Is jouw website al klaar voor de AVG?

DOOR MARCEL WOUDSMA OP 13 APRIL 2018

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing als vervanger van de ‘Wet Bescherming Persoonsgegevens’. Is jouw website er al klaar voor?

Wat is de AVG?

De Algemene Verordening Gegevensbescherming (AVG) is een privacywet die geldt in de hele Europese Unie (EU). Dankzij de AVG is de bescherming van persoonsgegevens in alle landen van de EU op dezelfde manier geregeld en gelden in elke lidstaat dezelfde regels.

Wat gaat er veranderen?

De AVG gaat zorgen voor de sterkere positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten waarmee de bestaande rechten worden versterkt. Organisaties die persoonsgegevens verwerken krijgen daardoor meer verplichtingen en de nadruk ligt daarbij op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

Wat moet ik doen?

De wet ‘Algemene Verordening Gegevensbescherming’ heeft betrekking op verschillende onderdelen binnen jouw bedrijf. Om je hierbij te helpen, hebben we de belangrijkste veranderingen en tips voor je op een rijtje gezet.

1. Zorg voor een duidelijke privacyverklaring
Je privacyverklaring moet voor iedereen leesbaar en begrijpelijk zijn. Gebruik geen ingewikkelde woorden die je doelgroep niet kent en hou het zo simpel mogelijk. Zorg er ook voor voor dat je privacyverklaring op een logische plek staat en eenvoudig te vinden is via je website.

TIP! Plaats in de footer van je website een link naar de privacyverklaring.

2. Maak gebruik van een SSL certificaat
Onder de AVG ben je verplicht om te zorgen voor een optimale beveiliging van persoonsgegevens. Een SSL certificaat zorgt ervoor dat de gegevensuitwisseling tussen de bezoeker en jouw website via een versleutelde verbinding verloopt. Wanneer je formulieren of nieuwsbrief aanmeldingen opslaat op je website is het zelf verplicht op een SSL certificaat te hebben.

TIP! Vraag bij je hostingpartij na of zij een SSL beveiliging voor je willen activeren mocht dit nog niet gebeurt zijn.

3. Zorg voor een goede beveiliging
Je bent zelf verantwoordelijkheid voor de veiligheid van je website. Het is dus van groot belang dat het updaten van thema’s en plugins en het maken van backups bovenaan je to-do-list staat. Leg daarnaast ook vast hoe je ervoor zorgt dat gegevens veilig blijven. In het geval van datalekken moet je volgens de wet binnen 72 uur de autoriteit persoonsgegevens én de betrokken personen informeren. Zorg er dus voor dat je een stappenplan datalekken maakt.

TIP! Er zijn diverse plugins voor WordPress beschikbaar die automatisch updates en backups draaien.

4. Zorg voor een duidelijke cookiemelding
Ook de huidige Nederlandse cookiewet zal per 25 mei 2018 worden vervangen door een nieuwe Europese cookiewet namelijk, de door de Europese Commissie (EC) voorgestelde, e-Privacyverordening (EPV). Om te voldoen aan deze nieuwe verordening moet je bij het gebruik van niet-functionele cookies toestemming vragen. Voor functionele cookies is dit niet verplicht. Onder niet-functionele cookies worden verstaan:

– Analytische cookies (Google Analytics)
– Social Media cookies (Like knoppen op je website)
– Advertentie cookies (Advertenties op social media platformen)
– Niet-geclassificeerde cookies (cookies van derden)

Door gebruik te maken van een cookiemelding vraag je de bezoekers van je website expliciet om toestemming voor het gebruik van niet-functionele cookies zoals je die hebt vastgelegd in je privacyverklaring. Toestemming is namelijk pas geldig wanneer deze aan de volgende voorwaarden voldoet:

– de toestemming moet specifiek zijn;
– de toestemming moet op informatie berusten;
– de toestemming moet in vrijheid gegeven zijn;
– de toestemming moet een actieve handeling zijn;
– de toestemming moet weer ingetrokken kunnen worden.

TIP! Ga na of jij gebruik maakt van niet-functionele cookies. Zo ja, download dan bijvoorbeeld de gratis “Cookie Notice” WordPress plugin om een cookiemelding aan te maken.

5. Sluit bewerkerssovereenkomsten af met externe dienstverleners
Om Google Analytics te mogen blijven gebruiken is het verplicht om een bewerkersovereenkomst met Google Analytics af te sluiten. Hierin is vastgelegd dat Google alleen als bewerker optreedt bij de verwerking van de persoonsgegevens van je websitebezoekers. Wanneer je al een bewerkersovereenkomst met Google had afgesloten vóór december 2016 ontvang je een verzoek om de gewijzigde overeenkomst te accepteren.

Niet alleen Google, maar ook externe dienstverleners zoals je hostingpartij en externe ontwikkelaars en beheerders hebben toegang tot jouw website. Daarom dien je ook een bewerkersovereenkomst af te sluiten met alle externe dienstverleners die toegang hebben tot persoonsgegevens.

TIP! Op de website van de Autoriteit Persoonsgegevens vindt je een handleiding voor het privacyvriendelijk instellen van Google Analytics .

6. Maak gebruik van een checkbox in je formulieren
Zoals eerder aangegeven vereist de AVG een expliciete toestemming van je bezoekers om hun gegevens te mogen verwerken. Om deze toestemming te verkrijgen kan je gebruik maken van een checkbox in je online formulieren. Wanneer deze checkbox standaard staat aangevinkt ga je in tegen het principe van ‘privacy by default’. Zorg ervoor dat je checkboxen, waarmee gebruikers bijvoorbeeld akkoord gaan met je voorwaarden, standaard niet aangevinkt zijn.

TIP! WordPress gebruikers kunnen hiervoor de plugin “WP GDPR Compliance” gratis gebruiken.

7. Het recht om vergeten te worden
Mensen hebben het recht om correctie van hun persoonsgegevens te vragen. Dat houdt in dat zij jouw organisatie mogen vragen hun persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. In de nieuwe AVG is het zogeheten recht om vergeten te worden opgenomen. Dit recht houdt in dat jouw organisatie in een aantal gevallen iemands persoonsgegevens moet verwijderen als diegene daarom vraagt. Je bent als organisatie verplicht om binnen 4 weken schriftelijk of per e-mail te reageren op een correctieverzoek.

TIP! De WordPress plugin “Delete Me” biedt je je bezoekers de gelegenheid om dit zelf te regelen.

Dit is geen juridisch artikel en hieraan kunnen geen rechten worden ontleend.