Checklist: met deze 10 stappen maak je jouw website AVG-proof

De nieuwe Europese privacywetgeving heeft grote gevolgen voor de website van je bedrijf of organisatie. Met deze 10 aandachtspunten voorkom je privacy-issues en zorg je voor compliance met de AVG/GDPR.

Checklist: met deze 10 stappen maak je jouw website AVG-proof

Iedere website moet tegenwoordig voorzien zijn van een SSL certificaat, ook wel een https verbinding genoemd.

1. Een duidelijke privacyverklaring

Al onder de Wbp moest je websitebezoekers middels een privacyverklaring informeren over welke persoonsgegevens je verwerkt en met welk doel je dat doet. Dat is met de komst van de AVG/GDPR niet veranderd. De eisen die aan een privacyverklaring worden gesteld, zijn wel een stuk strikter.

De privacyverklaring moet geschreven zijn in duidelijke taal, afgestemd op het taalniveau van je doelgroep. Een privacyverklaring moet ten minste de volgende onderdelen bevatten:

De identiteit van je organisatie

Dit is de naam van je organisatie, eventueel aangevuld met een kvk-nummer en contactgegevens.

Welke persoonsgegevens je website verwerkt

Dit spreekt voor zich. Je informeert je bezoeker welke persoonsgegevens de website verwerkt.

De doeleinden en de rechtsgrond waarop je deze gegevens verwerkt

Hiermee geef je aan met welke reden je de persoonsgegevens verwerkt. Deze reden moet wel wettelijk geldig zijn (‘een rechtsgrond hebben’).

Eventueel: het legitiem belang van de verwerkingsverantwoordelijke

Wanneer het rechtsgrond van de verwerking een legitiem belang is, dan moet dit belang duidelijk zijn toegelicht. Een legitiem belang is van toepassing wanneer je de gegevens van mensen gebruikt op een manier die zij redelijkerwijs kunnen verwachten. Bovendien moet de verwerking minimale privacy-impact hebben.

Duur van de verwerking/opslag van de persoonsgegevens

Je mag de persoonsgegevens enkel verwerken en bewaren zolang dit noodzakelijk is voor het beoogde doel. Het privacyverklaring moet duidelijkheid geven over deze termijn. Het ‘zo lang mogelijk’ of ‘oneindig’ bewaren van persoonsgegevens is geen optie.

De rechten van betrokkenen

De betrokkenen hebben altijd het recht de verwerking te stoppen, de persoonsgegevens te corrigeren, bezwaar te maken of data te laten verwijderen. Ook mogen ze een klacht indienen bij de Autoriteit Persoonsgegevens. De privacyverklaring moet je bezoekers niet alleen wijzen op hun rechten, maar ook uitleggen hoe ze deze stappen kunnen ondernemen.

Bron van de persoonsgegevens

Zijn de persoonsgegevens niet van de website zelf afkomstig, maar bijvoorbeeld van een gekochte mailinglijst? Dan moet je dit duidelijk in de privacyverklaring vermelden.

Profiling en geautomatiseerde besluitvorming

Vind op je website profiling en geautomatiseerde besluitvorming plaats? Vermeld dit dan, evenals welke gevolgen dit heeft voor betrokkenen.

Overzicht van verwerkers

De privacyverklaring moet een overzicht bevatten van externe verwerkers die persoonsgegevens verwerken die via de website zijn verzameld.

Vermelding van overdracht naar het buitenland

Komen persoonsgegevens van je bezoekers terecht bij een organisatie over de grens? Vermeld om welke organisatie het gaat, net als het doel hiervan. Dit is met name van belang wanneer persoonsgegevens buiten de EU terechtkomen.

Contactgegevens van de Functionaris Gegevensbescherming

Maakt je organisatie gebruik van een Functionaris Gegevensbescherming? Vermeld dan de contactgegevens van deze persoon.

2. Cookieverklaring

Maakt je website gebruik van cookies? Dan moet je naast een privacyverklaring een cookieverklaring op de website plaatsen. Hierin leg je uit wat cookies zijn en hoe bezoekers deze kunnen in- en uitschakelen. Sommige cookies mag je alleen plaatsen na toestemming, zoals bij remarketing het geval is. Inmiddels komen er steeds meer plugins beschikbaar waarmee je dit eenvoudig kunt regelen.

3. Technische veiligheidsmaatregelen

De AVG verwacht van je dat je de nodige technische veiligheidsmaatregelen neemt om de persoonsgegevens te beschermen tegen inbreuk en diefstal door kwaadwillenden. De belangrijkste veiligheidsmaatregelen zijn:

SSL- of TLS-certificaat

Hiermee versleutel je het webverkeer tussen de browser van de bezoeker en de webserver. Daardoor kunnen hackers dit verkeer niet onderscheppen. Hiervoor is een SSL- of TLS-certificaat nodig. De bezoeker herkent een versleutelde website aan de hand van het voorvoegsel https:// (in plaats van http://) en het groene slotje in de adresbalk.
Deze beveiliging is met name relevant voor pagina’s waar bezoekers hun persoonsgegevens achterlaten, zoals in contactformulieren.

Up-to-date CMS-systeem en plugins

Het CMS-systeem van je website moet regelmatig worden bijgewerkt met veiligheidsupdates. Dat geldt ook voor eventuele plugins. Op die manier voorkom je dat aanvallers misbruik maken van bekende fouten in de besturingssoftware van je website.

4. Webformulieren controleren op ‘overbodige’ persoonsgegevens

Een van de kernregels van de AVG is dat je niet meer gegevens mag verwerken dan strikt noodzakelijk voor het doel dat je voor ogen hebt. Controleer je webformulieren dus op het vragen naar informatie die je eigenlijk niet per se nodig hebt.

