De nieuwe Europese privacywetgeving heeft grote gevolgen voor de website van je bedrijf of organisatie. Met deze 10 aandachtspunten voorkom je privacy-issues en zorg je voor compliance met de AVG/GDPR.
1. Een duidelijke privacyverklaring
Al onder de Wbp moest je websitebezoekers middels een privacyverklaring informeren over welke persoonsgegevens je verwerkt en met welk doel je dat doet. Dat is met de komst van de AVG/GDPR niet veranderd. De eisen die aan een privacyverklaring worden gesteld, zijn wel een stuk strikter.
De privacyverklaring moet geschreven zijn in duidelijke taal, afgestemd op het taalniveau van je doelgroep. Een privacyverklaring moet ten minste de volgende onderdelen bevatten:
De identiteit van je organisatie
Dit is de naam van je organisatie, eventueel aangevuld met een kvk-nummer en contactgegevens.
Welke persoonsgegevens je website verwerkt
Dit spreekt voor zich. Je informeert je bezoeker welke persoonsgegevens de website verwerkt.
De doeleinden en de rechtsgrond waarop je deze gegevens verwerkt
Hiermee geef je aan met welke reden je de persoonsgegevens verwerkt. Deze reden moet wel wettelijk geldig zijn (‘een rechtsgrond hebben’).
Eventueel: het legitiem belang van de verwerkingsverantwoordelijke
Wanneer het rechtsgrond van de verwerking een legitiem belang is, dan moet dit belang duidelijk zijn toegelicht. Een legitiem belang is van toepassing wanneer je de gegevens van mensen gebruikt op een manier die zij redelijkerwijs kunnen verwachten. Bovendien moet de verwerking minimale privacy-impact hebben.
Duur van de verwerking/opslag van de persoonsgegevens
Je mag de persoonsgegevens enkel verwerken en bewaren zolang dit noodzakelijk is voor het beoogde doel. Het privacyverklaring moet duidelijkheid geven over deze termijn. Het ‘zo lang mogelijk’ of ‘oneindig’ bewaren van persoonsgegevens is geen optie.
De rechten van betrokkenen
De betrokkenen hebben altijd het recht de verwerking te stoppen, de persoonsgegevens te corrigeren, bezwaar te maken of data te laten verwijderen. Ook mogen ze een klacht indienen bij de Autoriteit Persoonsgegevens. De privacyverklaring moet je bezoekers niet alleen wijzen op hun rechten, maar ook uitleggen hoe ze deze stappen kunnen ondernemen.
Bron van de persoonsgegevens
Zijn de persoonsgegevens niet van de website zelf afkomstig, maar bijvoorbeeld van een gekochte mailinglijst? Dan moet je dit duidelijk in de privacyverklaring vermelden.
Profiling en geautomatiseerde besluitvorming
Vind op je website profiling en geautomatiseerde besluitvorming plaats? Vermeld dit dan, evenals welke gevolgen dit heeft voor betrokkenen.
Overzicht van verwerkers
De privacyverklaring moet een overzicht bevatten van externe verwerkers die persoonsgegevens verwerken die via de website zijn verzameld.
Vermelding van overdracht naar het buitenland
Komen persoonsgegevens van je bezoekers terecht bij een organisatie over de grens? Vermeld om welke organisatie het gaat, net als het doel hiervan. Dit is met name van belang wanneer persoonsgegevens buiten de EU terechtkomen.
Contactgegevens van de Functionaris Gegevensbescherming
Maakt je organisatie gebruik van een Functionaris Gegevensbescherming? Vermeld dan de contactgegevens van deze persoon.
2. Cookieverklaring
Maakt je website gebruik van cookies? Dan moet je naast een privacyverklaring een cookieverklaring op de website plaatsen. Hierin leg je uit wat cookies zijn en hoe bezoekers deze kunnen in- en uitschakelen. Sommige cookies mag je alleen plaatsen na toestemming, zoals bij remarketing het geval is. Inmiddels komen er steeds meer plugins beschikbaar waarmee je dit eenvoudig kunt regelen.
3. Technische veiligheidsmaatregelen
De AVG verwacht van je dat je de nodige technische veiligheidsmaatregelen neemt om de persoonsgegevens te beschermen tegen inbreuk en diefstal door kwaadwillenden. De belangrijkste veiligheidsmaatregelen zijn:
SSL- of TLS-certificaat
Hiermee versleutel je het webverkeer tussen de browser van de bezoeker en de webserver. Daardoor kunnen hackers dit verkeer niet onderscheppen. Hiervoor is een SSL- of TLS-certificaat nodig. De bezoeker herkent een versleutelde website aan de hand van het voorvoegsel https:// (in plaats van http://) en het groene slotje in de adresbalk.
