Is jouw website al klaar voor de AVG, de nieuwe privacywet?

Brigit BLOG

Vanaf 25 mei 2018 is de AVG, de nieuwe privacywetgeving, van kracht. Deze verordening houd in dat iedereen, ook ZZP’ers, kleine ondernemers, scholen en verenigingen, die persoonsgegevens verzamelt aan strenge eisen moet voldoen. Voldoe je niet aan die eisen, dan riskeer je boetes die kunnen oplopen tot 4% van je omzet!

Vanaf 25 mei moet je voldoen aan deze verplichtingen
  • Een dekkende en zichtbare privacyverklaring;
  • Toestemming van je bezoekers voor het verzamelen en verwerken van gegevens;
  • Bezoekers waarvan je gegevens verwerkt, hebben het recht om een verzoek in te dienen om deze gegevens aan te passen, mee te nemen naar een andere organisatie of te verwijderen.
  • Een verwerkersovereenkomst met de bedrijven die voor jou gegevens van personen verwerken.
  • Als website-eigenaar heb je meldplicht wanneer er data van jouw bezoekers uitlekt. Dit kun je doen bij het meldloket datalekken van de Autoriteit Persoonsgegevens.
Je privacyverklaring

Zorg ervoor dat in je privacyverklaring in ieder geval de volgende punten beschreven zijn:

  • De gegevens van je bedrijf
  • Welke persoonsgegevens je verwerkt en de reden daarvan
  • Recht van toestemming
  • Een beschrijving van de rechten omtrent het inzien, aanpassen en verwijderen van persoonsgegevens
  • Welke maatregelen je hebt genomen om de gegevens van jouw bezoekers te beveiligen
  • Uitleg over cookies

Je kunt hiervoor de  Privacyverklaring generator  op de site van Veilig internetten gebruiken

De wet schrijft ook voor dat jouw bezoekers de privacyverklaring eenvoudig moeten kunnen vinden. Geef de verklaring daarom een eigen pagina, link deze aan in de footer en plaats de link op de plekken waar je gegevens verzamelt van je bezoekers.

Toestemming voor het verwerken en verzamelen van persoonsgegevens

Op jouw website is het waarschijnlijk mogelijk om op meerdere plekken informatie achter te laten. Een contact- of offerteformulier, een klant registratie  of een inschrijf formulier voor je nieuwsbrief. De AVG schrijft voor dat je op deze plekken duidelijk bent over de gegevensverzameling: vertel waarom je de gevraagde gegevens nodig hebt en leg uit hoe je ze gaat gebruiken. Verwijs hierbij ook altijd naar je privacyverklaring. Bij een contactformulier kun je een optie geven waarbij je bezoeker toestemming moet geven voor het verwerken en opslaan van de ingevulde gegevens. Dat vakje mag natuurlijk niet automatisch aangevinkt zijn.

Geef de mogelijkheid tot het aanpassen en verwijderen van gegevens

In de AVG wordt gesteld dat je de bezoekers van jouw website de mogelijkheid moet bieden om hun voorkeuren te wijzigen. Met andere woorden: zorg ervoor dat je het inzien, aanpassen én verwijderen van persoonlijke gegevens voor je bezoeker zo eenvoudig mogelijk maakt. Nieuwsbrieven mag je al helemaal nooit ongevraagd aan iemand versturen. Bezoekers moeten zich zelf aanmelden en de mogelijkheid hebben om zich uit te kunnen schrijven.

 Upgrade je website naar https

Iedere website die gegevens verwerkt, moet optimaal beveiligd zijn. Als jouw website nog op http draait, is het nu echt wel tijd om over te stappen naar https. Gegevens worden dan verzonden via een versleutelde verbinding. Upgraden doe je door een SSL-certificaat te installeren op jouw website.

Cookies op je site & cookieverklaring

Er zijn functionele cookies en analytische cookies. Functionele cookies gebruik je om je website goed te laten functioneren zoals WordPress plugins, hier heb je geen toestemming voor nodig van de bezoekers van je site. Niet functionele cookies zijn analytische cookies (zoals Google Analytics), social media cookies (share buttons op je site) en advertentie cookies. Maak je hier gebruik van dan moet je op je site vermelden dat bezoek gemeten wordt. Dit kun je doen via een cookie- en privacyverklaring. Een cookieverklaring moet nu elke keer in beeld verschijnen zodat je bezoeker bij elk bezoek kan overwegen of hij/zij wel of niet de cookies accepteert. Dit heet een opt-out mogelijkheid (uitschrijfmogelijkheid). En een cookiewall mag helemaal niet meer, iedereen moet je website kunnen bezoeken.

Google Analytics

De nieuwe wet schrijft voor dat je Google Analytics zodanig moet instellen, dat de gegevens niet te herleiden zijn naar specifieke gebruikers. Omdat Google Analytics gebruikers kan volgen op basis van het IP-adres, geldt dit als niet-anoniem. Je moet dus je Google Analytics account privacyvriendelijk instellen zodat deze AVG proof is.Wil je wél IP-specifieke gegevens verzamelen, dan zul je jouw bezoekers akkoord moeten laten gaan met het gebruiken van cookies die voor marketingdoeleinden kunnen worden ingezet.

Verwerkersovereenkomst voor het delen van gegevens met derden

Een deel van de persoonsgegevens die je beheert, deel je met derden. Je  accountant, het salarisadministratiekantoor of je hosting provider. Zij ontvangen jouw persoonsgegevens, maar wijzigen hier verder niets aan. Met dit soort partijen moet je hiervoor een verwerkersovereenkomst sluiten. De meeste bedrijven hebben al zo’n verwerkersovereenkomst klaarliggen. Hierin staat omschreven wat er met de persoonsgegevens gebeurt en wie er verantwoordelijk is voor de gegevensverwerking. Voor bijna iedere branche is er op internet wel een model van een verwerkersovereenkomst te vinden, de link is een voorbeeld.