Moeten website-eigenaren iets doen met de nieuwe Privacywet?

De nieuwe Privacywet 2018 en wat betekent het voor ons?

Moeten wij als website-eigenaren ook iets doen met die Privacywet?

Meestal denk ik: “Laten we eerst maar afwachten wat de grote bedrijven en multinationals doen met hun websites als het gaat om nieuwe regels.”

Maar vanaf nu gelden er in alle EU-landen nieuwe privacyregels voor het verzamelen en verwerken van persoonsgegevens.
Als website-eigenaren en -beheerders moeten wij nu allemaal maatregelen nemen.

Wat betekent AVG: Algemene Verordening Gegevensbescherming voor onze onderneming, stichting, vereniging, hobby? Wat moeten we doen om die regels na te leven?
Met andere woorden: zijn wij klaar voor AVG?
Ik deel graag een checklist met je voor het nemen van maatregelen tav deze nieuwe privacywet:

SSL-certificaat bij hostingprovider aanvragen en veilige https-verbinding bewerkstelligen inmiddels verplicht!

De AVG verplicht je een veilige verbinding te gebruiken als er sprake is van verzending van persoonsgegevens bij een bestelling via webshops, wanneer men een reactie kan achterlaten op een websitebericht, of wanneer men gebruik kan maken van een contactformulier op jouw website.

Door middel van een SSL-verbinding zal alle informatie tijdens het transport onleesbaar zijn voor derden.

Websites die over deze beveiliging beschikken, zijn herkenbaar aan het groene gesloten slotje en de https:// in de adresbalk van de browser.

Browsers waarschuwen bezoekers van websites die níet beveiligd zijn. Dit wordt aangegeven met een rood hangslot of een melding met een rode gevarendriehoek.
Dat willen we toch niet?

Wat zijn de voordelen van een SSL-verbinding voor jou?

– Gegevens versleuteld verzenden
– Verhoogde betrouwbaarheid en professionele uitstraling
– Minder gevoelig voor phishing
– Google blijft je website serieus indexeren
– Minder kans dat je als organisatie als nalatig wordt beschouwd
– Wellicht meer conversie via je website

Er zijn verschillende soorten SSL-certificaten.

Om te beginnen is het SSL-certificaat volgens Let’s Encrypt encryptie-protocol eenvoudig aan te vragen bij de hostingprovider.

Dan moet in de websitedatabase het omzetten van http naar https (secure) nog gebeuren. En een redirect instellen, zodat alle verkeer naar de https-omgeving gaat.
Daar help ik je graag bij.

Onderhoud websitesoftware

Open source CMS biedt veel voordelen, maar als je je websitesoftware laat verouderen, is de kans groot dat deze beveiligingslekken bevat die hackers kunnen gebruiken om bijvoorbeeld je website over te nemen.

Waar zorg ik tav de privacywet voor binnen mijn technisch onderhoudsprogramma?

– Website toevoegen aan Google Search Console met controle op security issues
– Via mijn websitebeheerprogramma voer ik regelmatig security scans uit
– Ook maak ik gebruik van Sucuri.net om je site te scannen
– De plug-in Wordfence kijkt specifiek naar de zwakke plekken van je website

Onze WordPress websites hebben standaard al enkele antispamtools:
– de standaard plug-in Akismet houdt de meeste spam via reacties op je websiteberichten tegen;
– de plug-in Gravityforms voor contactformulieren die wij gebruiken heeft een antispam instelling.

Krijg je nog steeds spammers op je website ondanks de gebruiksvriendelijke antispamtools? Dan is Google reCAPTCHA een uitkomst. Deze vereist alleen een klik van de bezoeker.
Plaats ook liever geen e-mailadres op je website, het contactformulier heeft de voorkeur.

Vraag je hostingprovider om hulp en advies

Hostingproviders weten natuurlijk alles over de problemen rondom hackers en spammers. Sommige hostingproviders bieden extra beveiligingsdiensten aan, zoals security-audits of tools die periodiek je files scannen op malware.

