Menu

De Algemene Verordening Gegevensbescherming (AVG): praktische tips voor je website

Geblogd door: Monique Rooks
vrijdag 6 april 2018
Thema: Frontis
Monique Rooks
De Algemene Verordening Gegevensbescherming (AVG): praktische tips voor je website

De Algemene Verordening Gegevensbescherming (AVG): praktische tips voor je website

⌚ Leestijd: 10 minuten

25 mei is een datum die inmiddels bij veel mensen bekend is: op die datum gaat de Wet Bescherming Persoonsgegevens officieel over in de Algemene Verordening Gegevensbescherming (AVG). Het 'hoe en wat' lees je in ons voorgaande blog over de AVG. In dit artikel deel ik een paar simpele maatregelen die je zelf kunt treffen op online gebied. 

Online verzamelen we met zijn allen ongemerkt veel persoonsgegevens, bijvoorbeeld via contactformulieren, nieuwsbrief inschrijvingen en Google Analytics. Uitgangspunt binnen de AVG is dat persoonsgegevens 'passend en doelmatig' beveiligd moeten worden. Het beveiligingsniveau is afhankelijk van hoe groot de impact is op het moment dat gegevens die jouw organisatie verzamelt op straat komen te liggen.

Je kunt je voorstellen dat bij misbruik de impact voor een datingsite waar volledige gebruikersprofielen worden opgeslagen groter is dan een corporate website waarop alleen (zakelijke) e-mailadressen worden verzameld. Welk beveiligingsniveau voor jouw organisatie 'passend en doelmatig is', dien je zelf af te wegen. Frontis heeft dit bijvoorbeeld gedaan met een Privacy Impact Analyse (PIA). Deze analyse geeft aan welke maatregelen jouw organisatie moet treffen om de risico's te verkleinen. Verwerk jij op welke manier dan ook persoonsgegevens via de website? Dan heb ik een aantal praktische tips die je in ieder geval kunt toepassen.

Welke maatregelen treft Frontis?
Ook Frontis is natuurlijk volop bezig om 'AVG-proof' te worden. Zo werken we op dit moment aan onze juridische documentatie, denk aan algemene voorwaarden, beveiligingsprotocol en een standaard verwerkersovereenkomst die wij onze klanten (eind april) kunnen aanbieden. Gelukkig zijn er ook al een heleboel maatregelen getroffen, van verdere beveiliging van servers en applicaties tot het opruimen van oude klantendossiers en een intern wachtwoordbeleid.

Privacy statement

Het is conform de Wet Bescherming Persoonsgegevens al verplicht om klanten en websitebezoekers duidelijk te informeren over welke privacygevoelige gegevens je verzamelt en met welk doel. Dit leg je vast in een privacyverklaring, ook wel privacy statement. Deze moet makkelijk te vinden zijn op je website, bijvoorbeeld in de footer. De volgende informatie moet je opnemen in het privacy statement:

  • Identiteit
    Bedrijfsnaam, adresgegevens en een contactadres voor privacygerelateerde vragen.
  • Doeleinden
    Met welk doel verzamel je persoonsgegevens (het is hierbij wenselijk maar niet verplicht om ook te vermelden welke persoonsgegevens je verzamelt)? Bijvoorbeeld: wij verzamelen e-mailadressen om nieuwsbrieven te kunnen versturen over onze dienstverlening. 
  • Vertrouwelijkheid & verstrekking aan derden
    Hoe vertrouwelijk ga je met persoonsgegevens om en deel je deze ook met derden?
  • Cookies
    99% van de website gebruikt cookies. In het privacy statement moet je uitleggen wat cookies zijn, welke cookies jouw website plaatst en waarom. Dit kun je ook doen via een cookiestatement, zoals je die ook op onze website vindt. Via de browserextensie 'Ghostery' kom je er eenvoudig achter welke cookies jouw website plaatst. In de naderende E-privacy verordening verandert de regelgeving omtrent cookies, uitgangspunt hierbij wordt het accepteren of weigeren van cookies via je browser, lees hier meer
  • Nieuwsbrieven
    Verstuur je nieuwsbrieven? Vermeld dan in het privacy statement dat je e-mailadressen verzamelt om nieuwsbrieven te versturen. 
  • Gegevensinzage
    Klanten moeten de gegevens die verwerkt zijn kunnen inzien, daar hebben ze recht op. Hierbij kan een klant ook verzoeken om een correctie van de gegevens of verwijdering van gegevens uit jouw bestand (indien gegevens niet meer relevant zijn).
  • Beveiliging
    Geef aan welke technische en organisatorische maatregelen je neemt om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Denk aan SSL en wachtwoordbeleid. 
     

Onder de AVG moet het privacy statement nog transparanter worden, waarbij je aangeeft:

  • Welke persoonsgegevens je verwerkt.
  • Wat de bewaartermijn is.
  • Wat de rechten van bezoekers zijn: dus dat ze verwerkte gegevens mogen (laten) aanpassen, hun dossier mogen inzien of laten vernietigen (right to be forgotten). Bouw je gebruikersprofielen op, op basis van interesse? Dan moeten deze ook op verzoek kunnen worden verwijderd. 
  • Dat men bij onrechtmatig gebruik van gegevens een klacht kan indienen bij de toezichthouder, de Autoriteit Persoonsgegevens.

