Voorkom torenhoge boetes: zo maak je jouw website AVG proof

Inmiddels heeft bijna iedereen wel eens gehoord van AVG en/of GDPR, maar weten weinig website-eigenaren wat het precies inhoudt, welke praktische stappen er gezet moeten worden en of hun website ook daadwerkelijk compliant is. En dat laatste is belangrijk. Niet alleen wil je de privacy en persoonsgegevens van je websitebezoekers waarborgen en beveiligen, ook is het verstandig om eventuele sancties te vermijden. Die kunnen namelijk fors zijn. Volgens Autoriteit Persoonsgegevens kan een boete oplopen tot 20 miljoen euro. Kortom, reden genoeg om snel aan de slag te gaan met het AVG-proof maken van je website. 

Waar de AVG voor staat

De Algemene verordening gegevensbescherming (AVG) is sinds begin 2018 van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). De AVG heeft in principe betrekking op de gegevensverwerking binnen een bedrijf of organisatie. Het doel van de AVG is om burgers te beschermen burgers op het gebied van privacyregelgeving en persoonsgegevens.

Voor wie het is

De AVG is op bijna elke website van toepassing. Zodra je website gebruikt maakt van bijvoorbeeld een contactformulier, Google Analytics inzet om bezoekersgedrag te analyseren of e-mailadressen verzamelt voor een nieuwsbrieflijst, dan worden er persoonsgegevens verzameld en verwerkt en valt de website onder de AVG-wetgeving.

Wat de AVG inhoudt

De AVG heeft gezorgd voor drie grote veranderingen als het gaat om privacy en persoonsgegevens: 

  1. versterking en uitbreiding van privacyrechten;
  2. meer verantwoordelijkheden voor organisaties;
  3. Stevige bevoegdheden voor alle Europese privacytoezichthouders

Naast de drie hierboven genoemde algemene regels, zet autoriteitpersoonsgegevens.nl zes grondslagen uiteen met betrekking tot het verwerken van persoonsgegevens. Het is belangrijk om deze goed door te nemen voordat je aan de slag gaat met het AVG proof maken van je website. De grondslagen kun je ook lezen in de onderstaande infographic.

  1. je hebt toestemming van de persoon om wie het gaat.
  2. het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
  3. het is noodzakelijk om gegevens te verwerken omdat je dit wettelijk verplicht bent.
  4. het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
  5. het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
  6. Het is noodzakelijk om gegevens te verwerken om je gerechtvaardigde belang te behartigen

 

AVG in een notendop

Bron: autoriteitpersoonsgegevens.nl

Met deze 5 stappen maak je jouw (WordPress) website AVG-proof

Zoals je in de bovenstaande infographic kunt lezen, moet een website volgens de AVG expliciete toestemming krijgen van een bezoeker om hun persoonlijke gegevens te verzamelen en te verwerken. Zonder toestemming kun je deze gegevens niet opslaan en ook niet delen met uw advertentie- en remarketingaccounts. Om die reden zijn cookies en cookiemelding een cruciaal onderdeel van de AVG en de eerste stap om je website AVG proof te maken.

Disclaimer: Het is onmogelijk om in deze blog alles te behandelen wat je moet weten om je website en bedrijf/organisatie 100% te laten voldoen aan de richtlijnen en uitgangspunten van de AVG. Daarvoor zou je een jurist gespecialiseerd in AVG moeten raadplegen. Hieronder lees je echter vijf belangrijke stappen om jouw in elk geval je website AVG proof te maken.

Stap 1. Cookiemelding toevoegen

Stap 2. Privacy en cookiepagina’s toevoegen/updaten

Stap 3. Formulieren checken

Stap 4. Website beveiligen middels SSL

Stap 5. Analytics, tracking en remarketing

Stap 1. Cookiemelding toevoegen

Voor analytische en tracking cookies moet je duidelijke, specifieke toestemming van bezoekers krijgen om deze cookies te plaatsen en ze te volgen. Als ander domain dan jouw website (bijvoorbeeld facebook.com) een cookie plaats, dan spreken we van ’third party cookies’.

Een toestemming krijgen voor het plaatsen van cookies kun je het beste doen door een cookiemelding te tonen bij het eerste bezoek van een gebruiker. Vaak komt dat neer op de keuze tussen ‘Functionele cookies’ en ‘Alle cookies’. Voor het gebruik van functionele cookies hoeft je geen toestemming te vragen.

Als de gebruiker niet expliciet toestemming geeft, kun je geen analytische en/of tracking cookies in de browser plaatsen. De website zou nog steeds toegankelijk moeten zijn zonder plaatsing van cookies, hoewel sommige functies voor de bezoeker dan niet volledig zullen werken. Het plaatsen van een zogenaamde cookiewall is volgens AVG niet toegestaan. 

