Nee… we hebben het hier niet over aardappels, vlees en groenten, maar over de nieuwe Algemene Verordening Gegevensbescherming (AVG) – of General Data Protection Regulation (GDPR) in het Engels – die op 25 mei 2018 in werking treedt. Heb jij een website waarop je persoonsgegevens verwerkt, maar weet je niet zeker of deze aan de eisen van de AVG voldoet en wat je er aan kan doen? Lees dan vooral verder en voorkom torenhoge boetes!

First things first: Aan deze blogpost kunnen geen rechten worden ontleend. Dondr is nou eenmaal geen advocatenkantoor maar een internetbureau. Wij kunnen dan ook niet 100% garanderen dat je bedrijf en website volledig voldoen aan de vereisten door implementaties binnen je bedrijf naar aanleiding van deze blogpost. Hier ben je namelijk zelf verantwoordelijk voor. Je dient zelf te onderzoeken en te bepalen hoe de AVG van toepassing is op jou of jouw organisatie en website en welke maatregelen je moet nemen. Wij bieden je enkel tips en advies over de AVG, en deze blogpost mag dan ook niet als juridisch advies worden gezien.

Wat is de AVG nou eigenlijk?

De AVG is een nieuwe Europese wet die bedrijven uit alle Europese landen aan dezelfde privacyregels bindt. De AVG bepaalt hoe organisaties om moeten gaan met de opslag, het gebruik en de verwerking van persoonsgegevens. Onder de AVG krijgen de bezoekers van jouw website en/of webshop meer en verbeterde privacyrechten.

Deze regels zijn van toepassing op alle organisaties die in Europa gevestigd zijn en hier ook persoonsgegevens verzamelen. Het doel van de AVG is drieledig:

  1. Europese burgers beschermen en hen meer controle geven over het gebruik van persoonsgegevens.
  2. De privacywetgeving bijwerken zodat ze aansluit op het huidige technologische landschap.
  3. De privacywetgeving van de EU-landen verenigen.

De AVG vervangt de huidige “Wet Bescherming Persoonsgegevens (Wbp)” uit 1995. Deze wet werd geïntroduceerd voordat internet- en cloudtechnologie een enorme groei in gegevensgebruik veroorzaakten (bijvoorbeeld door klantgegevens aan andere bedrijven te verkopen of door beveiligingssystemen te hacken). In het kort gaat de wet over:

  • Expliciete toestemming – organisaties moeten van verzamelde gegevens kunnen bewijzen dat er expliciet toestemming voor is gegeven door de consument.
  • Het recht om vergeten te worden“– Wanneer consumenten hier om vragen, moeten organisaties al hun persoonlijke gegevens kunnen (laten) verwijderen.
  • Recht op dataportabiliteit – consumenten betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens desgewenst kunnen doorgeven aan een andere organisatie als ze dat willen.

Wat verstaat de AVG onder persoonsgegevens?

Wanneer het over persoonsgegevens gaat, dan hebben we het kortweg over alle gegevens waarmee natuurlijke personen individueel te identificeren zijn. Denk hierbij aan een naam, adres, e-mailadres, locatie (bijv. GPS coördinaten) en IP-adressen.

Zo is bijvoorbeeld de combinatie van een IP-adres en een naam te herleiden naar een persoon. E-mailadressen die een voornaam bevatten vormen ook al een persoonsgegeven. Alleen een info@ e-mailadres is geen persoonsgegeven, tenzij je een ZZP’er bent die als enige dit e-mailadres gebruikt (dan is dit e-mailadres namelijk wel te herleiden tot een natuurlijk persoon). Een persoonlijk telefoonnummer en mobiel nummer zijn ook persoonsgegevens geworden. Bedrijfs- of informatienummers zijn dit dus weer niet.

Bedrijfsinformatie (bijv. organisatienaam, e-mailadres, postadres, etc.) valt kort door de bocht genomen weer níet onder persoonsgegevens, omdat de AVG zich richt op de bescherming van natuurlijke personen en niet van rechtspersonen.

