Vanaf 25 mei 2018 moet elke organisatie in Europa voldoen aan nieuwe wetgeving om persoonsgegevens te mogen verwerken en bewerken. Dat geldt dus ook voor de verwerking van persoonsgegevens op jouw website.
Waarschijnlijk heb je al van de AVG / GDPR gehoord (Algemene verordening gegevensbescherming). Hierbij wat beknopte informatie en de mogelijke impact voor je website.
De AVG heeft ook gevolgen voor je interne/bedrijfsmatige verwerking van persoonsgegevens, maar daar ga ik verder niet op in. Onderaan deze mail diverse links voor uitgebreide informatie.
In het kort
In het kort gaat het over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’.
Je moet openheid kunnen geven over hoe jouw bedrijf persoonsgegevens verwerkt. Dat betekent dat je privacyverklaring in een heldere taal geschreven moet zijn. Kort en overzichtelijk. Daarin leg je uit hoe jouw bedrijf omgaat met persoonsgegevens. Zorg ook dat elke medewerker die werkt met persoonsgegevens de nieuwe privacywetgeving begrijpt.
Waar moet je aan denken
Het gaat om vier hoofdvragen die je continu moet stellen:
- Welke persoonsgegevens sla ik op?
- Waarvoor gebruik ik die?
- Waar en hoe lang sla ik die op en wie kan er bij?
- Heb ik die gegevens nog wel nodig?
De belangrijkste punten voor je website:
HTTPS/SSL
Met een SSL-certificaat versleutel je het dataverkeer van en naar je website. Er komt dan HTTPS voor je URL (een groen slotje), waaraan bezoekers kunnen zien dat hun gegevens versleuteld worden verzonden. Verstuur je formulieren of nieuwsbriefaanmeldingen via je website? Dan is HTTPS verplicht. Ook als je geen persoonsgegevens verstuurd is SSL (bijna) verplicht want vanaf juli 2018 gaat Google websites zonder SSL als onveilig markeren.
Privacyverklaring
Een privacyverklaring is vanaf 25 mei verplicht. In begrijpbare taal en zo beknopt en duidelijk mogelijk. Hierin leg je uit welke (persoons)gegevens je waar verzamelt, waarom en wat ermee gebeurt. Daarnaast geef je mogelijkheden om persoonsgegevens op te vragen, te verwijderen of te verplaatsen naar een concurrent. Je noemt ook de verantwoordelijke binnen het bedrijf die gaat over privacy.
Cookiebeleid
Voor iedere cookie die een bezoeker apart kan identificeren, moet toestemming worden gegeven. Hierdoor kun je bezoekers niet meer ongevraagd over verschillende websites volgen. Een cookiewall, waarmee je gebruikers verplicht cookies te accepteren voordat ze de site mogen bekijken, mag ook niet meer. Als gebruiker kun je via de browserinstelling aangeven of je analytische en tracking cookies wel of niet wilt accepteren.
- Functionele cookies
- Functionele cookies zijn soms nodig om een website te laten werken. Een voorbeeld van een functionele cookie is het opslaan van de producten die de bezoeker in het winkelmandje plaatst. Ook als je ‘ingelogd blijven’ aanvinkt bij het inloggen, worden cookies geplaatst. Bij een later bezoek word je dan automatisch ingelogd, wat voor veel gebruikers erg prettig werkt. Deze voorbeelden vallen in de categorie functionele cookies. Voor het plaatsen van functionele cookies hoef je volgens de wet geen toestemming aan de bezoeker te vragen.
- Analytische cookies
- Diensten zoals Google Analytics maken gebruik van analytische cookies. Door middel van deze cookies krijgen eigenaren van websites inzicht in het gebruik van hun website. De privacy van de bezoeker blijft met deze analytische cookies gewaarborgd. Met deze data kunnen websites geoptimaliseerd worden, waardoor je de gebruikerservaring voor bezoekers kunt verbeteren. Voor analytische cookies die worden gebruikt om het verkeer op een website te analyseren, hoef je geen toestemming aan de bezoeker te vragen. Hierover moeten bezoekers wel geïnformeerd worden in een cookie- of privacyverklaring.
- Tracking-cookies
- Tracking-cookies, ook wel marketingcookies, zijn cookies die binnen een domein of over verschillende domeinen gebruikt worden om surfgedrag van de bezoekers vast te leggen. Hiermee kunnen uiteindelijk gerichte aanbiedingen gedaan worden. Een bekend voorbeeld hiervan zijn de remarketingcampagnes van Google AdWords. Niet alleen Google AdWords maakt gebruik van tracking-cookies, ook socialmedia-accounts, nieuwsbrieven en partnersites maken gebruik van deze cookies. Voor het bijhouden van persoonsgerichte gegevens is toestemming vereist. Nadat een gebruiker geaccepteerd heeft dat cookies worden bijgehouden, mogen deze cookies worden geplaatst.
Google analytics
Gebruik je Google Analytics in je website (tracking cookie), dan moet je een overeenkomst sluiten met Google. Google is namelijk een dataverwerker die je toestemming geeft om de persoonsgegevens van jouw bedrijf te verwerken. Een ander aandachtspunt is het IP-adres, dat is namelijk ook een persoonsgegeven. Je moet het IP-adres anonimiseren als je bezoekers niet vooraf om hun toestemming vraagt.
Formulieren
Je mag alleen om informatie vragen die je gebruikt. Dus een telefoonnummer of e-mailadres om te kunnen antwoorden op een gestelde vraag, of bijvoorbeeld adresgegevens om iets toe te sturen. Wil je deze gegevens ook voor iets anders gebruiken? Dan moet je dat expliciet vragen. Verwijder gegevens die je niet gebruikt, zoals reacties op een prijsvraagformulier of een ip-adres.
Bezoekersgedrag opnemen
Met analytische software zoals heatmaps kun je heel mooi zien wat je bezoekers op je site doen. Hun bezoeksessie neem je hiermee op, inclusief muisbewegingen. Zorg er daarom voor dat je niet het invullen van velden opneemt, en dat alle persoonsgegevens zijn geanonimiseerd.
Gebruikers aanmaken
Formulieren en nieuwsbrief-modules op je website bevatten persoonsgegevens. Geef je iemand toegang tot het CMS van je site, dan moet die persoon daar ook een geldige reden voor hebben. Die reden moet je apart gaan vastleggen, zodat helder is wie waarom toegang heeft tot persoonsgegevens. Onnodige accounts moet je verwijderen.
Hosting
Maakt jouw hostingpartij een back-up van je website? En kan hij direct in de gegevens kijken van jouw website? Je hoster is daarmee een dataverwerker en heb je een overeenkomst nodig.
Up to date (Updates)
Na oplevering van je website ben je verantwoordelijkheid voor de veiligheid ervan. Ben je hier niet goed in thuis? Deze taken kun je met een onderhoudscontract overdragen aan je websitebouwer of hoster. Anders moet jij zorg dragen voor het tijdig updaten van je CMS (zoals WordPress) en eventuele plugins.
Nieuwsbrieven
Elke externe partij waarmee je je nieuwsbrief verstuurt, is een dataverwerker waarmee je straks een overeenkomst nodig hebt. (Bijvoorbeeld MailChimp) Een e-mailadres en klikgedrag zijn persoonsgegevens.