De AVG privacywet en wat betekent het voor ons website-eigenaren?

Wat betekent de AVG wet (Algemene Verordening Gegevensbescherming) voor onze onderneming, stichting, vereniging, hobby? Wat moeten we doen om die regels na te leven?
Ik deel graag een checklist met je voor het nemen van maatregelen tav deze privacywet:

SSL-certificaat bij hostingprovider aanvragen en veilige https-verbinding

De AVG privacywet verplicht je een veilige verbinding te gebruiken als er sprake is van verzending van persoonsgegevens bij een bestelling via webshops, wanneer men een reactie kan achterlaten op een websitebericht, of wanneer men gebruik kan maken van een contactformulier op jouw website.

Door middel van een SSL-verbinding zal alle informatie tijdens het transport onleesbaar zijn voor derden.

Websites die over deze beveiliging beschikken, zijn herkenbaar aan het groene gesloten slotje en de https:// in de adresbalk van de browser.

Browsers waarschuwen bezoekers voor onbeveiligde websites. We willen zo’n melding over onze website vermijden natuurlijk. En wat zijn nog meer voordelen van een SSL-verbinding?

• Gegevens versleuteld verzenden
• Verhoogde betrouwbaarheid en professionele uitstraling
• Minder gevoelig voor phishing
• Google blijft je website serieus indexeren
• Minder kans dat jouw organisatie als nalatig wordt beschouwd
• Wellicht meer conversie via je website

Er zijn verschillende soorten SSL-certificaten. Het SSL-certificaat volgens Let’s Encrypt encryptie-protocol is eenvoudig aan te vragen bij de hostingprovider.

Dan moet in de website-database het omzetten van http naar https (secure) nog gebeuren, inclusief een redirect instellen, zodat alle verkeer naar de https-omgeving gaat.
Daar help ik je graag bij.

Toestemming bij gebruik van een contact- of inschrijfformulier op je website

Verzamel je gegevens van mogelijk geïnteresseerden in jouw diensten/producten?
Zorg dan voor een mogelijkheid waarmee men expliciet toestemming geeft voor het verwerken van de persoonsgegevens voor bepaalde doelen. Bijvoorbeeld door middel van een vakje dat moet worden aangekruist. Je moet immers kunnen aantonen dat deze toestemming is gegeven.

Onderhoud voor de veiligheid van je website met third party services

Open source CMS biedt veel voordelen, maar als je de software van je website laat verouderen, is de kans groot dat deze beveiligingslekken bevat die hackers kunnen gebruiken om bijvoorbeeld je website over te nemen.

Welke diensten gebruik ik voor mijn technisch onderhoud en zit ik daarmee tav de privacywet goed?

• Website toevoegen aan Google Search Console met controle op security issues
• Via het programma waarin ik al ‘mijn’ websites beheer voer ik regelmatig security scans uit
• Ook maak ik gebruik van Sucuri.net om je site te scannen
• De plugin Wordfence controleert specifiek de zwakke plekken van je website (deze plugin is niet nodig bij WordPress managed hosting)

WordPress websites kunnen gebruikmaken van anti spam tools:

• de plugin Akismet (Premium) houdt de meeste spam via reacties op je website berichten tegen;
• de plugin Gravityforms (Pro) die wij gebruiken voor contactformulieren heeft een anti spam instelling.

Krijg je nog steeds spamberichten via je website ondanks de gebruiksvriendelijke anti spam tools? Dan is een CAPTCHA tool eventueel nodig.
Plaats tevens liever geen e-mailadres op je website, het contactformulier heeft de voorkeur.

Diensten van Google

Enkele van de hierboven genoemde diensten zijn van het Amerikaanse bedrijf Google; Google Search Console en Google reCAPTCHA.
Ook maken velen van ons gebruik van Google Fonts op onze websites, een database van lettertypes om het lettertype te bepalen en om vervolgens bij Google op te vragen door je browser.
Ik ben nog aan het onderzoeken in hoeverre deze diensten persoonsgegevens verwerken en delen. Ik schrijf hier later meer over wanneer ik erachter ben of deze diensten privacy-vriendelijk zijn of juist niet.

