AVG-checklist: jouw website in 7 stappen AVG-ready

30 maart 2018

Met deze AVG-checklist ben je op de goede weg om jouw website te laten voldoen aan de nieuwe regelgeving van de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Deze nieuwe Europese privacy wetgeving is vanaf 25 mei 2018 van toepassing.

De AVG/GDPR heeft – zoals je waarschijnlijk al weet – betrekking op de gegevensverwerking van de gehele organisatie, zowel naar binnen als naar buiten toe. In dit artikel concentreren we ons op de gevolgen voor websites en bieden we je een AVG-checklist met zeven stappen waar je naar moet kijken om jouw website AVG-ready te maken.

AVG-checklist:

Stap 1: Privacy- en cookieverklaring

De AVG stelt dat een organisatie transparant moet zijn in wat zij met persoonsgegevens doen. Als website eigenaar ben je wettelijk verplicht om bezoekers te informeren over welke persoonsgegevens je verzamelt en met welk doel. Dit omschrijf je in een privacy- en cookieverklaring. Elke bezoeker moet de privacy- en cookieverklaring eenvoudig op de website kunnen vinden! Doe dit door een link naar deze pagina te plaatsen op een prominente plek op de website, bijvoorbeeld in de footer. Zorg ook dat je in het bestelproces en in (contact)formulieren naar deze pagina verwijst.

In een privacyverklaring moet onder andere in begrijpelijke taal staan welke persoonsgegevens je verzamelt en met welk doel. Beschrijf ook hoe lang je de gegevens bewaart en welke maatregelen je hebt genomen om de persoonsgegevens te beveiligen. Tot slot wijs je bezoekers van de website in een privacyverklaring op de privacyrechten die ze hebben en hoe ze een verzoek tot inzage, correctie, dataportabiliteit of verwijdering kunnen indienen.

In een cookieverklaring beschrijf je wat cookies zijn, welke cookies je gebruikt, voor welk doel ze dienen en hoe bezoekers van de website cookies in en uit kunnen schakelen. Bepaalde cookies mag je pas plaatsen nadat een bezoeker hier toestemming voor heeft gegeven. In het blog ‘Wat verandert er door de nieuwe Europese cookiewet in 2018’ lees je welke cookies je mag plaatsen zonder toestemming.

Stap 2: Beveiliging van persoonsgegevens

Bedrijven krijgen met de komst van de AVG meer verantwoordelijkheden. Een van die verantwoordelijkheden is dat bedrijven passende technische en organisatorische maatregelen moet nemen om persoonsgegevens te beveiligen tegen misbruik en onrechtmatige toegang.

Hieronder een (onvolledige) lijst met passende beveiligingsmaatregelen:

SSL certificaat

Stap 3: Formulieren en accounts

Onder de AVG is het niet toegestaan om gegevens te vragen die niet noodzakelijk zijn voor het doel dat je wilt bereiken. Zo mag je bij de aanmelding van een nieuwsbrief alleen een telefoonnummer en een e-mailadres vragen als je er bij vermeldt wat je met beide gegevens gaat doen.

Zorg dat je bij alle formulieren op je website enkel persoonsgegevens verwerkt die nodig zijn voor het doel dat je wilt bereiken.

Stap 4: Opt-in & opt-out

Een van de rechten van bezoekers is het recht op beperking van de verwerking. Dit houdt in dat organisaties (een gedeelte of alle) gegevens van bezoekers moeten verwijderen als ze hier om vragen. De AVG stelt dat een bezoeker zich net zo makkelijk moet kunnen afmelden (voor bijvoorbeeld een nieuwsbrief of het plaatsen van cookies) als dat ze zich hiervoor kunnen aanmelden. Dit proces van uitschrijven moet transparant en begrijpelijk zijn. Zorg ervoor dat zowel de knop “afmelden voor deze nieuwsbrief” als de cookie-instellingen van de website goed zichtbaar zijn!

Zoals je eerder kon lezen in dit blog mag je bepaalde cookies pas plaatsen nadat een bezoeker hier toestemming voor heeft gegeven. Ben je benieuwd voor welke cookies toestemming vereist is? Lees dan het blog ‘Wat verandert er door de nieuwe Europese cookiewet in 2018’. Plaats je cookies waar toestemming voor vereist is? Zorg er dan voor dat je voldoet aan de voorwaarden van de AVG:

Stap 5. Verwerkersovereenkomsten

Persoonsgegevens van je website worden in veel gevallen op meer plekken opgeslagen dan je denkt. Wanneer een derde partij persoonsgegevens voor je verwerkt, dan ben je verplicht om met die partij een verwerkersovereenkomst af te sluiten. In een verwerkersovereenkomst staan afspraken over hoe een andere partij omgaat met de persoonsgegevens, zodat je zeker weet dat ook zij zorgvuldig met de persoonsgegevens omgaan.