Toestemming bij gebruik van een contact- of inschrijfformulier op je website

Verzamel je gegevens van mogelijk geïnteresseerden in jouw diensten/producten?
Zorg dan voor een mogelijkheid waarmee men expliciet toestemming geeft voor het verwerken van de persoonsgegevens voor bepaalde doelen. Bijvoorbeeld door middel van een vakje dat moet worden aangekruist. Je moet immers kunnen aantonen dat deze toestemming is gegeven.

Nieuwsbriefmaatregelen voor opslag en afmeldfunctionaliteit

Bij een nieuwsbriefaanmeldformulier moet je duidelijk maken dat men een nieuwsbrief gaat ontvangen en waarom je de gegevens vraagt van degene die het formulier invult.
Volgens de AVG is het niet toegestaan opgevraagde gegevens voor een ander doel te gebruiken dan tijdens het opvragen is gemeld. Stel dat je degenen die zich aanmelden ook zou willen nabellen. Dan moet je dit vermelden op het formulier.

Dubbele opt-in nodig?
Een dubbele opt-in, bevestiging per mail, is wel verstandig omdat je met een enkele opt-in niet zeker zult weten wie dat e-mailadres heeft ingevuld..

Opnieuw toestemming nodig voor e-mailadressen op bestaande lijsten?
Klanten mogen we zonder toestemming mailen. Anderen die op een geautomatiseerde e-maillijst staan moeten toestemming hebben gegeven. Kun je dat niet bewijzen, dan is het verstandig duidelijke toestemming te vragen.

Bewaar persoonsgegevens niet op diverse plekken en alleen voor het doel.
Bij nieuwsbriefaanmeldingen moeten de persoonsgegevens opgeslagen staan in het nieuwsbriefsysteem, bijv. MailChimp, om relaties te kunnen e-mailen.
Persoonsgegevens zijn niet meer nodig daar waar de data in eerste instantie werden opgevraagd.

Net zo makkelijk als personen zich kunnen aanmelden voor je nieuwsbrief, moeten ze zich ook weer kunnen afmelden. Dit kan bij een nieuwsbrief met een specifieke link in de nieuwsbrief. Na afmelding moet je de gegevens van deze persoon verwijderen.

Sla de data niet langer op dan noodzakelijk

Verwijder in de website onnodige opgeslagen data, bijvoorbeeld:
– relatiegegevens verkregen via contactformulier die al verwerkt zijn;
– user-accounts van medewerkers die aan de website hebben gewerkt.

Voor de veiligheid:
Laat gebruikers van je website nooit gebruikersaccounts delen door samen in te loggen met dezelfde inloggegevens. Creëer een eigen account per gebruiker met een beperktere rol die wel alle inhoud kan beheren maar bijv. geen plug-ins kan installeren.

Toestemming voor het plaatsen van cookies via je website

Op basis van de ePrivacy Verordening: bescherming van persoonsgegevens in elektronische communicatie, zal het plaatsen van cookies alleen zijn toegestaan, wanneer:
– de eindgebruiker hiervoor toestemming heeft gegeven;
– de geplaatste cookies puur functioneel zijn;
– de cookies dienen uitsluitend voor het bijhouden van webstatistieken door de dienstaanbieder (let op: niet door een derde partij, zoals bijvoorbeeld Google Analytics).

De ePrivacy Verordening is wat anders dan de privacywet en is nog niet aangenomen.

Voor welke cookies heb je toestemming nodig?

Functionele cookies

Functionele cookies zijn nodig om een website te laten functioneren. Je hoeft bijvoorbeeld niet telkens opnieuw in te loggen, blijven producten in je winkelmand staan en kun je producten met elkaar vergelijken.
Voor het plaatsen van functionele cookies die door WordPress gebruikt worden, is geen toestemming nodig.

