Skip to main content

Schoolbaan 1, 2371 VJ Roelofarendsveen

AVG en GPDR

Zorg dat jouw website voldoet aan de nieuwe privacy wet!

Deze wet heeft effect op alle online ondernemers van ZZP, MKB tot multinational. 25 mei 2018 is denieuwe privacy wetgeving in werking gegaan. Dit is de grootste verandering op het gebied van privacy en het verwerken van persoonsgegevens. Alle websites die persoonsgegevens verwerken moeten aan deze wetgeving voldoen.

Voldoe je niet aan de nieuwe wetgeving dan kunnen er boetes opgelegd worden tot 20 miljoen euro of 4% van de jaaromzet.

Geldt deze wet ook voor mij?
Vanaf een invulformulier op de website is deze wet al van toepassing. Ook voor bijvoorbeeld bij een nieuwsbrief systeem. Je verwerkt immers persoons gegevens. Daarnaast dien je de bezoeker om toestemming te vragen voor tracking cookies zoals Google analytics, Adwords conversie meting, Facebook pixels etc. 

Als ondernemer zijn onder andere dit jouw verplichtingen volgens de nieuwe wet:

  • Je moet duidelijk zichtbaar een privacyverklaring op je website hebben
  • Je hebt toestemming nodig van de personen van wie je gegevens verwerkt
  • Personen van wie je gegevens verwerkt, hebben het recht hun persoonsgegevens in te zien, aan te passen en te verwijderen
  • Je bent verplicht verwerkersovereenkomsten te hebben met alle bedrijven die voor jou persoonsgegevens verwerken
  • Personen van wie je gegevens verwerkt, hebben het recht op indienen van een klacht bij de Autoriteit Persoonsgegevens (AP)
  • Je hebt meldplicht bij datalekken, dat doe je bij het Meldloket datalekken AP

Om te voldoen aan de GDPR  volg je onderstaande stappen;

1. Privacy Policy pagina
Een van de voorwaarden is dat er een goede privacy policy pagina is in begrijpelijke taal. Je kunt deze makkelijk maken op https://veiliginternetten.nl/privacyverklaring/ Deze tekst moet corresponderen met hoe er met persoonlijke gegevens en marketing hulpmiddelen wordt omgegaan. Omdat elke website verschillend is moet je deze naar de eigen (marketing) en opt in functionaliteiten aanpassen.


2. Privacy by default
De huidige cookie wetgeving verdwijnt. Cookie walls worden verboden. In de nieuwe wetgeving moet er door de gebruiker bewust toestemming gegeven worden of er tracking cookies geplaatst mogen worden. Dat betekent dat als de bezoeker op weiger drukt de cookies ook daadwerkelijk uit worden gezet. Dat is een groot verschil met de oude cookiebars waar cookies veelal toch geplaatst werden ook al werd er niet op ok gedrukt of dat er alleen toegang verkregen kon worden door op ok te drukken. Ook kun je met deze cookiebar de instellingen weer aanpassen als je in een later stadium beslist dat je toch de cookies wil plaatsen.

Voorbeeld; Je hebt op je website een youtube film vanaf jouw kanaal. Youtube plaatst cookies. Als je in de cookiebar gekozen hebt voor weiger dan kun je de film niet afspelen. De bezoeker moet dan cookies weer inschakelen in de cookiebar. Dit kun je daarnaast ook oplossen door bij Youtube te kiezen voor privacy modus voordat je het te embedden script kopieert en in het artikel plaatst.

Gebruik je alleen Google analytics dan kun je die gegevens anonimiseren. In dat geval heb je geen cookiebar nodig. Wel moet je, of je nou wel of niet de gegevens anonimiseert, ook een bewerkingsovereenkomst met Google afsluiten en een contact persoon of privacy officer opgeven. Log hiervoor in bij Google Analytics en sluit hem daar af.

Gebruik je nu wel 3rd party marketing cookies of wil je Google Analytics niet anonimiseren dan is de consent cookiebar zoals op deze site verplicht.


3. Cookie Policy pagina
Ook een actuele cookie policy pagina is verplicht. Deze pagina is afhankelijk van de marketing cookies die er gebruikt worden. Let op. Gebruik je een boekingssysteem van een externe leverancier dan plaatst deze misschien ook cookies. Vraag daar naar. Ook social share buttons kunnen cookies plaatsen.