5. Controleer je WordPress-plugins

WordPress is een veelgebruikt CMS. Zo’n 30% van alle websites draait op dit systeem. Een van de kenmerken zijn de vele, vaak gratis beschikbare plug-ins waarmee je allerlei functionaliteit aan je website toevoegt.

Het is verstandig een overzicht te maken van alle plugins waarvan je website gebruikmaakt. Ga deze een voor een langs en controleer welke persoonsgegevens deze verzamelen. Op de website van de makers vind je vaak of een plugin voldoet aan de AVG. Is dat niet het geval, dan is het verstandig op zoek te gaan naar een alternatief. Met name socialmediaplugins kunnen ongemerkt meer data verzamelen dan zonder instemming is toegestaan.

6. Controleer op toestemming

Bezoekers van je website moeten voor iedere verwerking van hun persoonsgegevens expliciet en actief toestemming geven. In de praktijk betekent dat vooraf aangevinkte opties voor bijvoorbeeld het ontvangen van een nieuwsbrief verboden zijn. Dergelijke opties moet je bezoeker altijd zelf kunnen aangeven.

Het moet bovendien glashelder zijn waar ze precies voor kiezen of toestemming voor geven. Om bij het nieuwsbrief-voorbeeld te blijven: leg uit wat ze precies ontvangen, hoe vaak en in welke vorm.

7. Loop alle medewerkersaccounts na

De AVG verbiedt de verwerking van persoonsgegevens door onbevoegden. Het is dan ook goed alle webaccounts na te lopen. Deze accounts verschaffen immers vaak toegang tot persoonsgegevens. Zo komt het geregeld voor dat accounts van oud-medewerkers nog actief zijn. Schakel alle accounts die niet meer strikt noodzakelijk zijn uit. Beperk ook de rechten van de actieve accounts: geef gebruikers niet meer rechten dan strikt noodzakelijk.

8. Maak Google Analytics privacyvriendelijk

Google Analytics is een veelgebruike webdienst voor het bijhouden van webstatistieken. Je moet echter wel een paar aanpassingen doen voordat dat privacyvriendelijk en volgens de AVG-spelregels gebeurt. Google Analytics verzamelt onder andere IP-adressen, en die vallen onder persoonsgegevens.

We komen hier uitgebreid op terug in een apart stappenplan.

9. Zorg voor overzicht in het back-end

De AVG verplicht onder andere organisaties met meer dan 250 medewerkers om een verwerkingsregister bij te houden. Dit is een overzicht van welke persoonsgegevens verwerkt worden, wie daarvoor verantwoordelijk is en met welk doel dat gebeurt.

In dat verwerkingsregister moet je ook bijhouden welke gegevens via de website zijn verzameld. Je moet bijvoorbeeld kunnen terugvinden dat persoon X op moment Y akkoord heeft gegeven voor de nieuwsbrief of gegevens heeft achterlaten, en op welke manier dat is gebeurd (vaak via het plaatsen van een vinkje of invullen van een invoerveld). Wanneer je dat niet goed kan terugvinden, weet je ook bijvoorbeeld niet wanneer je data weer moet verwijderen.

Dat kun je alleen goed bijhouden wanneer de website dergelijke zaken nauwgezet registreert. Ga na hoe dat in jouw website is geregeld en zorg dat dergelijke zaken herleidbaar zijn.

10. Sluit verwerkersovereenkomsten af met derde partijen

Wanneer via de website verzamelde persoonsgegevens terechtkomen bij derde partijen, moet je met hen een verwerkersovereenkomst sluiten. Daar is al snel sprake van. Denk bijvoorbeeld aan de koppeling van je website met een nieuwsbriefoplossing als Mailchimp. Ook plugins voor bijvoorbeeld socialmediacounters verzamelen soms persoonsgegevens (IP-adressen).

Sommige grote partijen als Google, Mailchimp en Facebook hebben hiervoor standaard verwerkersovereenkomsten waarmee je akkoord moet gaan. Neem contact met ze op en vraag ernaar.

Wil je op de hoogte blijven van nieuwe blogs over de AVG, privacy-issues, meldplicht datalekken en aanverwante zaken? Meld je dan aan voor onze nieuwsbrief en mis geen enkele update.

Privacyketting

Benieuwd welke onderdelen je allemaal in orde moet hebben voor volledige compliance? Download dan de ‘privacyketting’-PDF van de onze website.

Wat is dataminimalisatie?

De AVG / GDPR kent een regelmatig terugkerend begrip: dataminimalisatie. Dit houdt in dat je als organisatie niet meer gegevens mag verzamelen dat strikt noodzakelijk voor het beoogde doel. Of zoals in de wettekst officieel gesproken wordt: Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.

Privacymaatregelen? Vergeet het papier niet

Met de deadline voor de AVG / GDPR in het vooruitzicht zijn veel bedrijven druk doende met de noodzakelijke voorbereidingen. Daarbij focussen velen enkel op de digitale datahuishouding en is papier een ondergeschoven kindje. Dat kan allerlei vervelende gevolgen hebben en leidt in ieder geval niet tot volledige compliance.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

Whitepaper GDPR

Download de Whitepaper GDPR

Wilt u meer weten over de Privacywetgeving, de AVG/GDPR en de concequenties voor uw organisatie? Vul dan uw naam en e-mailadres in. U ontvangt vervolgens een e-mail met daarin een download-link.

Bedankt voor het aanvragen van de Whitepaper. Check uw e-mail... ook uw SPAM-box.