zijn.

In een verwerkersovereenkomst wordt o.a vastgelegd welke persoonsgegevens worden verwerkt, welke veiligheidsmaatregelen worden getroffen, waar de persoonsgegevens worden opgeslagen en of de verwerker subverwerkers mag inschakelen voor de verwerking.

Maak ook afspraken met leveranciers buiten Europa

privacy shield logoVeel online diensten die worden gebruikt komen uit Amerika, wat gezien wordt als een 'onveilig land'. Denk aan Google, Amazon en Dropbox. De AVG is een Europees dingetje en geldt dus binnen Europa maar ook voor bedrijven die buiten Europa zijn gevestigd, maar actief zijn binnen Europa. Officieel mag je met landen buiten Europa geen persoonsgegevens delen tenzij je expliciet toestemming hebt gekregen. En uiteraard informeer je je klanten daarover.

Grotere bedrijven zoals Dropbox hebben inmiddels een Privacy Shield overeenkomst zodat je die dienst kunt blijven gebruiken. De EU-US Privacy Shield is een overeenkomst tussen de US en Europa over het 'verwerken' van persoonsgegevens.
Je kunt dit checken op: https://www.privacyshield.gov/list
Van andere diensten zul je het toch zelf even moeten controleren op deze lijst. Denk hierbij aan de online diensten van:

  • Slack
  • Facebook / Whatsapp
  • Mailchimp (The Rocket Science Group LLC)
  • Twitter
  • Google / Gmail
  • Trello
  • Asana

Zorg dat je een verwerkersovereenkomst met ze aangaat, dat ze zorgvuldig met je data omgaan en breng je klanten en bezoekers hiervan op de hoogte.

 Handige links:

Autoriteit Persoonsgegevens (AP) - Voorbereiding op de AVG
hulpbijprivacy.nl - campagne website van de AP - overzicht met verschillende artikelen voor de doelgroepen: iedereen, organisaties, onderwijs, zorgverleners en webwinkels.
De AVG in een notedop (1 pdf pagina)
AVG 10 stappenplan (pdf)
Regelhulp AVG
GDPR The Do’s and Don'ts for Marketeers - duidelijke engelstalige presentatie over wat wel en niet mag, met veel plaatjes ;-)

 

 

Contact

1-2-appletree
tel: 078-6179510
info@1-2-appletree.nl

Offerte aanvragen

KvK: 24316247

Internetburo Dordrecht

Als internet bureau helpen wij ZZP-ers, bedrijven en organisaties uit heel Nederland met het ontwikkelen van websites. Vanuit onze vestiging in Dordrecht werken wij voor regionale (Dordrecht, Rotterdam) en nationale opdrachtgevers.