Met de focus op de privacywet, een alternatief voor Google reCAPTCHA

De bedoeling is minder spam meldingen via je Gravity Forms contact-of aanmeldformulier. Spam-inzendingen kunnen erg frustrerend zijn en een enorm beslag leggen op je kostbare tijd. Binnenkort kunnen we Cloudflare Turnstile implementeren om spam te verminderen.
Bovendien mogen we rekenen op verbeterd gebruikersgemak voor bezoekers bij het bevestigen dat ze echte mensen zijn zonder visuele puzzels en meer ingewikkelds.
Privacykwesties met Google reCAPTCHA zijn al lang een punt van discussie. Gravity Forms stelt dat Turnstile altijd de privacy van webbezoekers op je site zal respecteren. In tegenstelling tot andere CAPTCHA-opties, zullen ze nooit gegevens verzamelen voor retargeting van advertenties.
Dus als je op zoek bent naar eenvoud en een privacyvriendelijk alternatief, dan lijkt de Cloudflare Turnstile Add-On iets voor jou. Deze functie is nog in bèta fase, later meer hierover!

Vraag je hostingprovider om hulp en advies

Hostingproviders weten natuurlijk alles over de problemen rondom hackers en spammers. Sommige hostingproviders bieden extra beveiligingsdiensten aan, zoals security-audits of tools die periodiek je files scannen op malware. Neem een goede Managed WordPress hostingprovider; deze geeft uitgebreide support, denkt met je mee, is elke dag telefonisch bereikbaar en heeft alle technische know how in huis.

Nieuwsbriefmaatregelen voor opslag en afmeldfunctionaliteit

Bij een aanmeldformulier voor jouw nieuwsbrief moet je duidelijk maken dat men een nieuwsbrief gaat ontvangen en waarom je de gegevens vraagt van degene die het formulier invult.
Volgens de AVG is het niet toegestaan opgevraagde gegevens voor een ander doel te gebruiken dan tijdens het opvragen is gemeld. Stel dat je degenen die zich aanmelden ook zou willen nabellen. Dan moet je dit vermelden op het formulier.

Dubbele opt-in nodig?
Ja, een dubbele opt-in, bevestiging per mail, is wel verstandig omdat je met een enkele opt-in niet zeker zult weten wie dat e-mailadres heeft ingevuld..

Opnieuw toestemming nodig voor e-mailadressen op bestaande lijsten?
Klanten mogen we zonder toestemming mailen. Anderen die op een geautomatiseerde e-maillijst staan moeten toestemming hebben gegeven. Kun je dat niet bewijzen, dan is het verstandig een duidelijke toestemming te vragen.

Bewaar persoonsgegevens niet op diverse plekken en alleen voor het doel.
Bij nieuwsbriefaanmeldingen moeten de persoonsgegevens opgeslagen staan in het nieuwsbriefsysteem, bijv. LaPosta of MailerLite, om relaties te kunnen e-mailen.
Persoonsgegevens zijn niet meer nodig daar waar de data in eerste instantie werden opgevraagd.

Net zo makkelijk als personen zich kunnen aanmelden voor je nieuwsbrief, moeten ze zich ook weer kunnen afmelden. Dit kan bij een nieuwsbrief met een specifieke link in de nieuwsbrief. Na afmelding moet je de gegevens van deze persoon verwijderen.

Sla de data niet langer op dan noodzakelijk

Verwijder in de website onnodige opgeslagen data, bijvoorbeeld:
– relatiegegevens verkregen via contactformulier die al verwerkt zijn;
– user-accounts van medewerkers die aan de website hebben gewerkt.

Voor de veiligheid:
Laat gebruikers van je website nooit gebruikersaccounts delen door samen in te loggen met dezelfde inloggegevens. Creëer een eigen account per gebruiker met een beperktere rol die wel alle inhoud kan beheren maar bijv. geen plug-ins kan installeren.

Toestemming voor het plaatsen van cookies via je website

Op basis van de ePrivacy Verordening: bescherming van persoonsgegevens via elektronische communicatie, zal het plaatsen van cookies alleen zijn toegestaan, wanneer:
– de bezoeker een duidelijke keuze krijgt om toestemming te geven of om te weigeren én hiervoor daadwerkelijk toestemming heeft gegeven;
– de geplaatste cookies puur functioneel zijn, technisch gezien en ook beperkt voor gebruikersgemak van de bezoeker, hierbij is geen toestemming nodig;
– de cookies uitsluitend dienen voor het bijhouden van webstatistieken door onszelf als website aanbieder maar niet door een derde partij, zoals bijvoorbeeld Google Analytics.