Welke gevolgen heeft de AVG op jouw website?

Je organisatie zal zich waarschijnlijk niet bezig houden met het op enorme schaal verzamelen van persoonsgegevens, maar ongemerkt verzamel je er via je website toch nog aardig wat: bijvoorbeeld via een contactformulier, nieuwsbrief-inschrijvingsformulier en/of Google Analytics tracking-cookies. Dit zijn allemaal gegevens die te herleiden zijn naar een individu. Belangrijk bij het verzamelen van persoonsgegevens is je te bedenken of je dit doet vanuit de volgende uitgangspunten:

  • Persoonsgegevens mogen alleen worden verzameld voor een specifiek doel. Dit specifieke doel dient gerechtvaardigd te zijn en het moet duidelijk worden omschreven in je privacyverklaring.
  • Verzamel alleen de gegevens die je nodig hebt. Minimaliseer dus je gegevensverwerking.
  • Persoonsgegevens moeten correct en up-to-date zijn.
  • Ook mag je de persoonsgegevens niet langer bewaard worden dan nodig is.

Waarom je nu nog actie moet ondernemen

Geen paniek! Je hebt nog tot 25 mei om je website AVG-proof te maken!Geen paniek! je hebt nog tot 25 mei. Wacht er echter niet te lang mee. Wanneer je zelf bijvoorbeeld een online aankoop doet bij een webshop ga je er vanuit dat er door de webshop zorgvuldig wordt omgegaan met je gegevens en dat deze niet in handen komen van andere partijen dan de webwinkel zelf (tenzij je hier natuurlijk toestemming voor hebt gegeven). Dit mogen jouw klanten ook van jou verwachten. Als je bedrijf niet voldoet aan de AVG dan loop je een groot risico dat je het vertrouwen van je klanten verliest, en dit kan de reputatie van je bedrijf ernstige schade toebrengen. We willen immers niet dezelfde fouten als Facebook maken in het Cambridge Analytica-schandaal.

Voldoe je voor 25 mei nog niet aan de eisen van de AVG? Dan mag iedereen jouw organisatie hierop aanspreken. De boetes voor het niet naleven van de AVG zijn niet mals: de maximale boete is 20 miljoen euro óf 4% van de (wereldwijde) jaaromzet van jouw onderneming; het is maar net welke hoger uitvalt (bron).

Vrijwel alle WordPress- en WooCommerce-websites krijgen met de AVG te maken, dus ook die van jou. Of je nou een blog, ‘online visitekaartje’ of webshop hebt, voor iedereen die persoonsgegevens op welke manier dan ook verzamelt geldt deze verordening. Het is geen optie om niet aan de AVG te voldoen: naleving van de wet is van toepassing op alle organisaties in alle vormen en maten, inclusief het mkb en zzp’ers.

Maar, wat moet ik dan nu doen?

Wat moet je doen om je website AVG-proof te maken?Stel, je hebt een webshop. Om bestellingen te kunnen verzenden heb je onder andere de naam en adresgegevens nodig van je klant. In dat geval is het natuurlijk prima om deze gegevens te verzamelen, zolang je het maar niet gaat gebruiken voor andere doeleinden. Not done is dus diegene automatisch laten inschrijven voor je nieuwsbrief, daarvoor moet je expliciet toestemming vragen. Hoe maak je nou concreet je website AVG-proof? Hieronder een beknopte checklist:

