Inmiddels heb je er vast wel eens wat over gehoord of mee te maken gehad: de GDPR of AVG. Het gaat hier om nieuwe Europese privacy wetgeving, de zogeheten ‘Algemene Verordening Gegevensbescherming’ (AVG) of ‘General Data Protection Regulation’ (GDPR) in het Engels.
Deze wetgeving treedt op 25 mei 2018 in werking en vervangt de huidige Wet bescherming persoonsgegevens (Wbp). De wet stelt hoge eisen aan de omgang met persoonsgegevens en heeft als doel om mensen te beschermen tegen het onjuist verwerken van deze gegevens.
In het kort gaat het over:
- Expliciete toestemming – Organisaties moeten van verzamelde gegevens kunnen bewijzen dat er expliciet toestemming voor is gegeven
- Recht op vergetelheid – Personen moeten hun gegevens kunnen (laten) verwijderen
- Recht op dataportabiliteit – Personen moeten hun gegevens mee kunnen nemen naar een andere aanbieder
- Recht op inzage – Personen mogen inzicht vragen in verwerkte persoonsgegevens (en deze eventueel laten wijzigen)
Meer over deze wetgeving kan je lezen op de website van de Autoriteit Persoonsgegevens.
Dus wat moet ik doen?
Vrijwel alle websites en webshops krijgen hiermee te maken. Met betrekking tot de GDPR/AVG wetgeving is er een aantal zaken waarmee je rekening dient te houden:
Privacyverklaring
In een privacyverklaring vertel je wat je met de persoonsgegevens doet en welke derde partijen hier toegang toe hebben. Zo maak je bij het versturen van een nieuwsbrief waarschijnlijk gebruik van een e-marketingtool zoals MailChimp of CampaignMonitor. Dit moet je dan melden. Vermeld daarnaast ook contactinformatie van je organisatie of van de functionaris gegevensbescherming (Data Protection Officer), zodat personen die inzicht willen in hun persoonsgegevens of die zich in het geval van een nieuwsbrief uit willen laten schrijven, dit gemakkelijk kunnen doen.
Verwerkingsovereenkomst
Wanneer er bij het verwerken van persoonsgegevens een externe partij betrokken is moet er een bewerkingsovereenkomst worden afgesloten. Hierbij leggen de verantwoordelijken en een bewerker (de partij die voor jou de gegevens verwerkt), vast hoe met de gegevens wordt omgegaan. Denk hierbij aan de hostingprovider, de webdeveloper of SEO-specialist.
Google Analytics
Wanneer je Google Analytics gebruikt dan ben je verplicht om de bovengenoemde verwerkingsovereenkomst ook met Google te sluiten. Google is namelijk een dataverwerker die je toestemming geeft om de persoonsgegevens van jouw bedrijf te verwerken. Gelukkig kan je dat gemakkelijk bij je accountinstellingen aanpassen.
Cookiemelding
Er zijn drie soorten cookies:
- Functionele cookies – Deze zijn nodig voor de werking van je website. Ze slaan geen persoonsgegevens op en daar heb je nu en straks (vanaf 25 mei) geen goedkeuring voor nodig.
- Analytische cookies – Deze zijn nodig voor statistieken-systemen zoals Google Analytics. De AVG beschouwd IP-adressen als persoonsgegevens. Wanneer je deze niet meer laat meesturen (door bijvoorbeeld Google Analytics te anonimiseren), mag je ze direct plaatsen zodra de website geopend wordt. Je moet echter wel vermelden dat je ze plaatst in je cookie- of privacystatement.
- Tracking cookies – Deze worden gebruikt om gebruikersprofielen op te bouwen. Zodra je aan remarketing doet via Google Adwords (dat is het tonen van advertenties aan personen die ooit op jouw website zijn geweest), YouTube-filmpjes toont of social sharing-diensten gebruikt, plaatst jouw website deze tracking cookies. Voor het plaatsen van tracking cookies is expliciet toestemming nodig van de bezoeker. Dat betekent dat ze niet geplaatst mogen worden voor deze toestemming is gegeven.
HTTPS (SSL)
Het verschil tussen ‘HTTP’ en ‘HTTPS’ zit ’em in de beveiliging (de extra ‘S’ staat dan ook voor ‘Secure’). Bij gebruik van HTTPS worden de gegevens versleuteld, waardoor het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk zou moeten zijn om te weten welke gegevens verstuurd worden. Persoonsgegevens die worden ingevuld op een website of webshop (bijvoorbeeld een contactformulier of offerteaanvraag) worden op deze manier via een beveiligde verbinding verstuurd tussen de browser en de webserver. Een ander argument om gebruik te maken van een HTTPS verbinding is het feit dat Google een beveiligde website of webshop een hogere positie geeft. Tenslotte gaan webbrowsers zoals Google Chrome en Firefox per 1 juli 2018 websites zonder HTTPS markeren als ‘onveilig’ (en dat wil je ook niet).
Maak een checklist
Het is dus verstandig om per website een inventarisatie en checklist te maken van de doelgroep die je website bezoekt en wat voor persoonsgegevens je daarbij opslaat. Doorloop dan de volgende punten:
- Domein – Maakt je website al gebruik van een SSL certificaat (HTTPS)?
- Hosting – Heb je een verwerkingsovereenkomst met je hostingpartij? Zijn er nog andere ontwikkelaars of freelancers die toegang hebben tot de data? Ook met hen moet je een verwerkingsovereenkomst afsluiten.
- Plugins – Wannneer je gebruik maakt van een CMS zoals WordPress zal je per plugin moeten kijken of deze gegevens verzamelt en of ze al dan niet worden opgeslagen. Denk hierbij aan contactformulieren, back-ups, ledenpagina’s, security plugins, e-mailmarking plugins, e-commerce plugins, etc.
- Cookies – Wat voor cookies gebruikt je website en wordt hier op de juiste manier toestemming voor gevraagd?
- Stel een privacy- en cookieverklaring op (een goede plek hiervoor is de footer van je website).
- Vraag van te voren toestemming aan je bezoeker voor het opslaan van gegevens. Let op dat men toestemming moet geven per onderdeel (dus apart toestemming vragen voor het bijhouden van tracking cookies en het inschrijven van de nieuwsbrief).