Wat betekent de AVG voor mijn website?

Online veiligheid en de bescherming van persoonsgegevens zijn actuele onderwerpen. ‘Het internet’ heeft steeds meer gegevens van burgers in handen en ondertussen groeit de wereldwijde dreiging van cybercriminaliteit. Om persoonsgegevens beter te beveiligen is vanaf mei 2018 de Europese regelgeving, bekend onder General Data Protection Regulation (GDPR), van kracht. In Nederland duiden we deze regelgeving aan als Algemene Verordening Gegevensbescherming (AVG).

Voor ondernemers betekent dat strengere wetgeving en belangrijke maatregelen die genomen moeten worden.

De AVG geldt voor elke ondernemer en dus ook voor het MKB. Omdat de regels flink worden aangescherpt is het belangrijk om op de hoogte te zijn van de aanpassingen die voor jouw bedrijf van toepassing kunnen zijn. Denk aan jouw website en de persoonsgegevens van klanten die je via jouw website verzamelt.

Algemene tips.

Breng in kaart over welke gegevens je beschikt.
De nieuwe privacywet geldt voor alle gegevens die jij (ooit) van klanten hebt verzameld en opgeslagen. Denk aan informatie die via een contactformulier op jouw website is gedeeld, jouw administratie of bestanden met adresgegevens. Het is daarom verstandig om als eerste stap in kaart te brengen over welke gegevens jouw bedrijf beschikt, waarvoor je die hebt verzameld, waar je al die gegevens hebt opgeslagen en hoe dit is beveiligd.

Enkele voorbeelden van persoonsgegevens zijn:

  • NAW-gegevens van klanten (en ook van personen die uiteindelijk geen klant zijn geworden)
  • gegevens van personeel
  • telefoonnummers en postcodes met huisnummers
  • iemands ras of religie

Op de website van de Autoriteit Persoonsgegevens (AP) vindt u informatie wat onder persoonsgegevens wordt verstaan. Wat zijn persoonsgegevens en over het Bewaren van persoonsgegevens

Breng betrokkenen op de hoogte dat je gegevens verzameld.
Je mag niet zomaar persoonsgegevens verwerken. Je moet daarvoor een grondslag hebben. Kunt je straks aantonen dat je een grondslag hebt? Dit kan door betrokkenen waarover je gegevens (hebt) verzameld te informeren. Tevens moeten zij de mogelijkheid hebben hun gegevens in te zien en bezwaar te maken tegen te feit dat je hun gegevens verzameld.  En ze kunnen vragen om deze gegevens te verwijderen.

Verzamel niet meer gegevens dan noodzakelijk
Maak duidelijk aan de betrokkenen wat in jouw geval wordt verstaan met noodzakelijke persoonsgegevens verzameling. Voorbeeld: De privacy- of cookieverklaring op een website moet mogelijk herschreven worden om goed duidelijk te maken welke persoonsgegevens en in welke context verzameld worden.

Verwerkers

Als je in kaart hebt gebracht over welke gegevens je beschikt en waar je deze opslaat, zul je waarschijnlijk geconstateerd hebben dat er andere partijen in jouw opdracht persoonsgegevens van jouw klanten verwerken.  Denk aan een CRM (customer relation management) of boekhoudpakket. Ook jouw boekhouder en accountant kunnen deze gegevens verwerken. Ook kan het zijn dat een websitebeheerder of de hosting provider van jouw website gegevens van jouw klanten verwerkt. Zorg dat je duidelijkheid heb of men dit doet, wat men er mee doet en hoe dit beveiligd is. Veelal zullen deze partijen dit in hun algemene voorwaarden hebben opgenomen of je kunt afspraken vastleggen in een zogenaamde verwerkersovereenkomst.

Heb je de hosting bij Vincire ondergebracht of is jouw website door Vincire gebouwd dan kan het zijn dat Vincire ook verwerker is.  Hoe we als verwerker met persoonsgegevens omgaan staat vermeld in onze Algemene Voorwaarden onder de kop Algemene verordening gegevens bescherming (AVG).

Wat betekent de AVG voor mijn website?

Om je website of webshop aan de AVG te laten voldoen, dien je deze te controleren op de volgende punten:

Heeft je website een SSL/TLS certificaat?

Een SSL/TLS certificaat zorgt voor versleuteling van informatie die tussen de bezoeker en jouw website. Zo worden vertrouwelijke gegevens beschermd en niet kunnen niet zondermeer worden onderschept. Websites met een SSL/TLS certificaat zijn te herkennen aan het groene slotje in de adresbalk en de toevoeging https.
Het uitwisselen van persoonsgegevens en privacy gevoelige informatie kan bijvoorbeeld plaatsvinden via een contactformulier. Maar denk ook aan jouw gebruikersnaam en wachtwoord als je inlogt op het CMS (Content Management Systeem) als je jouw website wilt bijwerken.

