Is jouw website avg-proof?

Is jouw website avg-proof?

28 januari is het de Dag van de Privacy. Deze dag is onder andere in het leven geroepen om bedrijven en organisaties aan te sporen de bescherming van hun persoonsgegevens te verbeteren. Privacy is, zeker in de onlinemarketingwereld, een groot issue. Om iedereens privacy zoveel mogelijk te garanderen is vanaf mei 2018 de AVG in werking getreden. De meeste online partijen zijn ondertussen aardig aangepast aan deze wetgeving, maar toch blijft de AVG voor sommige (met name kleinere) spelers in de markt een vaag begrip. Wat valt er nu precies onder en wat betekent dit voor mijn online activiteiten? In deze blog leggen we je precies uit wat de gevolgen zijn voor je website en hoe je hier het beste mee kunt omgaan.

WAT IS DE AVG?

De GDPR, in het Nederlands de Algemene Verordening Gegevensbescherming (AVG), is een Europese privacywet die in is gegaan op 25 mei 2018. De AVG verving de Wet bescherming persoonsgegevens (Wbp) en moet zorgen dat persoonsgegevens beter beschermd worden.

In het kort houdt de AVG in dat je toestemming moet hebben voor het verzamelen en opslaan van persoonsgegevens.

WELKE DATA VALT ER ONDER DE AVG?

De AVG maakt onderscheid tussen drie soorten data:

1. Persoonsgegevens
   Bijvoorbeeld NAW-gegevens, IP-adressen en device-ID’s.
2. Pseudo-anonieme data
   Persoonsgegevens die niet direct tot een persoon te herleiden zijn, maar
   die een persoon wel individueel maken, zoals een versleuteld e-mailadres of gebruikers-ID.
3. Anonieme data

De definitie van persoonsgegevens is vrij ruim: “Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Daarom worden binnen de AVG zowel 1 als 2 gezien als persoonsgegevens.

AVG-RICHTLIJNEN VOOR DE OPSLAG VOOR PERSOONSGEGEVENS

Maak je gebruik van opslag van persoonsgegevens via jouw website? Dan moet je vanaf 25 mei 2018 voldoen aan de volgende AVG-richtlijnen:

• Persoonsgegevens en pseudo-anonieme data mogen met expliciete opt-in en opt-out toestemming worden gebruikt voor “gespecificeerde, expliciete en rechtmatige doeleinden” en mogen “niet verder worden verwerkt op manieren die niet verenigbaar zijn met deze doeleinden”.
• Profilering om geautomatiseerde analyse en/of voorspelling van het gedrag van personen op basis van deze gegevens moet worden benoemd. De consequenties voor de persoon moeten worden benoemd, met de mogelijkheid tot een opt-out voor deze functionaliteit.
• Persoonsgegevens moeten door de gebruiker verwijderd (recht te worden vergeten) of opgevraagd kunnen worden (dataportabiliteit).

VERWERKERSOVEREENKOMST

Als er andere bedrijven zijn die persoonsgegevens voor jou opslaan of verwerken, dan moet je daar volgens de AVG een verwerkersovereenkomst mee sluiten. Voor je website gaat het hierbij
bijvoorbeeld om:

• De hostingpartij / CMS systeem
• Google Analytics
• Mailchimp
• Etc.

PRIVACYVERKLARING

Om te voldoen aan de AVG zal de privacyverklaring van je website up-to-date moeten zijn, omdat je via deze weg de bezoekers voldoende moet informeren over wat je met opgeslagen persoonsgegevens doet. Daarnaast informeer je hier je bezoekers hoe zij de opgeslagen gegevens kunnen (laten) verwijderen. Gebruik hierbij geen moeilijke vaktermen, maar zorg dat het tekst
is die eenvoudig te begrijpen is voor de alledaagse bezoeker.

• De privacyverklaring moet als link worden toegevoegd aan de footer van je website
• Elk formulier waarin je gegevens verzamelt moet een link naar de privacyverklaring bevatten
• In je cookiemelding verwijs je naar de privacyverklaring om de bezoeker meer informatie te bieden

Om bovenstaande punten op te pakken adviseren we om contact op te nemen met de developer van jouw website. Het schrijven van een privacyverklaring is iets wat je zelf kunt oppakken. Een handige tool voor het maken van de privacyverklaring vind je hier.

AVG GESCHIKTE COOKIEMELDING

Persoonsgegevens en pseudo-anonieme data, zoals eerder in dit blog beschreven, mogen pas worden opgeslagen zodra de bezoeker hier expliciet toestemming voor heeft gegeven.

Wanneer je alleen anonieme gegevens trackt hoef je geen cookiemelding te tonen. Verzamelt jouw website persoonsgegevens of pseudo-anonieme data? Dan is het verplicht om een cookiemelding te hebben die voldoet aan de volgende eisen:

• Het moet voor de bezoeker duidelijk zijn waarvoor hij/zij toestemming geeft, omschrijf dus duidelijk welke cookies je plaatst en waarom
• Het opslaan van data begint pas op het moment dat de bezoeker toestemming heeft gegeven
• De bezoeker moet de gegeven toestemming kunnen inzien, wijzigen en intrekken

Hoe ziet dit er in de praktijk uit? Een goed voorbeeld van een cookiemelding die aan de AVG-eisen voldoet is de cookiemelding op de website van Frankwatching.

Bij deze cookiemelding kan de bezoeker zelf aanvinken voor welke cookies hij/zij toestemming geeft. Als je meer informatie over de cookies wilt klik je op ‘Details tonen’ en vouwt onderstaand scherm open.

Hier leest de bezoeker meer over de verschillende soorten cookies die worden geplaatst, wat de werking van deze cookies is en de vervaldatum.

Heb je hulp nodig bij het in kaart brengen van alle cookies op jouw website? Wij kunnen zeker een overzicht voor je maken en de bouwer van de website adviseren over de cookiemelding.

WEBSITE FORMULIEREN VOLGENS DE AVG

Elk formulier op je website waarmee je persoonsgegevens verzamelt moet voorzien zijn van een expliciete opt-in checkbox. Er moet hierbij sprake zijn van een actieve handeling en dus mag de checkbox niet al aangevinkt zijn.

Bij toestemming voor verschillende doeleinden moet er voor ieder doel apart toestemming gevraagd worden. Als je bijvoorbeeld jouw bezoekers via een formulier op de hoogte wilt houden van aanbiedingen, maar ook wilt laten inschrijven voor de nieuwsbrief, dan heb je hiervoor twee verschillende checkboxen nodig.

In je formulieren mag je ook geen gegevens vragen die niet direct dienen voor het doel van inschrijving. Voor een nieuwsbriefinschrijving mag je bijvoorbeeld geen rekeningnummer opvragen.