AVG / GDPR wet: Tips om jouw website GDPR proof te maken!
Vanaf 25 mei 2018 gaat de nieuwe Algemene Verordening Gegevensbescherming in. Deze wet vervangt de verouderde data beschermingsrichtlijn uit 1995. Vanaf deze datum is het van belang dat elk bedrijf zich aan deze nieuwe wet gaat houden, want de boetes zijn niet mals.
Wat is de GDPR of AVG?
De GDPR, ook wel AVG genoemd, is de Europese privacy verordening dat gaat over de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. De AVG zorgt onder meer voor versterking en uitbreiding van de privacy rechten van mensen en legt organisaties meer verantwoordelijkheden op in de verwerking daarvan.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn simpelweg gegevens die informatie geven over een natuurlijk persoon. Denk bijvoorbeeld aan: naam, adres, telefoonnummer, IP adres, schoenmaat en ga zo maar door. Onder persoonsgegevens vallen ook gegevens waarmee je een profiel kunt opbouwen, zoals een klantID en orderID. Anonieme gegevens die niet te herleiden zijn tot een natuurlijk persoon vallen buiten de AVG.
Twee benaderingen
Om op online gebied AVG-proof te worden is het belangrijk voorbereidingen te treffen. We bekijken het vanuit 2 kanten: de voorkant en de achterkant van je organisatie.
- Aan de voorzijde: de website & online marketing activiteiten
Op jouw website komen bezoekers. Deze bezoekers kunnen gegevens achterlaten, zoals het IP adres, e-mailadres, website tracking, etc. Al deze gegevens mogen alleen verstrekt worden wanneer er expliciet toegang tot gegeven is door de persoon zelf. Aan de voorzijde dien je bijvoorbeeld je cookiebeleid en privacystatement goed onder de loep te nemen. Hierover lees je verderop meer! - Aan de achterzijde: overeenkomst met partners, zoals je bezorgdienst, je e-mailmarketingsysteem, online marketing partijen, etc. Eigenlijk alle bedrijven waarmee jij persoonlijke gegevens van derden deelt. Omdat jij persoonlijke gegevens deelt met derden, is het wettelijk verplicht overeenkomsten op te stellen met de partijen die jouw klantgegevens verwerken. Dit zijn de zogeheten verwerkersovereenkomsten.
Concrete actiepunten om je website AVG proof te krijgen
Om jouw bedrijf en je website goed voor te bereiden op deze nieuwe wet, geef ik je hierbij enkele tips om jouw website AVG proof te maken:
Nulmeting
Het is belangrijk om eerst in kaart te brengen welke persoonsgegevens je momenteel allemaal verwerkt. Handig hierbij is om jezelf de volgende vragen te stellen:
- Welke persoonsgegevens verzamel ik?
- Hoe verzamel je deze gegevens?
- Waarom verzamel je deze gegevens?
- Hoe lang bewaar je deze gegevens en waarom?
- Met wie deel je deze gegevens?
- Update je privacyverklaring
Ga je huidige privacyverklaring eens na: geef je duidelijk aan hoe en waarom je gegevens verzamelt? Zet er bijvoorbeeld in welke gegevens je wil ontvangen en voor welke doeleinden je deze gegevens verwerkt. Het is belangrijk dat je alleen gegevens verzamelt die van belang zijn voor jouw organisatie en dat uitlegt wat je hiermee gaat doen. Vergeet ook niet de bewaartermijn te vermelden! - Zorg voor een goed cookiebeleid
Maar wat is een cookie? Via een cookie kan het gedrag van iedere internetgebruiker gevolgd worden. Er zijn verschillende soorten cookies:- Functionele cookies: Hiermee kunnen handige functionaliteiten ingeschakeld worden, zoals het onthouden van je inloggegevens en het bewaren van je winkelwagen. Voor het plaatsen van functionele cookies hoef je geen toestemming te vragen.
- Analytische cookies: met deze cookies kan het gebruik van de site meten en analyseren. De privacy van de bezoekers blijft met analytische cookies gewaarborgd. Denk hierbij aan Google Analytics. Over analytische cookies moet je bezoekers informeren.
- Tracking cookies: Ook wel marketing cookies genoemd, zijn cookies die het surfgedrag van de bezoekers vast te leggen. Door deze meting kunnen uiteindelijk gerichte aanbiedingen gedaan worden. Voorbeelden hiervan zijn remarketing via Google AdWords, social media campagnes en nieuwsbrieven. Voor tracking cookies moet je toestemming vragen.
- Vraag duidelijk toestemming
Wanneer je gegevens gaat verzamelen voor bijvoorbeeld het versturen van je nieuwsbrief, dan is het van belang dat je expliciet toestemming vraagt. Laat de gebruiker duidelijk weten wat er met zijn gegevens gebeurt voordat hij of zij de gegevens invoert. Daarnaast is het belangrijk dat de persoon gemakkelijk toegang heeft tot de voorkeuren en de andere persoonsgegevens en zich eenvoudig kan uitschrijven. - Huidig emailbestand onder de loep nemen
Op wat voor een manier heb je de huidige emailadressen verzameld? Heb je duidelijk aangegeven waarvoor iemand zich aanmeldt en hoe vaak ze een mail van jou kunnen verwachten?
No-reply emailadressen zijn niet langer toegestaan; mensen moeten altijd eenvoudig contact op kunnen nemen. - SSL certificaat
Het beveiligen van je website is vanaf 25 mei 2018 verplicht. Dit omdat je middels jouw website persoonsgegevens verwerkt. Met het zogenoemde SSL certificaat zorg je ervoor dat het dataverkeer tussen de website en de bezoeker wordt gecodeerd. Hierdoor kunnen hackers minder makkelijk bij deze gegevens.
Mocht je naar aanleiding van bovenstaande tips vragen hebben, kun je altijd contact met ons opnemen. Voor het opstellen van een goede cookiemelding en privacy verklaring verwijzen wij jou graag door naar een van onze gespecialiseerde partners.