AVG / GDPR

*** Deze pagina wordt bijgewerkt als er nieuwe/gewijzigde informatie is, laatst bijgewerkt 25-05-2018 10:45 ***

Als je een website hebt waarin je persoonsgegevens (adres, e-mail, geboortedatum, bankgegevens, etc) verzamelt dan ben je gehouden aan de Algemene verordening gegevensbescherming (AVG) die per 25 mei 2018 zal ingaan. De AVG-wet heeft impact op vrijwel alle bestaande websites. Wil je bezoekersaantallen meten? Laat je een simpel contactformulier invullen? Met deze nieuwe Europese wet wordt de bescherming van privacygevoelige informatie stevig aangescherpt. Daarmee komt de eerdere Wet bescherming persoonsgegevens (Wbp) te vervallen.

De Algemene verordening gegevensbescherming heeft betrekking op de gegevensverwerking binnen je gehele bedrijf (dus niet alleen je website!!!). Lees hier meer over op de website van Autoriteit Persoonsgegevens. In dit artikel wil Zegenrijk je informeren over een aantal aandachtspunten met betrekking tot je website die naar voren zijn gekomen bij bestudering van de te nemen maatregelen. Graag deelt Zegenrijk die informatie met u.

Voor de goede orde: Zegenrijk geeft hiermee geen juridisch advies. Met dit artikel wordt geprobeerd actief mee te denken waaraan u overal aan zou moeten denken voor uw website. Wilt u het helemaal zeker weten of u AVG proof bent dan kunt u het beste zelf juridisch advies inschakelen.

Het gaat om vier hoofdvragen die je continu moet stellen:
1. Welke persoonsgegevens sla ik op?
2. Waarvoor gebruik ik die?
3. Waar en hoe lang sla ik die op en wie kan er bij?
4. Heb ik die gegevens nog wel nodig?


Onderstaand concrete punten van aandacht voor uw website.
In veel gevallen zal de uitvoering en oplossing moeten gebeuren door Zegenrijk. De kosten zijn afhankelijk van uw vraag wat u zelf doet of wat u wil laten uitvoeren.

Controle: Je bent zelf verantwoordelijkheid voor de veiligheid van je website. Denk hierbij aan het pro-actief beveiligen van je website, het op de juiste manier updaten van thema’s / plugins en het maken van back-ups.
Oplossing: Voor het gros van onze klanten verzorgt Zegenrijk dit al en heeft u hier geen omkijken naar! Bij twijfel of Zegenrijk dit al voor u uitvoert informeer dan graag even!

Controle: Gebruikt u Google Analytics, dan moet u een overeenkomst met ze afsluiten zodat ze de gegevens mogen gebruiken.
Oplossing: Als je bent ingelogd via Google Analytics ga je naar instellingen (tandwiel) > Accountinstellingen > Aanpassing van de gegevensverwerking (laatste optie) alsmede de DPA-gegevens beheren uitvoeren.

Controle: Google Analytics legt het IP adres vast van je bezoeker, dit mag niet zonder expliciete toestemming van de bezoeker
Oplossing 1: het IP adres technisch gezien anoniem laten maken zodat Google het niet ziet
Oplossing 2: bezoeker expliciet toestemming laten geven met een toestemmingsknop op uw website om het wel te mogen gebruiken

Controle: Uw (contact)formulier legt het IP adres vast van je bezoeker, dit mag niet
Oplossing: het IP adres anoniem maken of niet opslaan

Controle: Uw webshop heeft geen SSL certificaat, dit is verplicht voor webshops
Oplossing: SSL certificaat aanvragen bij Zegenrijk

Controle: U gebruikt een (contact)formulier in uw website, een SSL certificaat is dan verplicht
Oplossing 1: SSL certificaat aanvragen bij Zegenrijk
Oplossing 2: Het formulier verwijderen en vervangen door tekst (uw telefoonnummer/mailadres)

