AVG / GDPR

*** Deze pagina wordt bijgewerkt als er nieuwe/gewijzigde informatie is, laatst bijgewerkt 18-04-2018 11:51 ***

Als je een website hebt waarin je persoonsgegevens (adres, e-mail, geboortedatum, bankgegevens, etc) verzamelt dan ben je gehouden aan de Algemene verordening gegevensbescherming (AVG) die per 25 mei 2018 zal ingaan. De AVG-wet heeft impact op vrijwel alle bestaande websites. Wil je bezoekersaantallen meten? Laat je een simpel contactformulier invullen? Met deze nieuwe Europese wet wordt de bescherming van privacygevoelige informatie stevig aangescherpt. Daarmee komt de eerdere Wet bescherming persoonsgegevens (Wbp) te vervallen.

De Algemene verordening gegevensbescherming heeft betrekking op de gegevensverwerking binnen je gehele bedrijf (dus niet alleen je website!!!). Lees hier meer over op de website van Autoriteit Persoonsgegevens. In dit artikel wil Zegenrijk je informeren over een aantal aandachtspunten met betrekking tot je website die naar voren zijn gekomen bij bestudering van de te nemen maatregelen. Graag deelt Zegenrijk die informatie met u.

Voor de goede orde: Zegenrijk geeft hiermee geen juridisch advies. Met dit artikel wordt geprobeerd actief mee te denken waaraan u overal aan zou moeten denken voor uw website. Wilt u het helemaal zeker weten of u AVG proof bent dan kunt u het beste zelf juridisch advies inschakelen.

Het gaat om vier hoofdvragen die je continu moet stellen:
1. Welke persoonsgegevens sla ik op?
2. Waarvoor gebruik ik die?
3. Waar en hoe lang sla ik die op en wie kan er bij?
4. Heb ik die gegevens nog wel nodig?


Onderstaand concrete punten van aandacht voor uw website.
In veel gevallen zal de uitvoering en oplossing moeten gebeuren door Zegenrijk. De kosten zijn afhankelijk van uw vraag wat u zelf doet of wat u wil laten uitvoeren.

Controle: Je bent zelf verantwoordelijkheid voor de veiligheid van je website. Denk hierbij aan het pro-actief beveiligen van je website, het op de juiste manier updaten van thema’s / plugins en het maken van back-ups.
Oplossing: Voor het gros van onze klanten verzorgt Zegenrijk dit al en heeft u hier geen omkijken naar! Bij twijfel of Zegenrijk dit al voor u uitvoert informeer dan graag even!

Controle: Gebruikt u Google Analytics, dan moet u een overeenkomst met ze afsluiten zodat ze de gegevens mogen gebruiken.
Oplossing: Als je bent ingelogd via Google Analytics ga je naar instellingen (tandwiel) > Accountinstellingen > Aanpassing van de gegevensverwerking (laatste optie) alsmede de DPA-gegevens beheren uitvoeren.

Controle: Google Analytics legt het IP adres vast van je bezoeker, dit mag niet zonder explicitiete toestemming van de bezoeker
Oplossing 1: het IP adres technisch gezien anoniem laten maken zodat Google het niet ziet
Oplossing 2: bezoeker explicitiet toestemming laten geven met een toestemmingsknop op uw website om het wel te mogen gebruiken

Controle: Uw (contact)formulier legt het IP adres vast van je bezoeker, dit mag niet
Oplossing: het IP adres anoniem maken of niet opslaan

Controle: Uw webshop heeft geen SSL certificaat, dit is verplicht voor webshops
Oplossing: SSL certificaat aanvragen bij Zegenrijk

Controle: U gebruikt een (contact)formulier in uw website, een SSL certificaat is dan verplicht
Oplossing 1: SSL certificaat aanvragen bij Zegenrijk
Oplossing 2: Het formulier verwijderen en vervangen door tekst (uw telefoonnummer/mailadres)

Controle: Uw website zet (tracking)cookies voordat er toestemming is gegeven door klant, dat mag niet.
Oplossing: Een toestemmingsknop boven uw website opnemen waarmee de bezoeker explicieit toestemming geeft. Voor de goede orde: er zijn verschillende vormen cookies: functionele- en trackingcookies. Functionele cookies zoals nodig dat de website kan onthouden wat u in de winkelwagen gedaan heeft (deze mogen zonder toestemming, zijn nodig voor de werking van uw site), trackingcookies daarintegen mogen niet zonder explicitiete toestemming van de bezoeker. Deze cookies houden individueel surfgedrag bij en stellen profielen op om bijvoorbeeld gerichte advertenties mogelijk te maken.
Op bijv. deze site kan je zelf checken of je cookies zet: http://www.cookiechecker.nl/

Controle: Cookies mogen pas gezet worden na toestemming door bezoeker, maar u weet niet of uw website cookies zet
Oplossing: Controleer of uw site cookies zet en of hier cookies tussen zitten die u niet zonder expliciete toestemming mag zetten

Controle: Heb je Youtube of Vimeo films op je website staan (ge-embed)
Oplossing: Deze diensten zetten ongevraagd cookies en dat mag niet

Controle: Gebruik je Facebook pixels (heel erg invasief voor de privacy van je klanten)
Oplossing: Facebook pixels staan er om bekend heel veel vast te leggen aan privcay gevoelige gegevens. Zonder explicitiete toestemming mag dit niet.