Voorbeeld van een cookiemelding op Soul Kitchen

Als je WordPress als CMS gebruikt kun je gemakkelijk een cookiemelding instellen door middel van een plugin. Enkele populaire WordPress plugins die je kunt gebruiken, zijn Complianz, WP GDPR Compliance en Cookie Notice for GDPR & CCPA

Bij Soul Kitchen gebruiken we dagelijks Complianz. Deze plugin heeft een gebruiksvriendelijke installatiewizard die automatisch plugins, cookies en scripts scant die momenteel in gebruik zijn. Complianz blokkeert daarnaast scripts van plugins die expliciete toestemming nodig hebben van bezoekers, totdat de relevante cookies zijn geaccepteerd. Wij zien dat veel cookieplugins deze optie niet aanbieden, terwijl dat wel verplicht is om te voldoen aan de AVG.

Stap 2. Privacy en cookiepagina’s toevoegen/updaten

De volgende stap in het AVG proof maken van je website is het opstellen of updaten van je privacy -en cookiepagina’s. Volgens de privacywetgeving ben je verplicht om over jouw privacybeleid en cookiebeleid te informeren (informatieplicht).

De privacypagina moet een gedetailleerde beschrijving geven van hoe je website persoonsgegevens verzamelt en verwerkt. Je moet in een privacybeleid in ieder geval deze informatie zetten:

  • naam en contactgegevens van de organisatie die bepaalt waarom en hoe de persoonsgegevens worden gebruikt (de verwerkingsverantwoordelijke)
  • welke goede reden (wettelijke grondslag) je hebt om persoonsgegevens te verwerken
  • wie de persoonsgegevens krijgt
  • of je de gegevens buiten de EU doorgeeft
  • hoe lang je de gegevens bewaart
  • wat de rechten zijn van de klant
  • waar de klant een klacht kan indienen
  • of en waarom de klant verplicht is om de persoonsgegevens aan je te geven
  • of je gebruik maakt van geautomatiseerde besluitvorming en hoe je dat doet
  • wanneer de gegevens van een andere organisatie heeft gekregen

Een voorbeeld kun je vinden op de pagina over het privacybeleid van Soul Kitchen. 

De cookiepagina moet alle informatie bevatten over de wijze waarop functionele, analytische en tracking cookies worden verzameld en verwerkt. Om rechtsgeldige toestemming te krijgen voor het plaatsen van tracking cookies, moet je jouw websitebezoekers informeren over:

  • de soorten persoonsgegevens die je via de cookies verzamelt en verwerkt;
  • de doeleinden van de gegevensverwerking;
  • de categorieën bedrijven waaraan je de gegevens verstrekt;
  • de bewaartermijn;
  • zo veel nadere informatie als nodig is om uw bezoekers een eerlijk beeld te geven van de gegevensverwerking.

Een voorbeeld kun je vinden op de pagina over het cookiebeleid van Soul Kitchen.

Een voorbeeld van hoe Google Analytics cookies worden verwerkt en opgeslagen in het privacybeleid van soulkitchen.nl

Let op!

Voor het AVG proof maken van je website is een disclaimer pagina niet nodig. Een disclaimerpagina is niet verplicht en heeft bovendien een twijfelachtige juridische waarde. Zo’n pagina kan wel handig handig zijn om bepaalde eenzijdige mededelingen te doen om de bezoeker te informeren, zoals het waarschuwen voor mogelijke fouten die op je website staan.

Voor het opstellen van een privacy -en cookiepagina kun je tevens gebruik maken van WordPress plugins. Wij raden aan om de plugin van Complianz te gebruiken, omdat deze plugin automatisch privacy, -cookie en -disclaimerpagina’s aanmaakt op basis van jouw specifieke website-instellingen.

Stap 3. Formulieren checken

Zorg ervoor dat de formulieren op je website AVG proof zijn. Dit geldt zowel een voor contactformulier als voor een registratieformulier. Volgens autoriteitpersoonsgegevens.nl mag je alleen persoonsgegevens verwerken als het echt niet anders kan. Met andere woorden, als je zonder deze gegevens jouw doel niet kunt bereiken.

Bij het opstellen van zo’n formulier kun je de volgende vragen nalopen:

  • Welke persoonsgegevens zijn er echt nodig? 
  • Kun je voor elk persoonsgegeven dat je een bezoeker vraagt in te vullen uitleggen waarom je het nodig hebt? 
  • Wordt er om toestemming gevraagd middels een aankruisvakjes die gelinkt is aan de privacyverklaring?