Analytische cookies

De Raad van de Europese Unie heeft onlangs een wijziging voorgesteld voor onder meer artikel 8. Er staat onder andere dat analytische cookies van derden onder bepaalde voorwaarden wel geplaatst mogen worden zonder toestemming. Dit zou betekenen dat cookies van Google Analytics geplaatst mogen worden zonder toestemming, mits Google Analytics privacyvriendelijk is ingesteld en Google zelf niets doet met de data, maar alleen optreedt als verwerker voor de verwerkingsverantwoordelijke.

Je moet daarvoor de instellingen in je Google Analytics account nagaan:
– de verwerkersovereenkomst met Google ondertekenen;
– de IP-adressen anoniem verwerken;
– gegevens delen met Google uitzetten;
– in je privacyverklaring de gebruiker informeren dat je Analytics gebruikt.

Zie de handleiding voor het correct instellen van je Google Analytics statistieken: https://support.google.com/analytics/answer/1011397?hl=nl&utm_id=ad

Marketing cookies
Marketing (tracking) cookies worden gebruikt om het surfgedrag van bezoekers vast te leggen. Dankzij marketing cookies is een gepersonaliseerde nieuwsbrief mogelijk of persoonlijke aanbiedingen via samenwerkende sites en op social media.
Wanneer je advertentiebanners plaatst, YouTube filmpjes insluit, of social sharing plug-ins gebruikt, dan plaats je marketing cookies die de gegevens van je bezoekers doorspelen aan derden. Voor het plaatsen van marketing cookies is toestemming vereist.

Nog meer veranderingen?

– Internetgebruikers kunnen in hun browserinstellingen bepalen of ze marketing cookies accepteren of weigeren. Met als voordeel dat zij dit één keer hoeven in te stellen. Websites moeten deze instellingen overnemen, maar mogen de gebruiker wel vragen of ze marketing cookies willen toestaan.

Privacystatement opnemen in je website naast je algemene voorwaarden en bedrijfsgegevens

Het is verstandig als organisatie of bedrijf om aan te geven in een privacyverklaring wat je doet met de gegevens die je van klanten ontvangt. Het beste kun je een link in de footer van je website opnemen naar een pagina met de privacyverklaring.

Wat staat er meestal in een privacyverklaring?

– Bedrijfsgegevens
– Welke gegevens verzameld worden
– Het doel van de verwerking van gegevens
– Verwerking gegevens t.b.v. nieuwsbrief, verwerkersovereenkomst met MailChimp
– Of gegevens al dan niet aan derden ter beschikking worden gesteld
– Gebruik van gegevens voor commerciële doeleinden
– Het gebruik van cookies
– Bewaartermijn van de gegevens
– Rechten van klant/gebruiker hoe gegevens opgevraagd of gewijzigd kunnen worden

Voorbeeld nodig? Veilig internetten privacyverklaring generator 

Een verwerkingsakkoord met je opdrachtgevers opstellen

Volgens de nieuwe privacywet moet je met alle partijen die bij de persoonsgegevens kunnen een verwerkersovereenkomst afsluiten. Denk aan de hostingprovider, je internetbureau of misschien wel een SEO-specialist die toegang heeft tot je website en administratieve medewerkers.

Help!

Wellicht redenen genoeg voor jou om te overwegen je website AVG-proof te maken?
We kunnen hier samen aan werken, ik ben je graag van dienst.
Hierbij is mijn uurtarief á 53,- excl. btw van toepassing.

Ik ga ervan uit je met deze checklist voldoende te hebben geïnformeerd,
…en ben benieuwd naar je reactie!
Groet van Erna

PS:
Met behulp van bovenstaande lijst komen we al een heel eind met die privacywet!
Ik heb hem samengesteld op basis van eigen onderzoek en o.a. deze bronnen:

 

ICT Recht juridisch advies en achtergrond cookiewet

ICT Recht privacyverordening en eindelijk de Nederlandse cookiewet op de schop

Charlotte’s Law privacy en e-mailmarketing en AVG

Wil je álle risico’s vermijden mbt de privacywet? Schakel dan de hulp van een juridisch expert in.

Leave a reply

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.