Controle: Uw website zet (tracking)cookies voordat er toestemming is gegeven door klant, dat mag niet.
Oplossing: Een toestemmingsknop boven uw website opnemen waarmee de bezoeker expliciet toestemming geeft. Voor de goede orde: er zijn verschillende vormen cookies: functionele- en trackingcookies. Functionele cookies zoals nodig dat de website kan onthouden wat u in de winkelwagen gedaan heeft (deze mogen zonder toestemming, zijn nodig voor de werking van uw site), trackingcookies daarintegen mogen niet zonder expliciete toestemming van de bezoeker. Deze cookies houden individueel surfgedrag bij en stellen profielen op om bijvoorbeeld gerichte advertenties mogelijk te maken.

Controle: Cookies mogen pas gezet worden na toestemming door bezoeker, maar u weet niet of uw website cookies zet.
Oplossing: Controleer of uw site cookies zet en of hier cookies tussen zitten die u niet zonder expliciete toestemming mag zetten. Note: Ook wanneer je website alleen maar gebruik maakt van functionele cookies en de toegestane uitzonderingen, moet je toch de bezoekers van je website informeren over deze cookies. Dit hoeft echter niet te gebeuren in een grote banner of cookiewall, je hoeft immers geen toestemming te vragen aan jouw bezoekers. Dit kun je doen in de privacyverklaring op jouw website. Zo kunnen bezoekers altijd de gewenste informatie vinden en heb jij je netjes aan de nieuwe privacywet gehouden. Zie verder het punt Privacyverklaring.

Controle: Heb je Youtube of Vimeo films op je website staan (ge-embed) of een Facebook berichtenfeed / Twitterberichtenfeed.
Oplossing: Deze diensten zetten ongevraagd cookies en dat mag niet

Controle: Gebruik je Facebook pixels (heel erg invasief voor de privacy van je klanten)
Oplossing: Facebook pixels staan er om bekend heel veel vast te leggen aan privcay gevoelige gegevens. Zonder expliciete toestemming mag dit niet.

Controle: U verzend nieuwsbrieven, heeft u vastgelegd dat de ingeschrevene u expliciet toestemming hiervoor heeft gegeven en heeft u hiervan bewijs vast heeft liggen
Oplossing 1: Controleer bewijsvoering, als deze niet in orde is deze personen niets meer sturen.
Oplossing 2: Personen opnieuw vragen hun inschrijving te bevestigen zodat u de bewijsvoering vast heeft liggen.

Controle: U verzend nieuwsbrieven en gebruikt zelf een externe partij voor de verzending van uw nieuwsbrieven (bijv. Mailchimp)
Oplossing: U moet een overeenkomst sluiten met externe partijen die u nieuwsbrief versturen.

Controle: Op uw website kunnen bezoekers zich inschrijven voor uw nieuwsbrief, maar er is geen uitschrijfmogelijkheid
Oplossing: Toevoegen uitschrijfmogelijkheid, je moet het je bezoekers zo makkelijk mogelijk maken in zich te kunnen uitschrijven.

Controle: Op uw website kunnen bezoekers zich inschrijven voor uw nieuwsbrief, maar je gebruikt geen double opt-in
Oplossing: Bij een dubbele opt-in wordt de toestemming voor het zenden van de nieuwsbrief dubbel bevestigd. Bijvoorbeeld doordat de abonnee van een nieuwsbrief na de inschrijving via de website deze inschrijving nogmaals dient te bevestigen via een klik op een unieke link in een activatiemail (hiermee is de bewijslast ook vastgelegd van de inschrijving).