Controle: U verzend nieuwsbrieven, heeft u vastgelegd dat de ingeschrevene u explicitiet toestemming hiervoor heeft gegeven en heeft u hiervan bewijs vast heeft liggen
Oplossing 1: Controleer bewijsvoering, als deze niet in orde is deze personen niets meer sturen.
Oplossing 2: Personen opnieuw vragen hun inschrijving te bevestigen zodat u de bewijsvoering vast heeft liggen.

Controle: U verzend nieuwsbrieven en gebruikt zelf een externe partij voor de verzending van uw nieuwsbrieven (bijv. Mailchimp)
Oplossing: U moet een overeenkomst sluiten met externe partijen die u nieuwsbrief versturen.

Controle: Op uw website kunnen bezoekers zich inschrijven voor uw nieuwsbrief, maar er is geen uitschrijfmogelijkheid
Oplossing: Toevoegen uitschrijfmogelijkheid, je moet het je bezoekers zo makkelijk mogelijk maken in zich te kunnen uitschrijven.

Controle: Op uw website kunnen bezoekers zich inschrijven voor uw nieuwsbrief, maar je gebruikt geen double opt-in
Oplossing: Bij een dubbele opt-in wordt de toestemming voor het zenden van de nieuwsbrief dubbel bevestigd. Bijvoorbeeld doordat de abonnee van een nieuwsbrief na de inschrijving via de website deze inschrijving nogmaals dient te bevestigen via een klik op een unieke link in een activatiemail (hiermee is de bewijslast ook vastgelegd van de inschrijving).

Controle: U heeft geen Privacyverklaring op uw website staan
Oplossing: U moet een Privacyverklaring plaatsen op uw website. Er moet openheid geven worden over hoe jouw bedrijf persoonsgegevens verwerkt. Dat betekent dat je privacyverklaring in een heldere taal geschreven moet zijn (Jip en Janneke taal). Kort en overzichtelijk. Daarin leg je uit hoe jouw bedrijf omgaat met persoonsgegevens. Zorg ook dat elke medewerker die werkt met persoonsgegevens de nieuwe privacywetgeving begrijpt.
Online zijn er voorbeelden te vinden bijv. https://veiliginternetten.nl/privacyverklaring/ (genereert een verlaring op basis van je ingevulde antwoorden).

Controle: U moet nagaan waar uw data staat met privacy gevoelige gegevens en met deze partijen een Bewerkersovereenkomst aangaan.  
Oplossing: Zegenrijk heeft met zijn leveranciers bewerkersovereenkomsten afgesloten om zo correct om te gaan met uw data bij deze partijen

Controle: Wie heeft toegang tot uw website
Oplossing: Beperk het aantal personen dat toegang heeft tot uw website en leg vast bij toegang wat de rol van die persoon is (beperk eventueel rechten tot een minimum). Onnodige accounts moet je verwijderen.

Controle: U schrijft een bezoeker bij het vullen van een formulier of bestelling in een shop automatisch in voor uw nieuwsbrief
Oplossing: Een bezoeker moet explicitiet toestemming geven hiervoor, een standaard vinkje aanzetten mag niet

Controle: U geeft de mogelijkheid in te schrijven voor uw nieuwsbrief, maar u heeft geen uitschrijfmogelijkheid
Oplossing: Biedt altijd een uitschrijfmogelijkheid aan in uw nieuwsbrief en uitschrijfmogelijkheid op uw website

Controle: Heb ik als klant van Zegenrijk ook een Bewerkersovereenkomst nodig met Zegenrijk omdat Zegenrijk mijn data opslaat van de website/mail?
Oplossing: Ja dat is nodig, momenteel wordt juridisch uitgezocht hoe Zegenrijk dit aan zijn klanten het beste kan aanbieden. Hierover wordt u nog geinformeerd.

Controle: Sla je gegevens op bij andere externe partijen, bijv. Google, Dropbox, Mailchimp, Microsoft, dan is ook met deze partijen een privacy overeenkomst nodig
Oplossing: Check waar je data is opgeslagen, is dit een externe partij, sluit een overeenkomst met ze af