Deze beveiliging is met name relevant voor pagina’s waar bezoekers hun persoonsgegevens achterlaten, zoals in contactformulieren.
Up-to-date CMS-systeem en plugins
Het CMS-systeem van je website moet regelmatig worden bijgewerkt met veiligheidsupdates. Dat geldt ook voor eventuele plugins. Op die manier voorkom je dat aanvallers misbruik maken van bekende fouten in de besturingssoftware van je website.
4. Webformulieren controleren op ‘overbodige’ persoonsgegevens
Een van de kernregels van de AVG is dat je niet meer gegevens mag verwerken dan strikt noodzakelijk voor het doel dat je voor ogen hebt. Controleer je webformulieren dus op het vragen naar informatie die je eigenlijk niet per se nodig hebt.
5. Controleer je WordPress-plugins
WordPress is een veelgebruikt CMS. Zo’n 30% van alle websites draait op dit systeem. Een van de kenmerken zijn de vele, vaak gratis beschikbare plug-ins waarmee je allerlei functionaliteit aan je website toevoegt.
Het is verstandig een overzicht te maken van alle plugins waarvan je website gebruikmaakt. Ga deze een voor een langs en controleer welke persoonsgegevens deze verzamelen. Op de website van de makers vind je vaak of een plugin voldoet aan de AVG. Is dat niet het geval, dan is het verstandig op zoek te gaan naar een alternatief. Met name socialmediaplugins kunnen ongemerkt meer data verzamelen dan zonder instemming is toegestaan.
6. Controleer op toestemming
Bezoekers van je website moeten voor iedere verwerking van hun persoonsgegevens expliciet en actief toestemming geven. In de praktijk betekent dat vooraf aangevinkte opties voor bijvoorbeeld het ontvangen van een nieuwsbrief verboden zijn. Dergelijke opties moet je bezoeker altijd zelf kunnen aangeven.
Het moet bovendien glashelder zijn waar ze precies voor kiezen of toestemming voor geven. Om bij het nieuwsbrief-voorbeeld te blijven: leg uit wat ze precies ontvangen, hoe vaak en in welke vorm.
7. Loop alle medewerkersaccounts na
De AVG verbiedt de verwerking van persoonsgegevens door onbevoegden. Het is dan ook goed alle webaccounts na te lopen. Deze accounts verschaffen immers vaak toegang tot persoonsgegevens. Zo komt het geregeld voor dat accounts van oud-medewerkers nog actief zijn. Schakel alle accounts die niet meer strikt noodzakelijk zijn uit. Beperk ook de rechten van de actieve accounts: geef gebruikers niet meer rechten dan strikt noodzakelijk.
8. Maak Google Analytics privacyvriendelijk
Google Analytics is een veelgebruike webdienst voor het bijhouden van webstatistieken. Je moet echter wel een paar aanpassingen doen voordat dat privacyvriendelijk en volgens de AVG-spelregels gebeurt. Google Analytics verzamelt onder andere IP-adressen, en die vallen onder persoonsgegevens.
Lees onze Blog ‘Stap-voor-stap: Google Analytics AVG-vriendelijk’ om te zien hoe je dit aanpakt.
9. Zorg voor overzicht in het back-end
De AVG verplicht onder andere organisaties met meer dan 250 medewerkers om een verwerkingsregister bij te houden. Dit is een overzicht van welke persoonsgegevens verwerkt worden, wie daarvoor verantwoordelijk is en met welk doel dat gebeurt.
In dat verwerkingsregister moet je ook bijhouden welke gegevens via de website zijn verzameld. Je moet bijvoorbeeld kunnen terugvinden dat persoon X op moment Y akkoord heeft gegeven voor de nieuwsbrief of gegevens heeft achterlaten, en op welke manier dat is gebeurd (vaak via het plaatsen van een vinkje of invullen van een invoerveld). Wanneer je dat niet goed kan terugvinden, weet je ook bijvoorbeeld niet wanneer je data weer moet verwijderen.
Dat kun je alleen goed bijhouden wanneer de website dergelijke zaken nauwgezet registreert. Ga na hoe dat in jouw website is geregeld en zorg dat dergelijke zaken herleidbaar zijn.
10. Sluit verwerkersovereenkomsten af met derde partijen
Wanneer via de website verzamelde persoonsgegevens terechtkomen bij derde partijen, moet je met hen een verwerkersovereenkomst sluiten. Daar is al snel sprake van. Denk bijvoorbeeld aan de koppeling van je website met een nieuwsbriefoplossing als Mailchimp. Ook plugins voor bijvoorbeeld socialmediacounters verzamelen soms persoonsgegevens (IP-adressen).
Sommige grote partijen als Google, Mailchimp en Facebook hebben hiervoor standaard verwerkersovereenkomsten waarmee je akkoord moet gaan. Neem contact met ze op en vraag ernaar.
Alle berichten