We merken dat we nu steeds meer vragen krijgn over de AVG-wet (General Data Protection Regulation), met name wat er met de website moet gebeuren. Onze website is ook nog niet ‘AVG-proof’ moet ik eerlijk bekennen, maar we zijn wel druk bezig.
Je website wordt echt niet per 25 mei uit de lucht gehaald als je hem niet goed beveiligd hebt. Maar je loopt wel het risico op een boete als je je zaakjes niet voor elkaar hebt.
Daarom even heel praktisch waar je als kleine website-eigenaar aan moet denken:
#1 Heb je een contactformulier?
Dan heb je een SSL-certificaat nodig. Voorheen alleen iets voor webshops, nu moet iedereen die bijvoorbeeld een contactformulier of inschrijving voor de nieuwsbrief heeft, een SSL-veiligheidscertificaat aan de website koppelen.
Je website begint daarna niet meer met http://, maar met https://.
De linkjes die her en der naar jouw website verwijzen, zullen automatisch deze beveiligde link kiezen. Je hoeft dus niet overal je websitelink aan te passen.
Hoe kom je aan een SSL-certificaat?
Dit kun je opvragen bij je webhoster. Vrijwel elke webhoster heeft hier ook wel iets over op zijn website staan.
De kosten zijn verschillend per hoster. Soms is het bij de prijs inbegrepen van je hostingpakket, maar moet je het nog wel eerst aanvragen.
In de meeste gevallen hoef je niets meer te doen, nadat het SSL-certificaat gekoppeld is. Maar ook dat kan per hoster verschillend zijn. Sommige hosters laten een deel van het werk aan de webbouwers over.
(Daarom is de kwaliteit van je webhoster zo belangrijk, wij zijn fan van Hensel Hosting, die zijn zaakjes goed op orde heeft).
Als je geen contactformulier hebt en besluit het SSL-certificaat niet te koppelen, dan kan het zijn dat bezoekers van je site een melding krijgen in de browserbalk dat jouw site niet veilig is.
Wat doe je met de gegevens van je contactformulier?
In de privacyverklaring schrijf je wat je doet met de gegevens van het contactformulier (en nieuwsbrief, zie hieronder). Ook wie het in kan zien en hoe lang je dit bewaard.
Online zijn veel voorbeelden voor een goede privacyverklaring. Hier zie je waar je nieuwe privacyverklaring aan moet voldoen.
Je kunt boven je contactformulier verwijzen naar de privacyverklaring, maar nog beter is om een vinkje onderaan het contactformulier te zetten, dat men akkoord gaat met de privacyverklaring.
Als je privacygevoelige informatie vraagt, zoals verzekeringsnummer, BSN enzovoort, dan moet men sowieso akkoord geven op de privacyverklaring.
#2 Inschrijven nieuwsbrief
Je moet in ieder geval aantoonbaar kunnen laten zien dat men zich heeft ingeschreven voor de nieuwsbrief. Met een double-opt-in, dus zij moeten per mail bevestigen dat zij zich ingeschreven hebben. Je mag niet automatisch meer iemand inschrijven voor de nieuwsbrief die informatie aanvraagt, of bijvoorbeeld een e-book wil downloaden.
Wel mag je bestaande klanten, waarbij duidelijk een klantrelatie is een nieuwsbrief sturen. Belangrijk is dat men zich makkelijk kan uitschrijven voor deze nieuwsbrief.
Je beschrijft verder in je privacyverklaring wat je met de gegevens van de nieuwsbriefinschrijving doet en waar de gegevens worden opgeslagen. Dat kan Mailchimp zijn, die ook haar verantwoordelijkheid neemt:
#3 Google Analytics
De meeste websites zijn gekoppeld aan Google Analytics. Je moet dit melden in een cookiemelding. Bij tracking voor de statistieken is een melding voldoende. Dus een popup waarin mensen hier op gewezen worden. Dat kan een kleine pop-up zijn die onderaan je website te zien is. Bij WordPress websites zijn er talloze goede plugins die je hiervoor kunt gebruiken.
Om het helemaal goed te doen, teken je ook een verwerkersovereenkomst met Google Analytics. Dat doe je door in te loggen op je account en bij je accountinstellingen kun je onderaan de verwerkersovereenkomst tekenen.
#4 Foto’s van anderen op je site
Foto’s van werknemers, klanten, leerlingen… Je moet expliciet toestemming hebben (schriftelijk) om die te mogen publiceren op je site.
#5 Affiliatelinks
Wij hebben zelf affiliatesites. Dan moet de cookiemelding uitgebreid worden. Bezoekers moeten duidelijk gevraagd worden of de cookies wel of niet gebruikt mogen worden. Wil iemand dit niet, dan moeten zij verder op de website kunnen gaan, zonder dat deze specifieke cookies worden opgeslagen. Alleen een mededeling is dus niet voldoende.
Tevens bieden de meeste affiliatenetwerken ook verwerkersovereenkomsten aan die je moet tekenen en verwerken in je privacy-verklaring.Uiteraard moet in de privacyverklaring ook uitgebreid staan waarvoor deze trackingcookies dienen, wat er precies opgeslagen wordt en voor welke doeleinden.
Er komt overigens nog een nieuwe ePrivacy-wetgeving. Die gaat nog niet in op 25 mei 2018, want er is nog geen akkoord.
#6 Gebruik Dropbox
Niet direct iets voor op je website, maar vaak delen we wel bestanden voor onze website via Dropbox met Y-catcher! of een andere websitebouwer.
Gebruik je Dropbox voor het bewaren van gegevens, foto’s of het delen van bestanden?
Dropbox is bezig om aan alle richtlijnen van de AVG-wet te voldoen. Hier vind je meer informatie.
Alles op een rijtje
Meer informatie vind je op de website Autoriteit Persoonsgegevens