Is je website GDPR / AVG proof

Over een slordige 3 maanden is de GDPR / AVG wetgeving een feit. Op 25 mei 2018 word deze wetgeving van kracht. Hoe zorg je dat jouw website voor die tijd voldoet aan de GDPR / AVG wetgeving?

Groter speelveld

Het speelveld van de GDPR / AVG is veel groter dan alleen je website. Het raakt je hele organisatie en gaat vooral over hoe je in generieke zin omgaat met gegevens. Marketing en je website is ons vakgebied, vandaar dat wij hier de nadruk op leggen. We hebben overigens niet de illusie dat alle details op dit vlak in dit artikel staan – ook ons is nog genoeg onduidelijk.

GDPR? AVG?

Voor wie het is ontgaan: op 25 mei 2018 gaat er wat veranderen in privacy land. De GDPR, voluit General Data Protection Regulation, treedt in werking. In Nederland spreken we (inclusief de Autoriteit Persoonsgegevens) over de AVG: Algemene Verordening Gegevensbescherming. Het doel van deze wetgeving is te zorgen dat personen beter worden beschermd, ook wanneer ze aan het werk zijn. Wanneer we spreken over personen of gebruikers, bedoelen we overigens gegevens die herleidbaar zijn naar een individu van vlees en bloed.

Disclaimer

Vooraf even een belangrijk gegeven. We zijn een internetbureau, geen advocatenkantoor. We pretenderen ook niet dat deze informatie jouw specifieke situatie voorziet van de ultieme oplossing… maar we helpen je wel graag op weg om daarin stappen te maken en dichterbij te komen!

Wanneer mag ik gegevens verzamelen?

Er zijn 6 ‘noemers’ waaronder gegevens verzameld mogen worden. De Autoriteit Persoonsgegevens benoemt deze als volgt:
1. Toestemming van de gebruiker
2. Vitale belangen
3. Wettelijke verplichting
4. Overeenkomst
5. Algemeen belang
6. Gerechtvaardigd belang

Zo heb je gegevens eenvoudigweg nodig wanneer je een overeenkomst afsluit met iemand. In andere gevallen geldt er een wettelijke verplichting, bijvoorbeeld je gegevensregistratie bij het afsluiten van een hypotheek. En vitale belangen, daar is op medisch vlak wel wat bij voor te stellen denk ik.

Wanneer we de brug slaan naar je website, denk ik dat het onderdeel ‘toestemming van de gebruiker’ het meest relevant is, eventueel aangevuld met ‘gerechtvaardigd belang’. Onder dat laatste zou je basaal gebruik van webanalytics software kunnen scharen.

Je mag vragen om gegevens met een doel. Wil je mensen iets toesturen? Dan is het logisch om een adres te vragen. Wil iemand alleen een vraag stellen aan je? Dan is deze informatie niet noodzakelijk en zul je een reden moeten aangeven waarom je die info nodig hebt. Belangrijk is dat gegevens worden verzameld voor een specifiek doel, wat ook omschreven moet worden. Een groot voordeel: minder invulvelden is over het algemeen wel goed voor je conversie ;-).

GDPR / AVG: Databescherming is een vak apart

Rechten van de mens

Niet het ‘college van’, maar de rechten van de mens op hun gegevens. Die rechten hebben ze namelijk. Het is goed om te weten dat ze niet alleen het recht op inzage hebben. De rechten onder de GDPR / AVG gaan een stuk verder.

Recht op inzage: Een individu mag zien welke gegevens je registreert.

Recht op wijziging: Een individu mag verlangen dat gegevens wijzigt, bijvoorbeeld in geval van onjuiste persoonsgegevens of wanneer er sprake is van incomplete gegevens.

Recht op vergeten: Een individu mag ‘vergeten willen worden’, ofwel: een individu kan verlangen dat je de persoonlijke data verwijdert wanneer deze bijvoorbeeld niet meer vereist zijn voor het doel waarvoor de data is verzameld of verwerkt.

Recht op overdragen: Een individu mag vragen om gegevens over te dragen aan een andere organisatie in ‘gangbaar digitaal formaat’.

Recht op informatie: Een individu heeft het recht om te weten hoe gegevens worden gebruikt, gedeeld en opgeslagen… en wie toegang heeft tot gegevens.

Over het ondernemen van ‘actie’ mag je overigens niet onbeperkt doen. Je hebt in principe 1 maand de tijd om bijvoorbeeld opgevraagde data op te leveren. Rijk zul je er in ieder geval niet van worden. Je mag geen kosten berekenen, tenzij een verzoek buitensporig of ongegrond is. Dan mag een ‘redelijke administratieve vergoeding’ worden gebruikt, of mag het verzoek worden geweigerd.