4. Formulieren en offerte formulieren
In het formulier moet de invuller akkoord gaan met de privacy verklaring. Ingevulde gegevens worden ook gelogd in de database van de website. In de privacy verklaring moet staan hoelang de gegevens daarin blijven staan en hoe gegevens eventueel verder worden verwerkt. In bijvoorbeeld een extern CRM systeem. Belangrijk is ook dat wordt aangegeven hoe de persoon gegevens weer verwijderd kunnen worden. Bij RSforms, meest gebruikt in Joomla, kan er ook een link in de mail die naar de invuller worden toegevoegd zodat deze meteen zelf de gegevens kan verwijderen in de database. 


5. Gegevens webshop
Een webshop registreert veel persoonlijke gegevens. Ook hierin moeten de gegevens verwijderd kunnen worden zoals aangegeven in de privacy policy. Een uitgebreid artikel waar webshops aan moeten voldoen vind je hier https://www.thuiswinkel.org/bedrijven/belangenbehartiging/privacy/algemene-verordening-gegevensbescherming/avg 


6. Mailchimp of een andere nieuwsbrief supplier
De meeste klanten gebruiken Mailchimp voor de nieuwsbrieven. Daar moet een verwerkingsovereenkomst mee afgesloten worden en dat kun je hier doen. https://mailchimp.com/legal/forms/data-processing-agreement/  Ook moet de opt in op de website GDPR compilant zijn. Hoe je dat doet kun je op deze pagina vinden. https://kb.mailchimp.com/accounts/management/collect-consent-with-gdpr-forms


Wees helder met het verzamelen van gegevens
Op het moment dat gebruikers persoonsgegevens achterlaten op je website, bijvoorbeeld met een e-mail opt-in, moet voor deze gegevens helder zijn waarom je ze nodig hebt en hoe je ze gaat gebruiken. Je moet bij het verzamelen van gegevens altijd verwijzen naar de privacyverklaring van jouw website of onderneming.

Je moet duidelijk beschrijven waar iemand zich voor inschrijft, hoe vaak er wordt verstuurd en dat je je heel makkelijk – op elk gewenst moment – weer uit kan schrijven (opt-out). Bovendien moet de opt-in een duidelijke en bevestigende actie zijn. Verwijs bij elke opt-in met een link naar de privacyverklaring.

Voor de duidelijkheid: een opt-in is waar de eigenaar van een e-mailadres expliciet en aantoonbaar toestemming geeft voor het ontvangen van e-mail van een bepaalde mailinglist. Een opt-out daarentegen is exact het tegenovergestelde: waar je je kunt afmelden.


7. Verwerkersovereenkomst

Je hebt een bewerkersovereenkomst (ook wel DPA – data processing agreement genoemd) nodig met alle partijen die toegang hebben tot de persoonsgegevens die jij verzamelt. Dit is het vervelendste punt van de hele AVG. De verwachting is dat er veel strenger gecontroleerd gaat worden en ook zijn er een aantal verplichte zaken bijgekomen. In de nieuwe wet is er sprake van keten aansprakelijkheid. Kort gezegd, als er geen overeenkomst is en er is sprake van een datalek dan zijn alle partijen in de keten aansprakelijk. In de bewerkersovereenkomst staat wie waar voor verantwoordelijk en welke acties en preventieve maatregelen er worden ondernomen om datalekken te voorkomen. Zoals het up to date houden van de websoftware, geïnstalleerde software van derden, een versleutelde verbinding via SSL en of de backups versleuteld bewaard worden, waar en voor welke termijn. Ook staat daarin wie welke acties onderneemt in het geval van een datalek.

Het betreft dus een overeenkomst die je afsluit met partijen als Google Analytics, MailChimp, hostingbedrijf, webdesigner, et cetera. De overeenkomst biedt garanties dat de bescherming van de rechten van personen wordt gewaarborgd. Als er problemen ontstaan, kan de verwerker hier verantwoordelijk en aansprakelijk voor zijn.

Maak een lijstje van de partijen waarmee jij samenwerkt inzake de verwerking van persoonsgegevens. Ga na hoe dit eventueel nu is geregeld. Er bestaat een grote kans dat de betreffende partij al zo’n overeenkomst heeft klaarliggen. Is er geen overeenkomst, zorg dan dat dit in orde komt. Er zijn diverse modelovereenkomsten in omloop, zoals deze van Juridox Veel meer over bewerkingsovereenkomsten lees je bij Justitia.

Heb je de hosting elders lopen dan moet je ook met deze leverancier apart een bewerkingsovereenkomst sluiten. Ook externe boekingssystemen verwerken namens jou privacy gevoelige data. Sluit daar ook een verwerkersovereenkomst mee af.