Als het gaat over het nieuwsbrieflijsten, mag je volgens de AVG niet emailadressen niet automatisch toevoegen zonder toestemming van die persoon. Daarnaast moet je kunnen aantonen hoe je de inschrijvingen hebt verkregen. Om je privacy waterdicht te maken kun je gebruik maken van een zogenaamde dubbele opt-in. Met een dubbele opt-in vraag je expliciet toestemming voor het gebruik van zijn of haar e-mailadres voor het ontvangen van een nieuwsbrief via e-mail. 

Als je MailChimp gebruikt, is een dubbele opt-in eenvoudig in te schakelen. Log in op je account, ga naar je lijsten en klik op de knop voor “Opt-in-instellingen”. Selecteer van hieruit de mailinglijsten waaraan je een dubbele opt-in wilt toevoegen en sla deze vervolgens op. Vergeet deze methode voor het bevestigen van e-mailadressen van gebruikers voor je nieuwsbrief niet toe te voegen aan je privacybeleid.

Stap 4. Website beveiligen middels SSL

Zodra jij persoonsgegevens op je website verzamelt, bijvoorbeeld door bezoekers die hun naam en e-mailadres invullen, dan is een SSL-certificaat vanuit de AVG-oogpunt verplicht. Een SSL-verbinding is een versleutelde verbinding tussen de server en bezoeker. Met deze versleutelde verbinding kun je data veilig over het internet sturen. Zo voorkom je dat anderen gevoelige informatie kunnen inzien of aanpassen.</a

Een SSL-verbinding kun je eenvoudig herkennen aan de url (https://domein.nl). Daarnaast geeft een goede browser, zoals Google Chrome of Firefox, ook aan dat de verbinding beveiligd is door middel van een klein slotje voor de URL of een groene balk. Een SSL Certificaat kun je gemakkelijk afsluiten via de hostingspartij waar de domeinnaam is geregistreerd.

Stap 5. Analytics, tracking en remarketing

Deze stap verwijst naar alle diensten en/of plugins op je website die een website gebruikt om persoonsgegevens te verzamelen. Denk bijvoorbeeld aan Google Analytics, Google Adwords, Google Tag Manager, remarketingdiensten en e-commerceanalyses. Om deze diensten te gebruiken, moet je de persoonsgegevens anonimiseren voordat ze worden opgeslagen en verwerkt. We zien dat veel websites dit niet op orde hebben, omdat die scripts (stukjes code) vaak direct aan de website zijn toegevoegd.

Dit kun je eenvoudig oplossen door een WordPress plugin te gebruiken die de scripts automatisch verbindt aan de cookiemelding.  Zo kun je bezoekers gemakkelijk laten kiezen tussen functionele, analytische en tracking cookies. Kies een plugin die de AVG waarborgt en het anonimiseren van persoonsgegevens eenvoudig maakt.

Om analytics, remarketing lijsten, diensten van derden (zoals Hubspot, Mailchimp en Hotjar) goed in te stellen, maken we bij Soul Kitchen gebruik van een combinatie tussen de Complianz plugin en Google Tag Manager. Om bijvoorbeeld Google Analytics te blijven gebruiken zonder expliciete toestemming van een gebruiker is het noodzakelijk om de ip adressen van je bezoekers anonimiseren met behulp van Google Tag Manager en Complianz. Als je dit op een correcte manier instelt, houd je de privacy van je bezoekers in acht, voldoe je aan de AVG en is je nooit de bezoekersstatistieken van je website.

Let op! In 2024 verdwijnen third party cookies

Begin 2024 gaat Google Chrome stoppen met third party cookies. Aangezien zo’n 70% van de gebruikers Chrome gebruikt en Safari van Apple hier al mee gestopt was, betekent dat technisch gezien het einde van third party cookies.

Ben je afhankelijk van third party cookies voor jouw marketingactiviteiten? Implementeer dan server-side tracking via Google tag Manager. Bij deze methode laad je de tracking scripts vanaf je eigen domein en stuur je deze eerst naar je eigen server. Je creëert op die manier een soort tussenlaag.

De data wordt dus niet rechtstreeks verzonden vanuit het tracking-script in de browser van de bezoeker, maar wordt in plaats daarvan eerst naar je eigen server verstuurd alvorens die naar de ’third party’ gaat. Belangrijk hierbij is dat je precies zelf kunt bepalen – op basis van de AVG-richtlijnen – welke data je doorstuurt naar een Google of een Facebook. Zonder de implementatie van server side tracking wordt alles automatisch doorgestuurd en dat is natuurlijke privacy technisch niet helemaal kosher en straks zelfs verboden.

Hulp nodig met het implementeren van server side tracking? Neem nu contact op en wij maken je website in no-time AVG proof!