AVG-checklist: jouw website in 7 stappen AVG-ready
30 maart 2018
Met deze AVG-checklist ben je op de goede weg om jouw website te laten voldoen aan de nieuwe regelgeving van de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Deze nieuwe Europese privacy wetgeving is vanaf 25 mei 2018 van toepassing.
De AVG/GDPR heeft – zoals je waarschijnlijk al weet – betrekking op de gegevensverwerking van de gehele organisatie, zowel naar binnen als naar buiten toe. In dit artikel concentreren we ons op de gevolgen voor websites en bieden we je een AVG-checklist met zeven stappen waar je naar moet kijken om jouw website AVG-ready te maken.
De AVG stelt dat een organisatie transparant moet zijn in wat zij met persoonsgegevens doen. Als website eigenaar ben je wettelijk verplicht om bezoekers te informeren over welke persoonsgegevens je verzamelt en met welk doel. Dit omschrijf je in een privacy- en cookieverklaring. Elke bezoeker moet de privacy- en cookieverklaring eenvoudig op de website kunnen vinden! Doe dit door een link naar deze pagina te plaatsen op een prominente plek op de website, bijvoorbeeld in de footer. Zorg ook dat je in het bestelproces en in (contact)formulieren naar deze pagina verwijst.
In een privacyverklaring moet onder andere in begrijpelijke taal staan welke persoonsgegevens je verzamelt en met welk doel. Beschrijf ook hoe lang je de gegevens bewaart en welke maatregelen je hebt genomen om de persoonsgegevens te beveiligen. Tot slot wijs je bezoekers van de website in een privacyverklaring op de privacyrechten die ze hebben en hoe ze een verzoek tot inzage, correctie, dataportabiliteit of verwijdering kunnen indienen.
In een cookieverklaring beschrijf je wat cookies zijn, welke cookies je gebruikt, voor welk doel ze dienen en hoe bezoekers van de website cookies in en uit kunnen schakelen. Bepaalde cookies mag je pas plaatsen nadat een bezoeker hier toestemming voor heeft gegeven. In het blog ‘Wat verandert er door de nieuwe Europese cookiewet in 2018’ lees je welke cookies je mag plaatsen zonder toestemming.
Stap 2: Beveiliging van persoonsgegevens
Bedrijven krijgen met de komst van de AVG meer verantwoordelijkheden. Een van die verantwoordelijkheden is dat bedrijven passende technische en organisatorische maatregelen moet nemen om persoonsgegevens te beveiligen tegen misbruik en onrechtmatige toegang.
Hieronder een (onvolledige) lijst met passende beveiligingsmaatregelen:
Zorg dat je website een SSL- of TLS-certificaat heeft. Elke website die structureel persoonsgegevens verwerkt is verplicht om een SSL- of TLS-certificaat te hebben. Met SSL en TLS worden data tussen browser en server versleuteld. Een SSL- of TLS-certificaat is onder andere te herkennen aan de groene hangslot in de adresbalk en aan URL’s die beginnen met https:
De software van je website (inclusief plugins, widgets, extensies) moet up-to-date zijn en blijven.
Beperk het aantal mensen met toegang tot het CRM. Iedereen die toegang heeft tot het CRM moet daar een geldige reden voor hebben. Dit moet je specifiek gaan vastleggen, zodat duidelijk is wie waarom toegang heeft. Onnodige accounts moet je verwijderen.
Stel een beleid op met betrekking tot datalekken, zodat je voldoet aan de meldplicht datalekken. Een organisatie moet namelijk in staat zijn om ernstige datalekken binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Maak ook afspraken over datalekken met partijen die in jouw opdracht persoonsgegevens verwerken. Doe dit in de vorm van een verwerkersovereenkomst.
Stap 3: Formulieren en accounts
Onder de AVG is het niet toegestaan om gegevens te vragen die niet noodzakelijk zijn voor het doel dat je wilt bereiken. Zo mag je bij de aanmelding van een nieuwsbrief alleen een telefoonnummer en een e-mailadres vragen als je er bij vermeldt wat je met beide gegevens gaat doen.
Zorg dat je bij alle formulieren op je website enkel persoonsgegevens verwerkt die nodig zijn voor het doel dat je wilt bereiken.
Stap 4: Opt-in & opt-out
Een van de rechten van bezoekers is het recht op beperking van de verwerking. Dit houdt in dat organisaties (een gedeelte of alle) gegevens van bezoekers moeten verwijderen als ze hier om vragen. De AVG stelt dat een bezoeker zich net zo makkelijk moet kunnen afmelden (voor bijvoorbeeld een nieuwsbrief of het plaatsen van cookies) als dat ze zich hiervoor kunnen aanmelden. Dit proces van uitschrijven moet transparant en begrijpelijk zijn. Zorg ervoor dat zowel de knop “afmelden voor deze nieuwsbrief” als de cookie-instellingen van de website goed zichtbaar zijn!
Zoals je eerder kon lezen in dit blog mag je bepaalde cookies pas plaatsen nadat een bezoeker hier toestemming voor heeft gegeven. Ben je benieuwd voor welke cookies toestemming vereist is? Lees dan het blog ‘Wat verandert er door de nieuwe Europese cookiewet in 2018’. Plaats je cookies waar toestemming voor vereist is? Zorg er dan voor dat je voldoet aan de voorwaarden van de AVG:
Plaats cookies pas nadat de bezoeker hier ‘actief’ akkoord mee is gegaan. Actief betekent dat de bezoeker een actieve handeling moet verrichten om akkoord te geven. Het vakje ‘Ja, ik ga akkoord met de cookies’ mag niet langer vooraf aangevinkt zijn. Dit is te realiseren met een AVG cookie banner, zoals Cookiebot. Wil je weten hoe je de cookies van een website AVG-proof maakt? Lees dan ons artikel over Cookiebot.
