Checklist: met deze 10 stappen maak je jouw website AVG-proof

De nieuwe Europese privacywetgeving heeft grote gevolgen voor de website van je bedrijf of organisatie. Met deze 10 aandachtspunten voorkom je privacy-issues en zorg je voor compliance met de AVG/GDPR.

Checklist: met deze 10 stappen maak je jouw website AVG-proof

Iedere website moet tegenwoordig voorzien zijn van een SSL certificaat, ook wel een https verbinding genoemd.

1. Een duidelijke privacyverklaring

Al onder de Wbp moest je websitebezoekers middels een privacyverklaring informeren over welke persoonsgegevens je verwerkt en met welk doel je dat doet. Dat is met de komst van de AVG/GDPR niet veranderd. De eisen die aan een privacyverklaring worden gesteld, zijn wel een stuk strikter.

De privacyverklaring moet geschreven zijn in duidelijke taal, afgestemd op het taalniveau van je doelgroep. Een privacyverklaring moet ten minste de volgende onderdelen bevatten:

De identiteit van je organisatie

Dit is de naam van je organisatie, eventueel aangevuld met een kvk-nummer en contactgegevens.

Welke persoonsgegevens je website verwerkt

Dit spreekt voor zich. Je informeert je bezoeker welke persoonsgegevens de website verwerkt.

De doeleinden en de rechtsgrond waarop je deze gegevens verwerkt

Hiermee geef je aan met welke reden je de persoonsgegevens verwerkt. Deze reden moet wel wettelijk geldig zijn (‘een rechtsgrond hebben’).

Eventueel: het legitiem belang van de verwerkingsverantwoordelijke

Wanneer het rechtsgrond van de verwerking een legitiem belang is, dan moet dit belang duidelijk zijn toegelicht. Een legitiem belang is van toepassing wanneer je de gegevens van mensen gebruikt op een manier die zij redelijkerwijs kunnen verwachten. Bovendien moet de verwerking minimale privacy-impact hebben.

Duur van de verwerking/opslag van de persoonsgegevens

Je mag de persoonsgegevens enkel verwerken en bewaren zolang dit noodzakelijk is voor het beoogde doel. Het privacyverklaring moet duidelijkheid geven over deze termijn. Het ‘zo lang mogelijk’ of ‘oneindig’ bewaren van persoonsgegevens is geen optie.

De rechten van betrokkenen

De betrokkenen hebben altijd het recht de verwerking te stoppen, de persoonsgegevens te corrigeren, bezwaar te maken of data te laten verwijderen. Ook mogen ze een klacht indienen bij de Autoriteit Persoonsgegevens. De privacyverklaring moet je bezoekers niet alleen wijzen op hun rechten, maar ook uitleggen hoe ze deze stappen kunnen ondernemen.

Bron van de persoonsgegevens

Zijn de persoonsgegevens niet van de website zelf afkomstig, maar bijvoorbeeld van een gekochte mailinglijst? Dan moet je dit duidelijk in de privacyverklaring vermelden.

Profiling en geautomatiseerde besluitvorming

Vind op je website profiling en geautomatiseerde besluitvorming plaats? Vermeld dit dan, evenals welke gevolgen dit heeft voor betrokkenen.

Overzicht van verwerkers

De privacyverklaring moet een overzicht bevatten van externe verwerkers die persoonsgegevens verwerken die via de website zijn verzameld.

Vermelding van overdracht naar het buitenland

Komen persoonsgegevens van je bezoekers terecht bij een organisatie over de grens? Vermeld om welke organisatie het gaat, net als het doel hiervan. Dit is met name van belang wanneer persoonsgegevens buiten de EU terechtkomen.

Contactgegevens van de Functionaris Gegevensbescherming

Maakt je organisatie gebruik van een Functionaris Gegevensbescherming? Vermeld dan de contactgegevens van deze persoon.

2. Cookieverklaring

Maakt je website gebruik van cookies? Dan moet je naast een privacyverklaring een cookieverklaring op de website plaatsen. Hierin leg je uit wat cookies zijn en hoe bezoekers deze kunnen in- en uitschakelen. Sommige cookies mag je alleen plaatsen na toestemming, zoals bij remarketing het geval is. Inmiddels komen er steeds meer plugins beschikbaar waarmee je dit eenvoudig kunt regelen.

3. Technische veiligheidsmaatregelen

De AVG verwacht van je dat je de nodige technische veiligheidsmaatregelen neemt om de persoonsgegevens te beschermen tegen inbreuk en diefstal door kwaadwillenden. De belangrijkste veiligheidsmaatregelen zijn:

SSL- of TLS-certificaat

Hiermee versleutel je het webverkeer tussen de browser van de bezoeker en de webserver. Daardoor kunnen hackers dit verkeer niet onderscheppen. Hiervoor is een SSL- of TLS-certificaat nodig. De bezoeker herkent een versleutelde website aan de hand van het voorvoegsel https:// (in plaats van http://) en het groene slotje in de adresbalk.
Deze beveiliging is met name relevant voor pagina’s waar bezoekers hun persoonsgegevens achterlaten, zoals in contactformulieren.

Up-to-date CMS-systeem en plugins

Het CMS-systeem van je website moet regelmatig worden bijgewerkt met veiligheidsupdates. Dat geldt ook voor eventuele plugins. Op die manier voorkom je dat aanvallers misbruik maken van bekende fouten in de besturingssoftware van je website.