Controle: U heeft geen Privacyverklaring op uw website staan
Oplossing: U moet een Privacyverklaring plaatsen op uw website. Er moet openheid geven worden over hoe jouw bedrijf persoonsgegevens verwerkt. Dat betekent dat je privacyverklaring in een heldere taal geschreven moet zijn (Jip en Janneke taal). Kort en overzichtelijk. Daarin leg je uit hoe jouw bedrijf omgaat met persoonsgegevens. Zorg ook dat elke medewerker die werkt met persoonsgegevens de nieuwe privacywetgeving begrijpt. Online zijn er voorbeelden te vinden bijv. https://veiliginternetten.nl/privacyverklaring/ (genereert een verlaring op basis van je ingevulde antwoorden).

Controle: U moet nagaan waar uw data staat met privacy gevoelige gegevens en met deze partijen een Bewerkersovereenkomst aangaan.  
Oplossing: Zegenrijk heeft met zijn leveranciers bewerkersovereenkomsten afgesloten om zo correct om te gaan met uw data bij deze partijen

Controle: Wie heeft toegang tot uw website
Oplossing: Beperk het aantal personen dat toegang heeft tot uw website en leg vast bij toegang wat de rol van die persoon is (beperk eventueel rechten tot een minimum). Onnodige accounts moet je verwijderen.

Controle: U schrijft een bezoeker bij het vullen van een formulier of bestelling in een shop automatisch in voor uw nieuwsbrief
Oplossing: Een bezoeker moet expliciet toestemming geven hiervoor, een standaard vinkje aanzetten mag niet

Controle: Heeft u een verwerkingsregister?
Oplossing: Realiseer een verwerkingsregister. Wat is een verwerkingsregister -> De persoonsgegevens die je gebruikt worden ergens opgeslagen: op de server van je computer of in de software van de nieuwsbrieven die je verstuurt bijvoorbeeld. Jij moet met al deze partijen een verwerkersovereenkomst afsluiten. Sla jij gegevens op in Dropbox? Dan moet je een verwerkersovereenkomst sluiten met Dropbox. Hetzelfde geldt voor je softwarebedrijf waarmee je nieuwsbrieven verstuurt, offertes opmaakt en facturen verstuurt. Oók met je boekhouder als die jouw facturen inziet. Ook moet je als ondernemer met procedures gaan werken, moeten verwerkersovereenkomsten aangescherpt worden en moet je aan kunnen tonen dat je persoonsgegevens op de juiste manier verwerkt. Dit doe je in een verwerkingsregister.

Controle: Heb ik als klant van Zegenrijk ook een Vewerkersovereenkomst nodig met Zegenrijk omdat Zegenrijk mijn data opslaat van de website/mail en kan inzien?
Oplossing: Ja dat is nodig. U bent als eigenaar zelf verantwoordelijk (zoal eerder gezegd gaat de AVG verder dan alleen de website) om binnen uw bedrijf maatregelen te treffen met verwerkers van privcaygevoelige gegevens van uw bedrijf. U moet met Zegenrijk een verwerkersovereenkomst aangaan, dit is uw eigen verantwoordelijkheid volgens de letter van de wet. Maar Zegenrijk heeft eenzelfde verantwoordelijkheid. Om dit met u als klant te regelen worden er momenteel aangepaste algemene voorwaarden gemaakt die van toepassing worden. De Verwerkersovereenkomst tussen u als klant en Zegenrijk zit hier in verwerkt. U hoeft hier zelf geen actie meer op te ondernemen. Note: ivm drukte bij uitvoerende partij zijn de nieuwe algemene voorwaarden nog niet klaar, deze volgen zo spoedig mogelijk.  
Note: er zijn wellicht meer partijen die inzage hebben in uw privacy gevoelige data, bijv. een extern bureau wat u inhuurt om een SEO klus in de website uit te voeren. Met al deze partijen moet uw waarschijnlijk ook een verwerkersovereenkomst afsluiten.

Controle: Sla je gegevens op bij andere externe partijen, bijv. Google, Dropbox, Mailchimp, Microsoft, dan is ook met deze partijen een privacy overeenkomst nodig
Oplossing: Check waar je data is opgeslagen, is dit een externe partij, sluit een overeenkomst met ze af