Meet je het websitegedrag via Googla Analytics cookies? Zorg er dan voor dat je Analytics privacy-vriendelijk instelt. Het voordeel hiervan is dat de Analytics cookie zónder toestemming van de bezoeker geplaatst mag worden en het is AVG-proof.
Bezoekers moeten de cookie-instellingen op een eenvoudige manier kunnen vinden en aan kunnen passen. Dit geldt ook voor het aan- of afmelden voor de nieuwsbrief en het aanmaken of verwijderen van een online account.
De website moet ook functioneren als een bezoeker niet akkoord gaat met het plaatsen van cookies. Het plaatsen van een cookiewall is onder de nieuwe privacywet dan ook niet langer toegestaan.
Stap 5. Verwerkersovereenkomsten
Persoonsgegevens van je website worden in veel gevallen op meer plekken opgeslagen dan je denkt. Wanneer een derde partij persoonsgegevens voor je verwerkt, dan ben je verplicht om met die partij een verwerkersovereenkomst af te sluiten. In een verwerkersovereenkomst staan afspraken over hoe een andere partij omgaat met de persoonsgegevens, zodat je zeker weet dat ook zij zorgvuldig met de persoonsgegevens omgaan.
Maak voor jezelf een overzicht van alle partijen die persoonsgegevens van de website voor je verwerken en sluit met elk van hen een verwerkersovereenkomst af. Denk hierbij aan de software die je gebruikt voor het versturen van je nieuwsbrief, of aan de plugins die je gebruikt op je website. Maar ook je boekhouder en hostingpartij kunnen hier onder vallen.
Sommige grotere bedrijven (zoals Google met zijn Analytics pakket) hebben zelf een verwerkersovereenkomst die je kunt tekenen. Neem contact met ze op en vraag ernaar! Hebben ze er geen? Stel er dan zelf een op (of laat het doen) en laat deze overeenkomst tekenen door alle partijen die gegevens voor je verwerken.
Stap 6: Bewaartermijn van persoonsgegevens
Als iemand zich afmeldt voor de nieuwsbrief, moet je de gegevens van deze persoon verwijderen uit je database. Niet alleen uit je eigen database, maar ook bij die van je E-mail Service Provider. Waarom? Omdat je deze persoonsgegevens niet langer nodig hebt voor het doel waarvoor je ze verzamelt, namelijk het versturen van de nieuwsbrief. Een van de basisbeginselen van de AVG is namelijk dat een organisatie gegevens niet langer mag bewaren dan noodzakelijk voor het doel waarvoor ze zijn verzameld!
De AVG geeft geen concrete bewaartermijn waar een organisatie zich aan moet houden. Je mag zelf bepalen hoe lang je gegevens bewaart, mits je goed kan beargumenteren waarom je deze bewaartermijn hanteert. Het omschrijven van welke gegevens je verzamelt en welke bewaartermijn je hiervoor hanteert leg je vast in een register van verwerkingsactiviteiten. Wil je weten wat er in een register van verwerkingsactiviteiten moet staan? Lees dan deze pagina op de website van Autoriteit Persoonsgegevens.
Voor alle persoonsgegevens die je via je website verzamelt moet je technische maatregelen nemen om ervoor te zorgen dat deze gegevens automatisch worden verwijderd nadat de door jou vastgestelde bewaartermijn is verstreken.
Hieronder een (onvolledige) lijst met persoonsgegevens waarvan je de bewaartermijn moet vaststellen:
User-account van een medewerker of klant;
Een sollicitant die niet is aangenomen;
Bestel- en NAW-gegevens van een klant;
Stap 7: Klantenservice
De klantenservice is een belangrijk onderdeel van veel organisaties. Een slechte klachtenafhandeling kan zorgen voor flinke imagoschade. Zorg er daarom voor dat je klantenservice op de hoogte is van de privacyrechten van klanten. Klanten kunnen dan goed en snel geholpen worden bij privacy gerelateerde vragen.
Weet je een klant te vertellen wat het protocol is bij een datalek? Of wat de procedure is als een klant zijn of haar gegevens wil inzien? Train je klantenservice op eventuele privacyvragen die klanten kunnen stellen, zodat ze snel kunnen reageren. De AVG noemt namelijk termijnen waarbinnen je moet reageren en die zijn korter dan je denkt.
Overweeg daarnaast om een aantal privacy gerelateerde vragen toe te voegen aan de FAQ-pagina, zodat je de klantenservice kan ontlasten en de bezoeker sneller kan helpen.
Tot slot
Dit zijn de zeven stappen die je moet ondernemen om je website AVG-ready te maken. Bij Rocket Digital zijn we al geruime tijd druk bezig om ervoor te zorgen dat onze website AVG-ready is. Dit artikel is tot stand gekomen op basis van onze ervaringen met de AVG. Geen van de informatie in dit artikel is bedoeld als juridisch advies en hieraan kunnen geen rechten worden ontleend. Mocht je vragen hebben over wat we in dit artikel bespreken, dan raden we je aan om contact op te nemen met een juridisch expert.
