Hoe maak ik mijn website AVG-geschikt

WS Design & Development heeft deze pagina over de AVG, en de acties die nodig zijn om websites AVG-geschikt te maken, opgezet. Op 25 mei 2018 moeten organisaties voldoen aan de Algemene verordening gegevensbescherming (AVG). Op 25 mei 2018 moeten organisaties voldoen aan de Algemene verordening gegevensbescherming (AVG). Ik leg je graag uit wat hier voor nodig is op de pagina.

Als je nu nog niets hebt gedaan, moet je wel snel aan de slag, want bij elke website zijn wel wat zaken die aandacht vragen om deze AVG-geschikt te maken. Voor alle duidelijkheid: WS Design & Development is geen specialist in privacywetgeving. Op deze pagina beschrijf ik niet alle AVG-regels voor iedere branche. Ik geef hier alleen tips voor je website. Neem bij twijfel of aanvullende vragen contact op met een privacyjurist. (vb BLMV Advocaten – Amersfoort)

Wat houdt de AVG in?

De AVG, of de General Data Protection Regulation (GDPR), vervangt vanaf 25 mei 2018 onze Nederlandse privacywet: de Wet bescherming persoonsgegevens (Wbp) en geldt straks voor alle lidstaten van de EU. De verordening bevat uitgebreide privacyrechten voor burgers waarmee ze hun privacy beter kunnen waarborgen. De AVG legt meer verantwoordelijkheden bij organisaties op het gebied van gegevensverwerking. Wie persoonsgegevens verwerkt en dit na 25 mei 2018 niet volgens de regels van de AVG doet, kan een hoge boete opgelegd krijgen. Voor internetondernemers gaat de AVG vooral over toestemming, privacy, transparantie en beveiliging.

9 Tips die helpen je website AVG-geschikt te maken

1. Maak je websitebeveiliging in orde met een SSL-certificaat

De AVG stelt de wettelijke verplichting om aan te tonen dat je websitebeveiliging op orde is. Ondanks dat, worden geen specifieke technische eisen aan je website gesteld zoals de verplichting om een SSL-certificaat te hebben. Toch is een SSL-certificaat wel degelijk een goed middel om de beveiliging van je website verder te verbeteren.

Een SSL-certificaat zorgt voor een extra veilige laag over het verstuurde webverkeer. Ingevulde gegevens in een formulier worden daardoor versleuteld verzonden en zijn door kwaadwillenden niet te onderscheppen. Lees meer over het SSL-certificaat:

SSL-Certificaat

2. Zorg voor een duidelijke privacyverklaring

Misschien heb je al een privacyverklaring op je website staan, de kans is echter groot dat deze door de AVG transparanter moet zijn. Je moet bijvoorbeeld het klachtrecht vermelden, toelichten hoe lang je persoonsgegevens bewaart en of je deze gegevens deelt met anderen. Wil je weten wat er precies in je privacyverklaring moet staan, informeer dan bij jouw eigen privacy jurist, je brancheorganisatie of check de informatie en het stappenplan op de site van de Autoriteit Persoonsgegevens via deze links:

Ik kan voor € 25,- excl. BTW een pagina aanmaken en een door jou aangeleverde privacyverklaring opmaken.

3. Verwijzing naar je privacyverklaring bij je webformulieren

Zorg ervoor dat je de online ingevulde gegevens op een contact- of offerteformulier alleen gebruikt om contact op te nemen of een offerte te versturen. Je mag personen niet zonder expliciete toestemming (opt-in) abonneren op bijvoorbeeld een nieuwsbrief. Let er ook op dat je alleen de gegevens laat invullen die nodig zijn om de betreffende actie uit te voeren.

Heb je al een AVG-geschikte privacyverklaring opgesteld? Zorg er dan voor dat bij alle formulieren een link naar je privacyverklaring staat. Dit kan een tekst boven het formulier zijn (dit kun je zelf in het CMS verwerken) of een tekst met checkbox net boven de verzenden knop van het formulier. Daardoor ben je transparant over je gegevensverwerking en is je bezoeker hiervan op de hoogte.

Ik kan vanaf € 25,- excl. BTW per formulier een checkbox toevoegen met verwijzing naar je privacyverklaring.

4. Verwijder onnodige accounts

De AVG verplicht organisaties om alleen bevoegde medewerkers toegang tot persoonsgegevens te geven. Dit geldt uiteraard ook voor de toegang tot het CMS van je website. Ga dus na wie er kunnen inloggen in jouw website en verwijder gebruikers die geen toegang nodig hebben

5. Vraag akkoord voor marketingcookies

Waarschijnlijk zal de huidige cookiewet in 2019 worden vervangen door de e-Privacyverordening (EPV). Handig om deze nieuwe regels meteen mee te nemen in je privacybeleid, want de EPV zal naast de AVG gelden. Er bestaan verschillende soorten cookies:

  • Noodzakelijke cookies; deze helpen een website beter bruikbaar te maken, door basisfuncties als paginanavigatie en toegang tot beveiligde gedeelten van de website mogelijk te maken. Zonder deze cookies kan de website niet naar behoren werken.
  • Voorkeurscookies; zorgen ervoor dat een website informatie kan onthouden die van invloed is op het gedrag en de vormgeving van de website, zoals de voorkeurstaal of de regio waar je woont.
  • Statistische cookies; helpen eigenaren van websites begrijpen hoe bezoekers hun website gebruiken, door (anoniem) gegevens te verzamelen en te rapporteren.
  • Marketingcookies; of tracking-cookies, worden gebruikt om bezoekers te volgen wanneer ze verschillende websites bezoeken. Hun doel is bijvoorbeeld advertenties weergeven die relevant zijn voor de individuele gebruiker. Deze advertenties worden zo waardevoller voor uitgevers en externe adverteerders.

