Inmiddels heeft bijna iedereen wel eens gehoord van AVG en/of GDPR, maar weten weinig website-eigenaren wat het precies inhoudt, welke praktische stappen er gezet moeten worden en of hun website ook daadwerkelijk compliant is. En dat laatste is belangrijk. Niet alleen wil je de privacy en persoonsgegevens van je websitebezoekers waarborgen en beveiligen, ook is het verstandig om eventuele sancties te vermijden. Die kunnen namelijk fors zijn. Volgens Autoriteit Persoonsgegevens kan een boete oplopen tot 20 miljoen euro. Kortom, reden genoeg om snel aan de slag te gaan met het AVG-proof maken van je website.
Waar de AVG voor staat
De Algemene verordening gegevensbescherming (AVG) is sinds begin 2018 van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). De AVG heeft in principe betrekking op de gegevensverwerking binnen een bedrijf of organisatie. Het doel van de AVG is om burgers te beschermen burgers op het gebied van privacyregelgeving en persoonsgegevens.
Voor wie het is
De AVG is op bijna elke website van toepassing. Zodra je website gebruikt maakt van bijvoorbeeld een contactformulier, Google Analytics inzet om bezoekersgedrag te analyseren of e-mailadressen verzamelt voor een nieuwsbrieflijst, dan worden er persoonsgegevens verzameld en verwerkt en valt de website onder de AVG-wetgeving.
Wat de AVG inhoudt
De AVG heeft gezorgd voor drie grote veranderingen als het gaat om privacy en persoonsgegevens:
- versterking en uitbreiding van privacyrechten;
- meer verantwoordelijkheden voor organisaties;
- Stevige bevoegdheden voor alle Europese privacytoezichthouders
Naast de drie hierboven genoemde algemene regels, zet autoriteitpersoonsgegevens.nl zes grondslagen uiteen met betrekking tot het verwerken van persoonsgegevens. Het is belangrijk om deze goed door te nemen voordat je aan de slag gaat met het AVG proof maken van je website. De grondslagen kun je ook lezen in de onderstaande infographic.
- je hebt toestemming van de persoon om wie het gaat.
- het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
- het is noodzakelijk om gegevens te verwerken omdat je dit wettelijk verplicht bent.
- het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
- het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
- Het is noodzakelijk om gegevens te verwerken om je gerechtvaardigde belang te behartigen
Met deze 5 stappen maak je jouw (WordPress) website AVG-proof
Zoals je in de bovenstaande infographic kunt lezen, moet een website volgens de AVG expliciete toestemming krijgen van een bezoeker om hun persoonlijke gegevens te verzamelen en te verwerken. Zonder toestemming kun je deze gegevens niet opslaan en ook niet delen met uw advertentie- en remarketingaccounts. Om die reden zijn cookies en cookiemelding een cruciaal onderdeel van de AVG en de eerste stap om je website AVG proof te maken.
Disclaimer: Het is onmogelijk om in deze blog alles te behandelen wat je moet weten om je website en bedrijf/organisatie 100% te laten voldoen aan de richtlijnen en uitgangspunten van de AVG. Daarvoor zou je een jurist gespecialiseerd in AVG moeten raadplegen. Hieronder lees je echter vijf belangrijke stappen om jouw in elk geval je website AVG proof te maken.
Stap 1. Cookiemelding toevoegen
Stap 2. Privacy en cookiepagina’s toevoegen/updaten
Stap 4. Website beveiligen middels SSL
Stap 5. Analytics, tracking en remarketing
Stap 1. Cookiemelding toevoegen
Voor analytische en tracking cookies moet je duidelijke, specifieke toestemming van bezoekers krijgen om deze cookies te plaatsen en ze te volgen. Dit kun je het beste doen door een cookiemelding te tonen bij het eerste bezoek van een gebruiker, waarbij er ingestemd kan worden met het gebruik van die cookies. Vaak komt dat neer op de keuze tussen ‘Functionele cookies’ en ‘Alle cookies’. Voor het gebruik van functionele cookies hoeft je geen toestemming te vragen.