8. Leg vast hoe lang je persoonsgegevens bewaart
Eigenlijk mag je persoonsgegevens niet langer bewaren dan noodzakelijk voor het doel van je verwerking. Onder het mom van statistische doeleinden kun je deze termijn vrij lang maken. Statistische doeleinden zijn als je de gegevens gebruikt voor bijvoorbeeld de opbouw van je statistieken of onderzoek. Beschrijf dit wel goed in je privacyverklaring.

9. SSL
SSL, een verbinding over https, is in de nieuwe wetgeving verplicht. Vanaf juli worden alle websites zonder SSL door Google ook als onveilig aangemerkt. Heb je nog geen SSL zorg dan dat deze voor 25 mei actief is.|

10. Het recht om vergeten te worden
Accounts en profielen moeten (zo eenvoudig mogelijk) in te zien, aan te passen of te verwijderen zijn. Mensen met een account bij een website kunnen wellicht al een aantal gegevens zelf inzien en wijzigen. Hetzelfde geldt voor e-mailvoorkeuren die gewijzigd kunnen worden binnen programma’s zoals MailChimp. Men moet zich ook specifiek kunnen afmelden voor dataprofilering. Dit is – heel eenvoudig gesteld – het opdelen van de doelgroep in groepen, zodat je deze een nog beter toegespitste boodschap kunt voorleggen, die hoogstwaarschijnlijk eerder leidt tot conversie.

MailChimp doet dat al en geeft dat ook aan in de footer van een nieuwsbrief, er staat dan zoiets als ‘klik hier om jouw profiel te wijzigen’. Dit geldt ook voor het verwijderen van gegevens (het recht om vergeten te worden). In de privacyverklaring moet daarom ook staan hoe mensen persoonlijke gegevens kunnen wijzigen of verwijderen. En dat hoeft helemaal niet ingewikkeld te zijn. Bijvoorbeeld door een mail te sturen naar.....


11. Security headers
Je kunt je huis aan de voorkant met alarm systemen, camera's en hekken beveiligen maar als je dan vervolgens de tuindeur gewoon open hebt staan dan heeft dat natuurlijk niet zoveel zin. Om ook op server niveau maximaal beveiligd te zijn moeten de security headers minimaal een A grade hebben. Dat kan hier gecontroleerd worden. https://securityheaders.com/

12. Maak een actieplan bij datalekken
Zorg dat er een plan is indien er toch een datalek ontstaat. Bijvoorbeeld als de webshop gehackt is. In de bewerkersovereenkomst die je van ons opgestuurd krijgt staat welke stappen wij als verwerker ondernemen. Echter jij zult een plan klaar hebben moeten liggen hoe je de klanten gaat informeren, op welke manier, binnen welke tijd  en waar je het lek gaat melden.

13. Handhaving
Hoe en op welke manier er na 25 mei gehandhaafd gaat worden is niet bekend. Misschien worden er eerst alleen waarschuwingen gegeven maar het kan ook zijn dat ambtenaren actief op zoek gaan naar websites die niet aan de AVG voldoen. De wet geldt in ieder geval voor iedereen van ZZP tot multinational. De eindverantwoordelijkheid voor het al dan niet volledig naleven van de AVG ligt bij de eigenaar van de website.

14. Samenvatting
De nieuwe wetgeving gaat in ieder geval een grote impact hebben op online ondernemen. Ook voor de leveranciers van software, zoals webdesigners, wordt het nog belangrijker om bijvoorbeeld beveiligingsupdates direct uit te voeren en dat aantoonbaar alle mogelijke maatregelen genomen zijn om datalekken te voorkomen.

Hieronder in het kort de nogmaals de belangrijkste punten. 

  1. Anonimiseer google analytics als je geen cookiebar wil en dit de enige cookie is die je plaatst. Je moet nog wel een  vewerkersovereenkomst afsluiten en contact persoon of privacy officer toevoegen. Dit doe je binnen de Google Analytics omgeving.
  2. Maak je formulieren GDPR compliant met een verwijzing naar de privacy policy toevoegen en een opt out link in de auto reply.
  3. Maak een goede en relevante cookie en privacy pagina
  4. Stel de security header op A grade in en controleer dit op https://securityheaders.com/
  5. Plaats een consent cookiebanner als je cookies plaatst
  6. Maak 3rd party en marketing scripts consent als deze door de nieuwe cookiebar niet uitgezet kunnen worden
  7. Mailchimp opt in maken in lijn met de GDPR
  8. Schrijf een plan waarin je de procedure vastlegd in het geval van een datalek
  9. Sluit verwerkersovereenkomsten af met alle parijen die persoonsgegevens verwerken 
  10. Heb je veel leden op je site of voor je nieuwsbrief leg dan vast hoe je aan deze leden komt

Kom je er niet uit of heb je hulp nodig? Neem dan contact met mij op.