GPDR / AVG: serieuze business

Privacy wordt serieus genomen. Al langer, maar dat komt in deze wet ook maar weer eens tot uiting. De boetes liegen er niet om en kunnen oplopen tot €20 miljoen of 4% van de wereldwijde omzet.

GDPR / AVG en mijn website

Wat je aan maatregelen moet treffen, is sterk afhankelijk van het soort/type website wat je hebt. Wanneer we kijken naar WordPress websites, zijn er een aantal plaatsen waarop gegevensverzameling plaats kan vinden.

Denk daarbij aan zaken als:

  • Contactformulieren
  • Reactiemogelijkheid op bijv. artikelen
  • Registratie van gebruikers
  • Analytics of andere oplossingen om verkeer te monitoren
  • Plugins en tools voor andere doeleinden, bijv. heatmapping, opt-in generators voor je nieuwsbrief etc.
  • Beveiligingstools en plugins (bijv. om het aantal attempts voor logins te beperken)

Als concrete actie is het dus belangrijk om te kijken welke data je website verzamelt en wat er met die data gebeurt. Het zal je niet verbazen dat de reikwijdte van deze maatregel je website ver overstijgt. Wellicht is deze special handig om door te lezen, zeker wanneer je meer wilt weten over welke data valt onder de regelgeving, waar die kan staan en hoe het zit met gegevens die verschillende plugins van je webiste(s) opslaan.

Datalek? 72 uur!

Een datalek lijkt vaak iets heel ‘groots’, maar dat is het niet. Verlies je een usb stick waarop ook persoonsgegevens staan opgeslagen? Dan is er al sprake van een datalek. Je moet dit dan binnen 72 uur melden bij de autoriteit persoonsgegevens. Overigens is deze regel niet nieuw.

Verantwoordelijkheid over je eigen ‘grenzen’ heen

Wanneer informatie wordt gebruikt of verzameld door externe software op of gekoppeld aan je website, dan blijf jij verantwoordelijk voor wat daarmee gebeurt. Concreet: gebruik je Google Analytics, optimalisatiesoftware of e-mail marketing software? Dan blijf je verantwoordelijk voor de gegevens en voor wat daarmee gebeurt.

Concrete actiepunten om je website GDPR / AVG proof te krijgen

Ok, meteen even een herhaling van de disclaimer: we zijn geen juristen. Er zijn diverse gespecialiseerde partijen die je hiermee goed kunnen helpen. Een aantal concrete actiepunten die je voor de komende tijd in ieder geval vast op kunt schrijven zijn:

  1. Breng je huidige situatie in kaart. Welke informatie verzamel je, via welke formulieren en met welk doel? En heb je al die informatie echt nodig? Verder kijkend dan de website: welke software gebruik je en welke data sla je waarin op en waar staat die data dan?
  2. Hoe makkelijk zijn verzoeken in te willigen? Vanuit de rechten die individuen hebben, is het handig om te weten hoe eenvoudig het is om informatie reproduceerbaar te maken.
  3. Van inventarisatie naar actie: pas vanuit punt 1 en 2 eventuele processen, procedures en softwareoplossingen aan.
  4. Zorg voor een ‘update’ van je privacyverklaring, in klare taal.
  5. Zorg voor in- en overzicht: welke cookies plaats je, hoe zijn ze te herkennen, hoe lang worden ze bewaard en door wie? En verwerk dit in je cookie statement.

Als laatste punt: volg de verdere berichtgeving via de diverse experts en instanties. Oh ja – en laat je vooral inspireren door grotere organisaties die hier als behoorlijk inhoudelijk werk van hebben gemaakt.

Tot slot een aantal linkjes met nuttige informatie en/of inspiratie:

Het dossier over dit thema van de Autoriteit Persoonsgegevens

AVG Regelhulp om de impact voor jouw organisatie in kaart te brengen

Je privacy verklaring GDPR-proof maken

GDPR / Privacy en e-mail marketing

Inspiratie: Privacy & Cookie statement van de ANWB

Inspiratie: Privacy & Cookie statement van Coolblue

Hopelijk helpt dit artikel je bij het maken van een aantal concrete stappen in de voorbereiding op de veranderde regelgeving per 25 mei 2018.

Ook interessant

Cookies en privacy

Je weet dat ze er zijn: cookies. Per categorie kan je jouw keuze voor het gebruik van cookies aangeven. Deze methode komt overeen met de nieuwe AVG (ingangsdatum 25 mei 2018). Wij hebben de cookies van Google Analytics volledig geanonimiseerd en daarom mogen wij die plaatsen zonder toestemming. Op onze Privacy Pagina kan je hier meer over lezen.

Privacy policy | Sluiten
Instellingen