Als de gebruiker niet expliciet toestemming geeft, kun je geen analytische en/of tracking cookies in de browser plaatsen. De website zou nog steeds toegankelijk moeten zijn zonder plaatsing van cookies, hoewel sommige functies voor de bezoeker dan niet volledig zullen werken. Het plaatsen van een zogenaamde cookiewall is volgens AVG niet toegestaan.
Als je WordPress als CMS gebruikt kun je gemakkelijk een cookiemelding instellen door middel van een plugin. Enkele populaire WordPress plugins die je kunt gebruiken, zijn Complianz, WP GDPR Compliance en Cookie Notice for GDPR & CCPA.
Bij Soul Kitchen gebruiken we dagelijks Complianz. Deze plugin heeft een gebruiksvriendelijke installatiewizard die automatisch plugins, cookies en scripts scant die momenteel in gebruik zijn. Complianz blokkeert daarnaast scripts van plugins die expliciete toestemming nodig hebben van bezoekers, totdat de relevante cookies zijn geaccepteerd. Wij zien dat veel cookieplugins deze optie niet aanbieden, terwijl dat wel verplicht is om te voldoen aan de AVG.
Stap 2. Privacy en cookiepagina’s toevoegen/updaten
De volgende stap in het AVG proof maken van je website is het opstellen of updaten van je privacy -en cookiepagina’s. Volgens de privacywetgeving ben je verplicht om over jouw privacybeleid en cookiebeleid te informeren (informatieplicht).
De privacypagina moet een gedetailleerde beschrijving geven van hoe je website persoonsgegevens verzamelt en verwerkt. Je moet in een privacybeleid in ieder geval deze informatie zetten:
- naam en contactgegevens van de organisatie die bepaalt waarom en hoe de persoonsgegevens worden gebruikt (de verwerkingsverantwoordelijke)
- welke goede reden (wettelijke grondslag) je hebt om persoonsgegevens te verwerken
- wie de persoonsgegevens krijgt
- of je de gegevens buiten de EU doorgeeft
- hoe lang je de gegevens bewaart
- wat de rechten zijn van de klant
- waar de klant een klacht kan indienen
- of en waarom de klant verplicht is om de persoonsgegevens aan je te geven
- of je gebruik maakt van geautomatiseerde besluitvorming en hoe je dat doet
- wanneer de gegevens van een andere organisatie heeft gekregen
Een voorbeeld kun je vinden op de pagina over het privacybeleid van Soul Kitchen.
De cookiepagina moet alle informatie bevatten over de wijze waarop functionele, analytische en tracking cookies worden verzameld en verwerkt. Om rechtsgeldige toestemming te krijgen voor het plaatsen van tracking cookies, moet je jouw websitebezoekers informeren over:
- de soorten persoonsgegevens die je via de cookies verzamelt en verwerkt;
- de doeleinden van de gegevensverwerking;
- de categorieën bedrijven waaraan je de gegevens verstrekt;
- de bewaartermijn;
- zo veel nadere informatie als nodig is om uw bezoekers een eerlijk beeld te geven van de gegevensverwerking.
Een voorbeeld kun je vinden op de pagina over het cookiebeleid van Soul Kitchen.
Let op! Voor het AVG proof maken van je website is een disclaimer pagina niet nodig. Een disclaimerpagina is niet verplicht en heeft bovendien een twijfelachtige juridische waarde. Zo’n pagina kan wel handig handig zijn om bepaalde eenzijdige mededelingen te doen om de bezoeker te informeren, zoals het waarschuwen voor mogelijke fouten die op je website staan.
Voor het opstellen van een privacy -en cookiepagina kun je tevens gebruik maken van WordPress plugins. Wij raden aan om de plugin van Complianz te gebruiken, omdat deze plugin automatisch privacy, -cookie en -disclaimerpagina’s aanmaakt op basis van jouw specifieke website-instellingen.
Stap 3. Formulieren checken
Zorg ervoor dat de formulieren op je website AVG proof zijn. Dit geldt zowel een voor contactformulier als voor een registratieformulier. Volgens autoriteitpersoonsgegevens.nl mag je alleen persoonsgegevens verwerken als het echt niet anders kan. Met andere woorden, als je zonder deze gegevens jouw doel niet kunt bereiken.