4. Webformulieren controleren op ‘overbodige’ persoonsgegevens

Een van de kernregels van de AVG is dat je niet meer gegevens mag verwerken dan strikt noodzakelijk voor het doel dat je voor ogen hebt. Controleer je webformulieren dus op het vragen naar informatie die je eigenlijk niet per se nodig hebt.

5. Controleer je WordPress-plugins

WordPress is een veelgebruikt CMS. Zo’n 30% van alle websites draait op dit systeem. Een van de kenmerken zijn de vele, vaak gratis beschikbare plug-ins waarmee je allerlei functionaliteit aan je website toevoegt.

Het is verstandig een overzicht te maken van alle plugins waarvan je website gebruikmaakt. Ga deze een voor een langs en controleer welke persoonsgegevens deze verzamelen. Op de website van de makers vind je vaak of een plugin voldoet aan de AVG. Is dat niet het geval, dan is het verstandig op zoek te gaan naar een alternatief. Met name socialmediaplugins kunnen ongemerkt meer data verzamelen dan zonder instemming is toegestaan.

6. Controleer op toestemming

Bezoekers van je website moeten voor iedere verwerking van hun persoonsgegevens expliciet en actief toestemming geven. In de praktijk betekent dat vooraf aangevinkte opties voor bijvoorbeeld het ontvangen van een nieuwsbrief verboden zijn. Dergelijke opties moet je bezoeker altijd zelf kunnen aangeven.

Het moet bovendien glashelder zijn waar ze precies voor kiezen of toestemming voor geven. Om bij het nieuwsbrief-voorbeeld te blijven: leg uit wat ze precies ontvangen, hoe vaak en in welke vorm.

7. Loop alle medewerkersaccounts na

De AVG verbiedt de verwerking van persoonsgegevens door onbevoegden. Het is dan ook goed alle webaccounts na te lopen. Deze accounts verschaffen immers vaak toegang tot persoonsgegevens. Zo komt het geregeld voor dat accounts van oud-medewerkers nog actief zijn. Schakel alle accounts die niet meer strikt noodzakelijk zijn uit. Beperk ook de rechten van de actieve accounts: geef gebruikers niet meer rechten dan strikt noodzakelijk.

8. Maak Google Analytics privacyvriendelijk

Google Analytics is een veelgebruike webdienst voor het bijhouden van webstatistieken. Je moet echter wel een paar aanpassingen doen voordat dat privacyvriendelijk en volgens de AVG-spelregels gebeurt. Google Analytics verzamelt onder andere IP-adressen, en die vallen onder persoonsgegevens.

Lees onze Blog ‘Stap-voor-stap: Google Analytics AVG-vriendelijk’ om te zien hoe je dit aanpakt.

9. Zorg voor overzicht in het back-end

De AVG verplicht onder andere organisaties met meer dan 250 medewerkers om een verwerkingsregister bij te houden. Dit is een overzicht van welke persoonsgegevens verwerkt worden, wie daarvoor verantwoordelijk is en met welk doel dat gebeurt.

In dat verwerkingsregister moet je ook bijhouden welke gegevens via de website zijn verzameld. Je moet bijvoorbeeld kunnen terugvinden dat persoon X op moment Y akkoord heeft gegeven voor de nieuwsbrief of gegevens heeft achterlaten, en op welke manier dat is gebeurd (vaak via het plaatsen van een vinkje of invullen van een invoerveld). Wanneer je dat niet goed kan terugvinden, weet je ook bijvoorbeeld niet wanneer je data weer moet verwijderen.

Dat kun je alleen goed bijhouden wanneer de website dergelijke zaken nauwgezet registreert. Ga na hoe dat in jouw website is geregeld en zorg dat dergelijke zaken herleidbaar zijn.

10. Sluit verwerkersovereenkomsten af met derde partijen

Wanneer via de website verzamelde persoonsgegevens terechtkomen bij derde partijen, moet je met hen een verwerkersovereenkomst sluiten. Daar is al snel sprake van. Denk bijvoorbeeld aan de koppeling van je website met een nieuwsbriefoplossing als Mailchimp. Ook plugins voor bijvoorbeeld socialmediacounters verzamelen soms persoonsgegevens (IP-adressen).

Sommige grote partijen als Google, Mailchimp en Facebook hebben hiervoor standaard verwerkersovereenkomsten waarmee je akkoord moet gaan. Neem contact met ze op en vraag ernaar.

Wil je op de hoogte blijven van nieuwe blogs over de AVG, privacy-issues, meldplicht datalekken en aanverwante zaken? Meld je dan aan voor onze nieuwsbrief en mis geen enkele update.

YourSafetynet scoort Editors’ Choice-award en rapportcijfer 9,5

Met de recente grote update voorzagen we YourSafetynet van een flink pak functionele vernieuwingen. Alle reden voor de redactie van het gerespecteerde IT-vaktijdschrift WINMAG Pro om ons opnieuw kritisch te reviewen. Niet zonder succes: we ontvingen van de redactie een rapportcijfer van 9,5 en een Editors’ Choice-award.

Stap-voor-stap: Google Analytics AVG-vriendelijk

Google Analytics is veruit de meestgebruikte oplossing voor het bijhouden van webstatistieken. De oplossing is echter niet vanzelf AVG-compliant. Daarvoor moet je een aantal instellingen aanpassen. Wij laten zien hoe je dat aanpakt.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

YourSafetynet Folder

De 4 pijlers van YourSafetynet

Voldoen aan de AVG duur, tijdrovend en ingewikkeld? Niet met YourSafetynet. Onze totaaloplossing maakt jouw organisatie 100% AVG-proof. Zonder ingewikkeld gedoe. Download de 4 pijlers van YourSafeynet.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

Share This