Online veiligheid en de bescherming van persoonsgegevens zijn actuele onderwerpen. ‘Het internet’ heeft steeds meer gegevens van burgers in handen en ondertussen groeit de wereldwijde dreiging van cybercriminaliteit. Om persoonsgegevens beter te beveiligen is vanaf mei 2018 de Europese regelgeving, bekend onder General Data Protection Regulation (GDPR), van kracht. In Nederland duiden we deze regelgeving aan als Algemene Verordening Gegevensbescherming (AVG). Voor ondernemers betekent dat strengere wetgeving en belangrijke maatregelen die genomen moeten worden.
De AVG geldt voor elke ondernemer en dus ook voor het MKB. Omdat de regels flink worden aangescherpt is het belangrijk om op de hoogte te zijn van de aanpassingen die voor jouw bedrijf van toepassing kunnen zijn. Denk aan jouw website en de persoonsgegevens van klanten die je via jouw website verzamelt.
Breng in kaart over welke gegevens je beschikt.
De nieuwe privacywet geldt voor alle gegevens die jij (ooit) van klanten hebt verzameld en opgeslagen. Denk aan informatie die via een contactformulier op jouw website is gedeeld, jouw administratie of bestanden met adresgegevens. Het is daarom verstandig om als eerste stap in kaart te brengen over welke gegevens jouw bedrijf beschikt, waarvoor je die hebt verzameld, waar je al die gegevens hebt opgeslagen en hoe dit is beveiligd.
Enkele voorbeelden van persoonsgegevens zijn:
Op de website van de Autoriteit Persoonsgegevens (AP) vindt u informatie wat onder persoonsgegevens wordt verstaan. Wat zijn persoonsgegevens en over het Bewaren van persoonsgegevens
Breng betrokkenen op de hoogte dat je gegevens verzameld.
Je mag niet zomaar persoonsgegevens verwerken. Je moet daarvoor een grondslag hebben. Kunt je straks aantonen dat je een grondslag hebt? Dit kan door betrokkenen waarover je gegevens (hebt) verzameld te informeren. Tevens moeten zij de mogelijkheid hebben hun gegevens in te zien en bezwaar te maken tegen te feit dat je hun gegevens verzameld. En ze kunnen vragen om deze gegevens te verwijderen.
Verzamel niet meer gegevens dan noodzakelijk
Maak duidelijk aan de betrokkenen wat in jouw geval wordt verstaan met noodzakelijke persoonsgegevens verzameling. Voorbeeld: De privacy- of cookieverklaring op een website moet mogelijk herschreven worden om goed duidelijk te maken welke persoonsgegevens en in welke context verzameld worden.
Als je in kaart hebt gebracht over welke gegevens je beschikt en waar je deze opslaat, zul je waarschijnlijk geconstateerd hebben dat er andere partijen in jouw opdracht persoonsgegevens van jouw klanten verwerken. Denk aan een CRM (customer relation management) of boekhoudpakket. Ook jouw boekhouder en accountant kunnen deze gegevens verwerken. Ook kan het zijn dat een websitebeheerder of de hosting provider van jouw website gegevens van jouw klanten verwerkt. Zorg dat je duidelijkheid heb of men dit doet, wat men er mee doet en hoe dit beveiligd is. Veelal zullen deze partijen dit in hun algemene voorwaarden hebben opgenomen of je kunt afspraken vastleggen in een zogenaamde verwerkersovereenkomst.
Heb je de hosting bij Vincire ondergebracht of is jouw website door Vincire gebouwd dan kan het zijn dat Vincire ook verwerker is. Hoe we als verwerker met persoonsgegevens omgaan staat vermeld in onze Algemene Voorwaarden onder de kop Algemene verordening gegevens bescherming (AVG).
Om je website of webshop aan de AVG te laten voldoen, dien je deze te controleren op de volgende punten:
Een SSL/TLS certificaat zorgt voor versleuteling van informatie die tussen de bezoeker en jouw website. Zo worden vertrouwelijke gegevens beschermd en niet kunnen niet zondermeer worden onderschept. Websites met een SSL/TLS certificaat zijn te herkennen aan het groene slotje in de adresbalk en de toevoeging https.
Het uitwisselen van persoonsgegevens en privacy gevoelige informatie kan bijvoorbeeld plaatsvinden via een contactformulier. Maar denk ook aan jouw gebruikersnaam en wachtwoord als je inlogt op het CMS (Content Management Systeem) als je jouw website wilt bijwerken.
