AVG voor dummies: de 6 aandachtspunten

De nieuwe privacywetgeving komt eraan. Nog 2 maanden en dan verwacht de Europese Unie dat iedere website in Europa gaat voldoen aan de nieuwe regels.

Waar staat de term AVG voor?

Bij AVG denk je wellicht als eerste aan die vervelende virusscanner die je ooit per ongeluk gedownload hebt, omdat je een vinkje bent vergeten uit te zetten. Nee, die bedoelen we niet, we hebben het hier over de algemene verordering gegevensbescherming. Een wet die is samengesteld door de Europese Unie. De reden hiervoor is dat er op dit moment nog geen overkoepelende privacy wetgeving is. Ieder lidstaat heeft eigen wetten, die zijn gebaseerd op een privacyrichtlijn die de EU heeft opgesteld in 1995.

Om een beeld te geven van wat er dat jaar allemaal gebeurde: Windows 95 komt uit, SBS 6 begint met uitzenden, Sony brengt de Playstation 1 op de markt en de programmeertaal Java wordt aangekondigd. Google en Facebook bestonden toen nog niet, dus je kunt je wel voorstellen dat dit, zeker op het gebied van data en privacy, een compleet andere wereld was.

De EU vindt het daarom tijd voor verandering. Vanaf 25 mei gelden nieuwe regels voor websites die persoonsgegevens verzamelen. Iedere site met een contactformulier doet dit al, dus de kans is groot dat dit ook voor jouw website van toepassing is.


Waaraan moet ik gaan voldoen?
 

1. Privacy verklaring

Transparantie is een van de belangrijkste onderdelen van de AVG. De EU wil dat iedere bezoeker direct moet kunnen zien, welke gegevens opgeslagen en gebruikt worden. Dit moet je vastleggen in een privacy verklaring, vaak ook privacy policy genoemd. In het kort moeten hierin de volgende zaken verplicht terugkomen:

  • Bedrijfsgegevens: bedrijfsnaam, contactgegevens, KvK nummer, etc.
  • Doel van het verwerken: marketing, onderdeel van een bestelproces, etc.
  • Persoonsgegevens die je verzamelt: naam, emailadres, telefoonnummer, etc.
  • Duur van gegevensopslag: 1 week, 1 maand, 1 jaar, etc.
  • Recht op inzage, aanpassing en verwijdering van persoonsgegevens: Hoe kan de bezoeker een verzoek indienen?
  • Beveiligingsmaatregelen: Laatste beveiligingsupdates, HTTPS verbinding, etc.
  • Ontvanger van gegevens: Alleen beschikbaar voor jouw bedrijf of gaan de gegevens ook naar andere partijen?

Zorg ervoor dat de privacy verklaring duidelijk vindbaar is op je website. Plaats bij voorkeur een link in de footer.

2. HTTPS verbinding

Het wordt vanaf mei 2018 verplicht om je website te beveiligen met een SSL-Certificaat. Dit houdt in dat vertrouwelijke gegevens versleuteld worden en moeilijk kunnen worden onderschept. De bezoeker kan dit herkennen aan een groen slotje in de URL balk met daarachter HTTPS in plaats van HTTP.

Hoe stel je dit in?
In de meeste gevallen kan het hostingsbedrijf dit voor jou instellen. Let wel op, er zijn drie verschillende soorten certificaten: Domein, organisatie en uitgebreide validatie. In de meeste gevallen zal de domein validatie voldoende zijn, maar vraag vooral even advies bij het hostingbedrijf.

3. Beveiliging updates

Het wordt ook verplicht om je website te voorzien van de laatste beveiligingsupdates. Dit geldt voor het CMS zoals Wordpress of Magento, maar ook voor plugins. Heb je geen technische kennis? Vraag dan de websitebouwer om de beveiliging updates te checken en waar nodig uit te voeren.

4. Toestemming voor mailverkeer

Ook met de AVG wetgeving mag je klanten nog gewoon nieuwsbrieven sturen. Het is echter wel van belang dat je de juiste toestemming vraagt. Bij een aanmelding moet een duidelijke en bevestigende actie worden verricht. Standaard een aangevinkt vakje mag dus niet. Ook moeten de e-mail toestemming en de algemene voorwaarden gescheiden van elkaar worden weergegeven.

Verder moet bij de aanmelding voor de nieuwsbrief duidelijk vermeld worden, wat men kan verwachten: Wat krijgt de persoon in zijn mailbox? En hoe vaak wordt een nieuwsbrief verstuurd? Plaats daarnaast een verwijzing in de tekst naar de privacy verklaring. Dit zal zorgen voor veel transparantie.

5. Bewerkingsovereenkomst

Voor iedereen die toegang heeft tot de persoonsgegevens is een bewerkingsovereenkomst nodig. Deze overeenkomst zorgt ervoor dat de privacy rechten van bezoekers worden gewaarborgd. Mochten er problemen ontstaan, dan kan de verwerker hiervoor verantwoordelijk gehouden worden.

Wie zijn de verwerkers?
In eerste instantie zul je misschien alleen aan de websitebouwer denken, maar het zijn meer partijen dan je denkt:

  • Websitebouwer
  • Hostingbedrijf
  • Nieuwsbrief software (Mailchimp, Mailplus, SendinBlue, etc.)
  • Google Analytics

Voor Google Analytics is het heel eenvoudig om de bewerkingsovereenkomst te tekenen. Ga hiervoor in Analytics naar beheer > accountinstellingen. Onderaan de pagina kun je de bewerkingsovereenkomst lezen en vervolgens op akkoord drukken. Bij de overige partijen zul je zelf contact moeten opnemen voor een overeenkomst.

6. Google Analytics anonimiseren

Google Analytics slaat IP adressen op voor verschillende doeleinden. Dit mag niet meer volgens de nieuwe AVG wetgeving. Met Google Tag Manager kun je dit heel eenvoudig oplossen door een stukje code toe te voegen. Neem hiervoor contact op met een online marketing specialist. Heb je een duidelijke cookiemelding op je website staan? Dan hoef je de IP adressen niet te anonimiseren.

Tags: privacy

Wil je meer informatie?

Neem contact met ons op, de koffie staat klaar!

Contact opnemen