Maak voor jezelf een overzicht van alle partijen die persoonsgegevens van de website voor je verwerken en sluit met elk van hen een verwerkersovereenkomst af. Denk hierbij aan de software die je gebruikt voor het versturen van je nieuwsbrief, of aan de plugins die je gebruikt op je website. Maar ook je boekhouder en hostingpartij kunnen hier onder vallen.

Sommige grotere bedrijven (zoals Google met zijn Analytics pakket) hebben zelf een verwerkersovereenkomst die je kunt tekenen. Neem contact met ze op en vraag ernaar! Hebben ze er geen? Stel er dan zelf een op (of laat het doen) en laat deze overeenkomst tekenen door alle partijen die gegevens voor je verwerken.

Stap 6: Bewaartermijn van persoonsgegevens

Als iemand zich afmeldt voor de nieuwsbrief, moet je de gegevens van deze persoon verwijderen uit je database. Niet alleen uit je eigen database, maar ook bij die van je E-mail Service Provider. Waarom? Omdat je deze persoonsgegevens niet langer nodig hebt voor het doel waarvoor je ze verzamelt, namelijk het versturen van de nieuwsbrief. Een van de basisbeginselen van de AVG is namelijk dat een organisatie gegevens niet langer mag bewaren dan noodzakelijk voor het doel waarvoor ze zijn verzameld!

De AVG geeft geen concrete bewaartermijn waar een organisatie zich aan moet houden. Je mag zelf bepalen hoe lang je gegevens bewaart, mits je goed kan beargumenteren waarom je deze bewaartermijn hanteert. Het omschrijven van welke gegevens je verzamelt en welke bewaartermijn je hiervoor hanteert leg je vast in een register van verwerkingsactiviteiten. Wil je weten wat er in een register van verwerkingsactiviteiten moet staan? Lees dan deze pagina op de website van Autoriteit Persoonsgegevens.

Voor alle persoonsgegevens die je via je website verzamelt moet je technische maatregelen nemen om ervoor te zorgen dat deze gegevens automatisch worden verwijderd nadat de door jou vastgestelde bewaartermijn is verstreken.

Hieronder een (onvolledige) lijst met persoonsgegevens waarvan je de bewaartermijn moet vaststellen:

Stap 7: Klantenservice

De klantenservice is een belangrijk onderdeel van veel organisaties. Een slechte klachtenafhandeling kan zorgen voor flinke imagoschade. Zorg er daarom voor dat je klantenservice op de hoogte is van de privacyrechten van klanten. Klanten kunnen dan goed en snel geholpen worden bij privacy gerelateerde vragen.

Weet je een klant te vertellen wat het protocol is bij een datalek? Of wat de procedure is als een klant zijn of haar gegevens wil inzien? Train je klantenservice op eventuele privacyvragen die klanten kunnen stellen, zodat ze snel kunnen reageren. De AVG noemt namelijk termijnen waarbinnen je moet reageren en die zijn korter dan je denkt.

Overweeg daarnaast om een aantal privacy gerelateerde vragen toe te voegen aan de FAQ-pagina, zodat je de klantenservice kan ontlasten en de bezoeker sneller kan helpen.

Tot slot

Dit zijn de zeven stappen die je moet ondernemen om je website AVG-ready te maken. Bij Rocket Digital zijn we al geruime tijd druk bezig om ervoor te zorgen dat onze website AVG-ready is. Dit artikel is tot stand gekomen op basis van onze ervaringen met de AVG. Geen van de informatie in dit artikel is bedoeld als juridisch advies en hieraan kunnen geen rechten worden ontleend. Mocht je vragen hebben over wat we in dit artikel bespreken, dan raden we je aan om contact op te nemen met een juridisch expert.

Wil je het uiterste uit je AVG-ready campagnes halen? Kies dan voor ons als je online marketing bureau, of volg onze AdWords training.

 

Gerelateerde berichten

Cookiebot: de eerste AVG cookie banner

Voordat we ingaan op Cookiebot leggen we eerst uit waar een cookie banner aan moet voldoen om AVG compliant te zijn. Dit is handig voor […]

AVG-checklist

Google Analytics privacy-vriendelijk instellen: 6 stappen

Wanneer je via Google Analytics webstatistieken verzameld, worden er persoonsgegevens verwerkt van je websitebezoekers middels analytische cookies. Hiervoor is toestemming van je websitebezoekers nodig. Om […]

volg ons op