Bewaard jouw website gegevens?

Heb je een contactformulier op jouw website of heb je een webshop? De kans is dan aanwezig dat persoonsgegevens die je bezoeker en/of klant daar achterlaat worden bewaard. Deze gegevens worden veelal in een database op de webserver bewaard. Is dit het geval? Zorg dan dat je jezelf ervan verzekert dat de partij die de hosting van jouw website of webshop verzorgd zorgvuldig omgaat met deze persoonsgegevens.

Maakt jouw website gebruik van cookies?

Of de AVG ook gevolgen heeft voor het gebruik van cookies op je website moet nog blijken. Zo zijn tracking cookies uitsluitend toegestaan als de bezoeker hier toestemming voor geeft. Bij deze cookies is het klikken op een “OK” knop, of “als u onze website gebruikt gaat u er mee accoord dat er cookies worden geplaatst” niet voldoende. Of dit bij cookies van analytics pakketten nodig is is nog niet bekend. Dit zal in de E-privacy verordening worden vastgelegd. Het streven was om deze verordening tegelijk met de AVG klaar te hebben maar er wordt nu nog aan gewerkt.
Cookies kunnen verdeeld worden onder drie categorieën:

  • Functionele cookies
    Functionele cookies zijn nodig een website snel en makkelijk te laten werken. Een voorbeeld hiervan is het onthouden van producten die u in een winkelmandje doet in een webshop of het onthouden van inloggegevens als je terugkeert op een website.
    Voor het plaatsen van functionele cookies hoef je geen toestemming te vragen aan de bezoeker.
  • Analytische cookies
    Analytische cookies maken het mogelijk om het gebruik en prestaties van een website te meten en te analyseren. Het gaat hierbij alleen om algemene informatie en niet over individuele bezoekers.
    Of voor deze cookies expliciet toestemming gekregen moet worden is nu, mei 2018, nog niet bekend. Dit zal worden geregeld in de E-privacy verordening die later zal worden vastgesteld.
  • Tracking cookies
    Tracking cookies worden gebruikt om het gedrag van de bezoekers vast te leggen en om gerichte aanbiedingen aan bezoekers te vertonen.
    Voor het plaatsen van tracking cookies is expliciete toestemming van de bezoeker nodig. Pas nadat de bezoeker deze toestemming heeft gegeven mogen deze cookies geplaatst worden.

Tips Google Analytics
Het meest gebruikte website statistiekenpakket is Google Analytics. Dit pakket plaats cookies die onder de analytische cookies vallen.
Medio 2012 is er regelgeving gekomen waarmee het gebruik van Google Analytics alleen toegestaan zou zijn na expliciete toestemming van de website bezoeker. Paste je dit strikt toe dan blijkt dat slechts 10 tot 15% van de website bezoekers akkoord gaat. En dat zijn niet echte cijfers waar je goede beslissingen over de inrichting je website kunt nemen.
Enkele jaren na invoering van deze regelgeving, bekend als de Cookie-wet maar eigenlijk een artikel in de Telecommunicatiewet, is door versoepeling in Nederland het toch toegestaan om onder voorwaarden Google Analytics te gebruiken. Zo moeten gegevens worden geanonimiseerd en zijn er een paar instellingen in Google Analytics nodig die bv het delen van verkregen informatie niet toestaat.

Of Google Analytics onder de AVG zonder toestemming gebruikt mag worden moet nog blijken. In ieder geval zul je ook nu al aan de voorwaarden moeten voldoen. Tips hoe je dit juist instelt vindt je in een handleiding van de Autoriteit Persoonsgegevens. Download de handleiding in pdf.

In deze handleiding van de AP wordt gesproken over het anonimiseren van het IP adres in de tracking code van Google Analytics. De methode die daar wordt genoemd is van toepassing op de nieuwste trackingcode gtag.js. Ook wordt er nog veel gewerkt met analytics.js. Maakt u gebruik van deze methode pas dan de trackingcode om het IP adres te anonimiseren als volgt aan:

bron: https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization

Mocht u vragen hebben naar aanleiding van deze informatie en wilt u weten wat de AVG voor uw website betekent kunt u contact opnemen.

Vincire heeft deze informatie naar beste vermogen samengesteld. Het moet niet als juridisch sluitende informatie gezien worden. Het handelen naar aanleiding van deze informatie kan Vincire geen aansprakelijkheid aanvaarden.