Google Analytics privacy-proof maken

Statistieken geven je inzicht in het succes van je website. Daarom maken we vaak gebruik van Google Analytics om deze statistieken in te zien. Maar de standaard instellingen in Google Analytics zijn alles behalve privacy-proof. Daar kun je wat aan doen!

Zet 'gegevens met Google delen' uit
Deze optie staat standaard aan, maar kun je eenvoudig uitschakelen:

  • Log in op je Google Analytics account
  • Ga naar 'Beheerder' > 'Beheer' en klik vervolgens op 'Accountinstellingen'.
  • Vink alle opties uit onder het kopje 'Instellingen voor gegevens delen'
Google Analytics privacy-proof maken

Sluit een verwerkersovereenkomst met Google
Google Analytics verwerkt persoonsgegevens en is daarmee verwerker. Google koppelt IP-adressen en ook persoonlijke Google accounts aan acties op jouw website, waardoor je dit kunt herleiden naar een natuurlijk persoon. Als je gebruik maakt van de diensten van Google, ben jij 'verwerkingsverantwoordelijke', dus jij moet zorgen voor een 'passende en doelmatige' beveiliging van deze persoonsgegevens. Hoe? Sluit een verwerkersovereenkomst met Google, deze heeft Google al voor je klaargezet in de Analytics omgeving:

  • Log in op je Google Analytics account
  • Ga naar 'Beheerder' > 'Beheer' en klik vervolgens op 'Accountinstellingen'.
  • Onderaan de pagina vind je de overeenkomst


Anonimiseer IP-adressen (IP-masking)
IP-adressen zijn een traceerbaar persoonsgegeven volgens de wet. Maar, je kunt het meezenden van het volledige IP-adres ook blokkeren via een instelling. Hiermee verwijdert Analytics de laatste 3 cijfers van het IP-adres van de gebruiker voordat dit wordt gebruikt en wordt opgeslagen. Lees de uitleg van Google

Adressenbestanden

Op het moment dat je nieuwsbrieven verstuurt, maak je gebruik van adressenbestanden. Geïnteresseerden moeten via een opt-in toestemming geven voor het versturen van nieuwsbrieven en moeten zich ook weer via de nieuwsbrief kunnen uitschrijven. Dat is niets nieuws. Wel goed om te weten is, dat als je bijvoorbeeld gebruik maakt van MailChimp voor het versturen van nieuwsbrieven, zij 'verwerker' zijn van jouw adressenbestand. Dus hetzelfde verhaal als bij Google Analytics: jij als 'verwerkingsverantwoordelijke' moet een verwerkersovereenkomst met MailChimp sluiten. Hun 'Data Processing Addendum' staat hier klaar. 

Beveiligde verbinding met SSL

Is jouw website al voorzien van een SSL-certificaat (https://)? Dit is verplicht als het via jouw website mogelijk is om persoonsgegevens in te voeren. Dankzij een SSL-certificaat worden deze gegevens verzonden via een versleutelde verbinding. Overigens raden we een SSL-certificaat sowieso aan, het komt bijvoorbeeld ook je ranking in Google ten goede. Vind meer informatie hierover in het blog dat Remco hierover publiceerde.

Online formulier met een link naar de privacy statement

Online formulieren

Online formulieren, zoals een contactformulier, sollicitatieformulier of een formulier om je aan te melden voor de nieuwsbrief worden veel gebruikt. Je kunt online formulieren onder de AVG prima blijven gebruiken, maar zorg ervoor dat je zo min mogelijk gegevens (eigenlijk alleen de noodzakelijke gegevens) uitvraagt en dat je met een duidelijke titel (Solliciteer direct, Aanmelden nieuwsbrief) aangeeft wat het doel is van het formulier. Informeer bezoekers op alle plekken binnen je website waar je persoonsgegevens verwerkt (bij alle formulieren dus) over hoe je omgaat met de gegevens. Dit doe je simpelweg door een linkje te plaatsen naar je privacy statement (zie voorbeeld), waarin je als het goed is informatie hierover hebt opgenomen.

Let ook op de bewaartermijn van gegevens die je via online formulieren verzamelt: deze mogen niet langer dan noodzakelijk bewaard worden. Op het moment dat je een inkomende vraag via een contactformulier hebt opgevolgd en je hebt de gegevens niet meer nodig, dan moet je ze direct verwijderen. Bij sollicitatieformulieren geldt er een wettelijke regel: de gegevens die hier ingevuld worden mag je tot maximaal 4 weken na sluiting van de sollicitatieprocedure bewaren.

Goed om te weten

Met dit artikel geven we een aantal voorbeelden van maatregelen die je op een website kunt treffen in het kader van de vernieuwde AVG regels. Naleving van deze wet gaat veel verder dan online, zoals ook in ons vorige artikel hierover beschreven. Organisaties zijn zelf verantwoordelijk voor de correcte implementatie van de juiste maatregelen. 

Handige links over de AVG

Wil je meer lezen over de AVG? Ik heb een aantal handige links voor je verzameld:


Bovenstaande bronnen zijn ook geraadpleegd voor dit blogartikel.