Een AVG-proof website in 5 stappen
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in de EU actief. Het doel van deze wetgeving is om de privacy van EU-inwoners te versterken. Elk bedrijf (van ZZP'er tot multinational) moet verantwoordelijk met persoonsgegevens omgaan. Denk hierbij aan het vastleggen van afspraken met klanten, klantgegevens, personeelsinformatie en online formulieren.
Als vuistregel kun je ervan uitgaan dat je met persoonsgegevens net zo serieus moet omgaan als creditcardgegevens. In dit artikel lees je hoe je een website kunt voorbereiden op de AVG-wetgeving.
Voordat je verder scrollt: Dit is geschreven door een marketeer en moet niet worden gezien als juridisch advies.
Stap 1) Zorg voor een transparante privacyverklaring
De privacyverklaring op je website moet herschreven (of versimpeld) worden zodat deze in eenvoudige taal te begrijpen is. Het idee is dat je eigen doelgroep de tekst begrijpt. Maak dan ook geen gebruik van ingewikkeld juridisch jargon maar van duidelijke taal.
Hiervoor moet je in kaart brengen welke persoonsgegevens je verzamelt; fysiek en via de website. Denk aan formulieren en lijsten met namen, adressen, postcodes met huisnummers, woonplaatsen, telefoonnummers, mailadressen, IP-adressen, MAC-adressen, cookies etc. Denk ook aan gevoelige gegevens zoals afkomst, godsdienst of gezondheid (dit soort gegevens worden extra beschermd).
Stap 2) Privacyvriendelijk als de nieuwe standaard
De AVG introduceerde twee mooie termen: privacy by default en privacy by design. By design betekent dat bij het ontwikkelen van websites privacy niet achteraf geïmplementeerd wordt, maar vanaf het eerste ontwerp. By default doelt op dat privacyvriendelijk de standaardkeuze moet zijn.
Standaard privacy-onvriendelijke opties aanvinken mag niet meer.
In de praktijk betekent dit dat een formulier op een website niet standaard aangevinkt heeft dat iemand de nieuwsbrief wenst te ontvangen (opt-in). Maar ook dat er geen onnodige informatie gevraagd moet worden. Vraag bij een contactformulier dus niet naar een FAX-nummer als je dit niet nodig hebt.
Stap 3) Bied inzicht in de cookies op je website
Cookies worden niet expliciet genoemd in de AVG-wetgeving, maar zijn wel een belangrijk onderdeel. Plug-ins van Facebook of LinkedIn plaatsen bijvoorbeeld cookies en verzamelen op deze manier persoonsgegevens. Dit valt wel direct onder de regelgeving.
Voor niet essentiële cookies heb je toestemming van je bezoeker nodig. Denk aan remarketinglijsten, social-media-buttons en visuele analytics (heatmaps). Breng daarom goed in kaart welke cookies de website plaatst en welke toestemming aanvullend nodig is.
De websites van de NPO geven de optie om elke type cookie te beheren.
Wil je dergelijke cookies blijven gebruiken? Dan is het gebruik van een cookiebar verplicht. Verder is het aan te raden om een cookiepagina te publiceren met uitleg van gebruikte cookies.
Stap 4) Zorg voor anonimisering in Google Analytics
Wil je Google Analytics blijven gebruiken zonder eerst toestemming te vragen? Zorg er dan voor dat gegevens anoniem verwerkt worden. Zo moet ingesteld worden dat IP-adressen anoniem verwerkt worden en moeten standaardinstellingen uitgevinkt worden.
Lees verder: Handleiding Google Analytics instellen
Stap 5) Beveilig je website met een SSL-certificaat
Verder wordt van elk bedrijf verwacht dat persoonsgegevens optimaal beveiligd zijn. Voor de website betekent dit dat je geen verouderde software moet gebruiken en dat de website beveiligd is met een SSL-certificaat.
Lees verder: Wat is HTTPS en SSL?
Whats next?
Bovenstaande stappen doelen voornamelijk op een website. Maar, de AVG-wetgeving heeft natuurlijk betrekking op je gehele bedrijfsvoering. Denk aan het opstellen van verwerkersovereenkomsten, omgaan met datalekken en het aanstellen van een (interne) toezichthouder.
Meer lezen over AVG?
Autoriteitpersoonsgegevens.nl -Voorbereiding op de AVG
ICTrecht.nl -Factsheet Algemene Verordening Gegevensbescherming
Charlotteslaw.nl -Privacyverklaring opstellen die AVG proof is