Deze ePrivacy Verordening werkt in combinatie met de AVG privacywet. Hoe het precies in elkaar zit kunnen we beter lezen op bijvoorbeeld de site van ICT Recht.

Voor welke cookies heb je toestemming nodig?

Functionele cookies;
Functionele cookies zijn nodig om een website te laten functioneren. Je hoeft bijvoorbeeld niet telkens opnieuw in te loggen, blijven producten in je winkelmand staan en kun je producten met elkaar vergelijken.
Voor het plaatsen van functionele cookies die door WordPress gebruikt worden, is geen toestemming nodig.

Analytische cookies;
Cookies van Google Analytics zouden geplaatst mogen worden zonder toestemming, mits Google Analytics privacyvriendelijk is ingesteld en Google zelf niets doet met de data, maar alleen optreedt als verwerker voor de verwerkingsverantwoordelijke.

Je moet daarvoor de instellingen in je Google Analytics account nagaan:
– de verwerkersovereenkomst met Google ondertekenen;
– de IP-adressen anoniem verwerken;
– gegevens delen met Google uitzetten;
– in je privacyverklaring de gebruiker informeren dat je Analytics gebruikt.

Zie de handleiding voor het correct instellen van je Google Analytics statistieken:

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_privacyvriendelijk_instellen_google_analytics_april_22.pdf

Marketing cookies;
Marketing (tracking) cookies worden gebruikt om het surfgedrag van bezoekers vast te leggen. Dankzij marketing cookies is een gepersonaliseerde nieuwsbrief mogelijk of persoonlijke aanbiedingen via samenwerkende sites en op social media.
Wanneer je advertentiebanners plaatst, Youtube filmpjes insluit, of social sharing plug-ins gebruikt, dan plaats je marketing cookies die de gegevens van je bezoekers doorspelen aan derden. Voor het plaatsen van marketing cookies is toestemming vereist.

Maar internetgebruikers kunnen zelf ook in hun browser-instellingen bepalen of ze marketing cookies accepteren of weigeren. Met als voordeel dat zij dit één keer hoeven in te stellen. Websites moeten deze instellingen overnemen, maar mogen de gebruiker wel vragen of ze marketing cookies willen toestaan.

Privacy statement opnemen in je website naast je algemene voorwaarden

Het is verstandig als organisatie of bedrijf om aan te geven in een privacyverklaring wat je doet met de gegevens die je van klanten ontvangt. Het beste kun je een link in de footer van je website opnemen naar een pagina met de privacyverklaring.

Wat staat er meestal in een privacyverklaring?

– Bedrijfsgegevens
– Welke gegevens verzameld worden
– Het doel van de verwerking van gegevens
– Verwerking gegevens t.b.v. nieuwsbrief, verwerkersovereenkomst met MailChimp
– Of gegevens al dan niet aan derden ter beschikking worden gesteld
– Gebruik van gegevens voor commerciële doeleinden
– Het gebruik van cookies
– Bewaartermijn van de gegevens
– Rechten van klant/gebruiker hoe gegevens opgevraagd of gewijzigd kunnen worden

Voorbeeld nodig? Veilig internetten privacyverklaring generator 

Een verwerkingsakkoord met je opdrachtgevers opstellen

Volgens de nieuwe privacywet moet je met alle partijen die bij de persoonsgegevens kunnen een verwerkersovereenkomst afsluiten. Denk aan de hostingprovider, je internetbureau of misschien wel een SEO-specialist die toegang heeft tot je website en administratieve medewerkers.

Help!

Wellicht redenen genoeg voor jou om te overwegen je website AVG-proof te maken?
We kunnen hier samen aan werken, ik ben je graag van dienst …en ben benieuwd naar je reactie!

PS:
Met behulp van bovenstaande lijst komen we al een heel eind met die privacywet!
Ik heb deze checklist samengesteld op basis van eigen onderzoek en o.a. deze bronnen:

ICT Recht juridisch advies en achtergrond cookiewet

Charlotte’s Law privacy en e-mailmarketing en AVG

Wil je alle risico’s vermijden mbt de privacywet en het gebruik van cookies? Schakel dan de hulp van een juridisch expert in. Ik benadruk maar even;) Erna Braat kan niet verantwoordelijk worden gehouden voor enige onvolledige of onjuiste informatie die in deze checklist gevonden wordt.