Heb je een contactformulier op jouw website of heb je een webshop? De kans is dan aanwezig dat persoonsgegevens die je bezoeker en/of klant daar achterlaat worden bewaard. Deze gegevens worden veelal in een database op de webserver bewaard. Is dit het geval? Zorg dan dat je jezelf ervan verzekert dat de partij die de hosting van jouw website of webshop verzorgd zorgvuldig omgaat met deze persoonsgegevens.
Als je de hosting bij Vincire hebt ondergebracht dan is Vincire ook verwerker. Je kunt ervan overtuigd zijn dat Vincire zorgvuldig omgaat met persoonsgegevens. Hoe h.e.e.a. is geregeld staat in de Algemene Voorwaarden .
Of de AVG ook gevolgen heeft voor het gebruik van cookies op je website moet nog blijken. Zo zijn tracking cookies uitsluitend toegestaan als de bezoeker hier toestemming voor geeft. Bij deze cookies is het klikken op een “OK” knop, of “als u onze website gebruikt gaat u er mee accoord dat er cookies worden geplaatst” niet voldoende. Of dit bij cookies van analytics pakketten nodig is is nog niet bekend. Dit zal in de E-privacy verordening worden vastgelegd. Het streven was om deze verordening tegelijk met de AVG klaar te hebben maar er wordt nu nog aan gewerkt.
Cookies kunnen verdeeld worden onder drie categorieën:
Tips Google Analytics
Het meest gebruikte website statistiekenpakket is Google Analytics. Dit pakket plaats cookies die onder de analytische cookies vallen.
Medio 2012 is er regelgeving gekomen waarmee het gebruik van Google Analytics alleen toegestaan zou zijn na expliciete toestemming van de website bezoeker. Paste je dit strikt toe dan blijkt dat slechts 10 tot 15% van de website bezoekers akkoord gaat. En dat zijn niet echte cijfers waar je goede beslissingen over de inrichting je website kunt nemen.
Enkele jaren na invoering van deze regelgeving, bekend als de Cookie-wet maar eigenlijk een artikel in de Telecommunicatiewet, is door versoepeling in Nederland het toch toegestaan om onder voorwaarden Google Analytics te gebruiken. Zo moeten gegevens worden geanonimiseerd en zijn er een paar instellingen in Google Analytics nodig die bv het delen van verkregen informatie niet toestaat.
Of Google Analytics onder de AVG zonder toestemming gebruikt mag worden moet nog blijken. In ieder geval zul je ook nu al aan de voorwaarden moeten voldoen. Tips hoe je dit juist instelt vindt je in een handleiding van de Autoriteit Persoonsgegevens: Privacy gevoelig instellen van Google Analytics . Of download de handleiding in pdf.
In deze handleiding van de AP wordt gesproken over het anonimiseren van het IP adres in de tracking code van Google Analytics. De methode die daar wordt genoemd is van toepassing op de nieuwste trackingcode gtag.js. Ook wordt er nog veel gewerkt met analytics.js. Maakt u gebruik van deze methode pas dan de trackingcode om het IP adres te anonimiseren als volgt aan:
bron: https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization
Mocht u vragen hebben naar aanleiding van deze informatie en wilt u weten wat de AVG voor uw website betekent kunt u contact opnemen.
Vincire heeft deze informatie naar beste vermogen samengesteld. Het moet niet als juridisch sluitende informatie gezien worden. Het handelen naar aanleiding van deze informatie kan Vincire geen aansprakelijkheid aanvaarden.
Elke dag zoeken duizenden mensen op Google naar bedrijven zoals dat van jou, daarom is een opvallend bedrijfsprofiel een must.Door belangrijke gegevens over jouw bedrijf op te slaan in jouw “Google Mijn Bedrijf” vermelding verbeter je de lokale vindbaarheid van jouw bedrijf. Maar wat is Google Mijn Bedrijf eigenlijk en hoe claim jij jouw vermelding? […]
Het belang van snelheid voor de vindbaarheid van een website. Je kunt de snelheid van een webpagina het beste omschrijven als “laadtijd van een web pagina”. Dus de tijd die nodig is om de inhoud op een specifieke pagina volledig weer te geven. Een tweede uitleg die wordt gegeven is “tijd tot de eerste byte”. […]