  1. Krijg inzicht in je data
    Bekijk je website eens goed en vraag je af:

    • Op welke manier verzamel ik persoonsgegevens? Is dit bijvoorbeeld middels een contactformulier, een checkout-formulier van je webshop of een nieuwsbrief-inschrijfformulier?
    • Welke plugins maken het verzamelen van  persoonsgegevens mogelijk?
    • Waar worden die persoonsgegevens opgeslagen?
    • Welke persoonsgegevens verzamel ik momenteel?
    • Welke gegevens heb ik écht nodig, en welke kan ik zonder?
  2. Pas je privacyverklaring op je website aan
    Heb je momenteel al een privacyverklaring op je website? Dan voldoet deze hoogstwaarschijnlijk niet meer en kan je nu overnieuw beginnen. Herschrijf je privacyverklaring en maak deze eenvoudig vindbaar op je website, bijvoorbeeld middels een linkje in je footer. Onder andere hier vind je tips om je privacyverklaring AVG-proof te maken. We vinden trouwens deze van Coolblue lekker duidelijk.
  3. Zorg voor optimale beveiliging
    Klinkt logisch, maar vaak ontbreekt het er nog aan: zorg er voor dat je website en/of webshop goed is beveiligd. Dat zit bij Dondr wel goed: wij voorzien standaard je website van een (gratis) SSL-certificaat, en zorgen er voor dat we de laatste (beveiligings)updates draaien voor WordPress, je thema en de gebruikte plugins.
  4. Houd een verwerkingsregister bij
    Houd in een verwerkingsregister bij welke persoonsgegevevens er verzameld worden, wat het doel is, bewaartermijnen, welke beveiligingsmaatregelen je hebt getroffen en welke interne en externe partijen toegang hebben tot deze gegevens.
  5. Verwerkersovereenkomsten
    Sluit verwerkersovereenkomsten af met alle externe partijen waarmee je samenwerkt en die toegang hebben tot de persoonsgegevens.
  6. Pas je Google Analytics tracking-code aan
    Om er voor te zorgen dat er zo weinig mogelijk persoonsgegevens worden gedeeld via Google Analytics moet het script (het stukje code wat je in je website plakt) worden aangepast. De Autoriteit Persoonsgegevens heeft hiervoor op haar website een handleiding beschikbaar.
  7. Vraag expliciete toestemming voor het verwerken van persoonsgegevens
    Dit kan je bijvoorbeeld al eenvoudig oplossen door een apart aankruisvakje toe te voegen aan je bestelformulier waarin je verwijst naar je privacyverklaring. Hierin moet dan dus staan met welk doel je welke gegevens verzamelt.
Voorbeeld van een checkbox waarbij men akkoord moet gaan met je privacyverklaring voordat ze een reactie kunnen plaatsen.
Voorbeeld van een checkbox waarbij men akkoord moet gaan met je privacyverklaring voordat ze een reactie kunnen plaatsen.

Zie je door de bomen het bos niet meer en heb je hulp nodig?

Als internetbureau nemen we jouw privacy en die van je klanten zeer serieus. We zorgen er dan ook voor dat nieuwe websites standaard aan de regelgeving voldoet, en ook websites van bestaande klanten maken we AVG-proof. Wij zorgen er voor dat de basis van jouw website goed is (beveiliging, backups, privacyverklaring, toestemming vragen bij formulieren etc.), maar let er wel op dat het uiteindelijk je eigen verantwoordelijkheid is hoe je met de persoonsgegevens van jouw klanten omgaat.

Samen jouw website AVG-proof maken?

Neem dan nu nog contact op met Dondr via hello@dondr.nl.

Heb je tijd over en wil je meer weten over de AVG? Lees er dan meer over op de website van Autoriteit Persoonsgegevens. Heb je iets minder de tijd? Lees dan: De AVG in een notendop.

Heb je vragen en/of opmerkingen die voor meer mensen interessant kunnen zijn? Plaats die dan hieronder in een reactie. We zullen ons best doen hier zo snel mogelijk op te reageren.

Wil je liever één op één een vraag stellen? Mail dan naar hello@dondr.nl.

Reacties

0 reacties op “Is jouw website al klaar voor de AVG? Je hebt nog tot 25 mei!”. Plaats de eerste reactie!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Met ons samenwerken?

Benieuwd wat we voor je kunnen betekenen? Of heb je gewoon zin in koffie? Bel, mail of kom langs! We hebben koffie. En koekjes. En koffie. En koekjes. En koffie. En koekjes.