Bij het opstellen van zo’n formulier kun je de volgende vragen nalopen:
- Welke persoonsgegevens zijn er echt nodig?
- Kun je voor elk persoonsgegeven dat je een bezoeker vraagt in te vullen uitleggen waarom je het nodig hebt?
- Wordt er om toestemming gevraagd middels een aankruisvakjes die gelinkt is aan de privacyverklaring?
Als het gaat over het nieuwsbrieflijsten, mag je volgens de AVG niet emailadressen niet automatisch toevoegen zonder toestemming van die persoon. Daarnaast moet je kunnen aantonen hoe je de inschrijvingen hebt verkregen. Om je privacy waterdicht te maken kun je gebruik maken van een zogenaamde dubbele opt-in. Met een dubbele opt-in vraag je expliciet toestemming voor het gebruik van zijn of haar e-mailadres voor het ontvangen van een nieuwsbrief via e-mail.
Als je MailChimp gebruikt, is een dubbele opt-in eenvoudig in te schakelen. Log in op je account, ga naar je lijsten en klik op de knop voor “Opt-in-instellingen”. Selecteer van hieruit de mailinglijsten waaraan je een dubbele opt-in wilt toevoegen en sla deze vervolgens op. Vergeet deze methode voor het bevestigen van e-mailadressen van gebruikers voor je nieuwsbrief niet toe te voegen aan je privacybeleid.
Stap 4. Website beveiligen middels SSL
Zodra jij persoonsgegevens op je website verzamelt, bijvoorbeeld door bezoekers die hun naam en e-mailadres invullen, dan is een SSL-certificaat vanuit de AVG-oogpunt verplicht. Een SSL-verbinding is een versleutelde verbinding tussen de server en bezoeker. Met deze versleutelde verbinding kun je data veilig over het internet sturen. Zo voorkom je dat anderen gevoelige informatie kunnen inzien of aanpassen.</a
Een SSL-verbinding kun je eenvoudig herkennen aan de url (https://domein.nl). Daarnaast geeft een goede browser, zoals Google Chrome of Firefox, ook aan dat de verbinding beveiligd is door middel van een klein slotje voor de URL of een groene balk. Een SSL Certificaat kun je gemakkelijk afsluiten via de hostingspartij waar de domeinnaam is geregistreerd.
Stap 5. Analytics, tracking en remarketing
Deze stap verwijst naar alle diensten en/of plugins op je website die een website gebruikt om persoonsgegevens te verzamelen. Denk bijvoorbeeld aan Google Analytics, Google Adwords, Google Tag Manager, remarketingdiensten en e-commerceanalyses. Om deze diensten te gebruiken, moet je de persoonsgegevens anonimiseren voordat ze worden opgeslagen en verwerkt. We zien dat veel websites dit niet op orde hebben, omdat die scripts (stukjes code) vaak direct aan de website zijn toegevoegd.
Dit kun je eenvoudig oplossen door een WordPress plugin te gebruiken die de scripts automatisch verbindt aan de cookiemelding. Zo kun je bezoekers gemakkelijk laten kiezen tussen functionele, analytische en tracking cookies. Kies een plugin die de AVG waarborgt en het anonimiseren van persoonsgegevens eenvoudig maakt.
Om analytics, remarketing lijsten, diensten van derden (zoals Hubspot, Mailchimp en Hotjar) goed in te stellen, maken we bij Soul Kitchen gebruik van een combinatie tussen de Complianz plugin en Google Tag Manager. Om bijvoorbeeld Google Analytics te blijven gebruiken zonder expliciete toestemming van een gebruiker is het noodzakelijk om de ip adressen van je bezoekers anonimiseren met behulp van Google Tag Manager en Complianz. Als je dit op een correcte manier instelt, houd je de privacy van je bezoekers in acht, voldoe je aan de AVG en is je nooit de bezoekersstatistieken van je website.
Kom je er zelf niet uit? Dan helpen wij je graag verder. Neem nu contact op en wij maken je website in no-time AVG proof!