Op dit moment mogen cookies zonder toestemming worden geplaatst als ze functioneel van aard zijn en geen of nauwelijks invloed hebben op de persoonlijke levenssfeer van de betrokkene. Ook in de nieuwe situatie hoeven je websitegebruikers géén toestemming te geven voor noodzakelijke en voorkeurscookies. Statistische cookies mag je toepassen, mits ze voor eigen gebruik zijn en niet gedeeld worden met derden. Gebruik je Google Analytics? Stel Google Analytics dan ‘privacyvriendelijk’ in.

Wat overblijft zijn de marketingcookies, denk aan Facebook Pixels, LinkedIn pixels, AdWords remarketing pixels, Share knoppen via AddThis. Voor het gebruik van deze cookies moet je bezoekers toestemming vragen. Vraag je websitebezoekers toestemming voor het plaatsen van deze marketingcookies met een verwijzing naar je cookieverklaring. Ik adviseer hiervoor het gebruik van de tool van Cookiebot die ook op mijn eigen site is geïnstalleerd. Cookiebot werkt het best in combinatie met Google Tagmanager. Ik kan dat direct voor je in orde maken.

Ik kan Cookiebot aan je website toevoegen vanaf € 95,- excl. BTW m.u.v. de eventuele kosten voor Cookiebot.

6. Stel Google Analytics privacyvriendelijk in

Analytische cookies mag je zonder toestemming toepassen, mits ze voor eigen gebruik zijn en niet gedeeld worden met derden. Gebruik je Google Analytics, stel deze dan ‘privacyvriendelijk’ in. Lees in de handleiding van de Autoriteit Persoonsgegevens hoe dit werkt. Uiteraard kan WS Design & Development dit ook voor je in orde maken.

Wordt er voor jouw website ook gebruik gemaakt van bijvoorbeeld Google Tagmanager, Google AdWords, Google Search Console, dan moet je hiervoor ook een bewerkersovereenkomst  afsluiten.

Ik kan je helpen met het privacyvriendelijk instellen van Google producten vanaf € 25,- excl. BTW

7. Heroverweeg je mailinglijst

Natuurlijk is het ook na 25 mei 2018 nog gewoon toegestaan om je klanten mails te sturen. Maar let op, want prospects en overige relaties mailen zonder confirmed opt-in toestemming mag volgens de AVG niet meer.
Stuur je nieuwsbrieven via MailChimp of een ander programma, dan mag je deze blijven versturen naar klanten die zich hebben ingeschreven, het is verstandig om hierbij met een dubbele opt-in te werken. Zij hebben zich aangemeld voor de nieuwsbrief, een automatische bevestigingsmail gekregen en deze inderdaad bevestigd. Aan klanten zonder (dubbele) opt-in zal een mail moeten worden gestuurd waarin je met een link wijst op de privacyverklaring en de vraag of ze de nieuwsbrief willen blijven ontvangen. Daarmee vraag je alsnog een (dubbele) opt-in, die je vervolgens registreert.

Als je met MailChimp werkt, check dan hoe zij organisaties helpen met de AVG op het blog van MailChimp.

8. Automatisch opschonen persoonsgegevens in CMS

Op de meeste websites worden de gegevens van alle ingevulde formulieren als back-up bewaard in het CMS, waarna ze zijn te exporteren naar Microsoft Excel. Ik heb deze back-up toegevoegd aan het CMS omdat het wel eens fout gaat bij het afleveren van de formulieren via de website.

Nu het niet meer is toegestaan om “langer dan noodzakelijk voor het doel” gegevens te bewaren, kan ik in het maandelijks onderhoud deze gegevens na 1 maanden definitief verwijderen uit het CMS. Dit kan dan benoemd worden in de privacyverklaring.

Ik kan de persoonsgegevens opschonen vanaf € 5,- excl. BTW die verrekend wordt in je kwartaal factuur

9. WS Design & Development en de AVG

Als je samenwerkt met partijen die in jouw opdracht persoonsgegevens verwerken, dan ben je verplicht met iedere verwerker een verwerkersovereenkomst te sluiten. Dit dien je ook te doen met je webbouwer. Ben je klant bij WS Design & Development? Download dan hier onze verwerkersovereenkomst. Deze kun je digitaal invullen, ondertekenen en retourneren naar marcel@westemijer.nl.

Wat moet er nog meer gebeuren?

Check bij het AVG-geschikt maken van je website ook meteen de andere processen binnen jouw organisatie . Volgens de AVG ben je bijvoorbeeld ook verplicht om:

  • alle verwerkingen van persoonsgegevens in een register bij te houden (registerplicht);
  • bij de ontwikkeling van producten en diensten voldoende rekening te houden met privacy (privacy by design);
  • waar nodig te werken met een Data Protection Impact Assessment (DPIA);
  • een medewerker aan te stellen voor de gegevensbescherming (geldt onder andere voor overheid, zorg en onderwijs);
  • datalekken te registreren (ook als je deze niet bij de Autotiteit Persoonsgegevens hoeft te melden);
  • verwerkersovereenkomsten te sluiten met de partijen met wie je samenwerkt.

Interessante links

Voor meer informatie over de AVG: Autoriteit Persoonsgegevens en Ministerie van Justitie en Veiligheid.