AVG/GDPR: een stappenplan voor je website (deel 3/4)
De AVG/GDPR is wetgeving die het verwerken van persoonlijke gegevens degelijk maar grondig regelt. Vanaf 25 mei kan je hier niet meer omheen. Dit is deel 3 van 4, over de gevolgen van deze wet voor je website.
In mijn vorige blog over AVG/GDPR gaf ik al aan dat je persoonsgegevens en pseudo-anonieme data als organisatie mag gebruiken met expliciete toestemming voor duidelijk gespecificeerde, expliciete en rechtmatige doelen. Je mag dus bijvoorbeeld niet zomaar tracking cookies op je website plaatsen of gegevens gebruiken voor het verzenden van een mailing. Maar wat mag nog meer niet? En wat zijn de gevolgen voor jouw website? Hieronder vindt jij tips om jouw website AVG/GDPR-compliant te maken.
Stap 1. Beveilig je website (SSL/TLS)
Sla je persoonsgegevens op via je website? Dan is een SSL/TLS certificaat verplicht. Dit beveiligt het dataverkeer tussen jouw website en je bezoekers. Enerzijds regelt dit authenticatie, zodat je bezoekers zeker weten dat ze daadwerkelijk op jouw site terecht zijn gekomen. Anderzijds zorgt het voor versleuteling, wat inhoudt dat een tussenliggende partij niet kan zien welke gegevens een bezoeker met jou uitwisselt. Websites die gebruik maken SSL/TLS herken je aan het groene slotje en de https:// in de browserbalk.
Stap 2. Maak een verwerkersovereenkomst met leveranciers
Controleer je website op tools en plugins die je gebruikt (‘third party integrations’). Als deze integraties persoonsgegevens uitwisselen, sluit dan een verwerkersovereenkomst met deze partijen.
Sluit ook een verwerkersovereenkomst met partijen die toegang hebben tot de gegevens die jij verzamelt. Denk aan integraties zoals: Google Analytics, MailChimp, Gravity Forms, Livechat, HubSpot, Hotjar etc.
Hoe zit dat met cookies en Google Analytics?
Google Analytics is direct een mooie binnenkomer. Deze tool drááit om het verzamelen van gegevens van je bezoekers. Het liefst zoveel mogelijk, zodat jij met cijfers het succes van jouw website kunt beoordelen. Maak je gebruik van Analytics, dan dien jij een verwerkersovereenkomst met Google af te sluiten. Deze wordt standaard aangeboden in je Analytics-account.
Analytics kent verschillende soorten cookies waarmee deze gegevens worden verzameld: functionele-, analytische-, performance- en profilerings cookies. Het maakt niet uit van welke cookies je gebruik maakt, als je maar om toestemming vraagt (op functionele en analytische cookies na, mits je analytische cookies goed geanonimiseerd zijn). Deze toestemming dient voor de verschillende cookies afzonderlijk van elkaar te worden gegeven en dienen via een versleutelde verbinding te worden verzonden.
Bij Slik zijn we enthousiast over de cookiebar van NPO. Zij geven het goede voorbeeld van een cookiebar met heldere communicatie van het gebruik van cookies en de mogelijkheid om de instellingen van deze cookies zelf aan te passen. Als gebruiker weet je exact waar jij aan toe bent en je kan zelf op ieder moment de instellingen aanpassen.
Maak jij gebruik van Google Analytics? Dan is het, om aan bepaalde voorwaarden te voldoen, van belang het IP-adres anoniem te maken en het delen van statistieken met Google uit te schakelen.
Wij maken ook gebruik van heatmaps, hoe zit dat?
Maak je gebruik van een dienst als Hotjar - een conversie optimalisatie tool waarmee je het gedrag van je website-bezoekers analyseert met behulp van heatmaps? Controleer dan met de leverancier of deze ook GDPR compliant is. In het geval van Hotjar hoeft je niet zoveel te doen. Hotjar heeft een heel team ingezet om GDPR-compliant te worden en is dat inmiddels. Het enige wat je dient te doen is een Data Processing Agreement (DPA) (verwerkersovereenkomst) af te sluiten met Hotjar en je privacyverklaring op jouw website aan te passen, waarin je transparant bent over de inzet van Hotjar.
En de formulieren op mijn website?
Voor formulieren op je website geldt: vraag om toestemming en zorg ervoor dat gegevens versleuteld worden verstuurd via HTTPS/SSL. Je mag niet om meer gegevens vragen dan nodig is voor het doel van de gegevensverwerking en je moet opslaan wie, waarvoor en wanneer toestemming heeft gegeven. Het toevoegen van een checkbox waarbij jij vraagt om deze toestemming is de makkelijkste manier om je formulieren GDPR-compliant te maken.
Daarnaast is het van belang dat jij je gebruikers in staat stelt om hun persoonsgegevens in te zien, te wijzigen of te verwijderen. Heb je een WordPress-site en werk je met GravityForms? Dan maak je dit mogelijk met behulp van speciale plugins, zoals GravityView, WP GDPR of WP GDPR Compliance. Er hoeft geen verwerkersovereenkomst afgesloten te worden met Gravity Forms, aangezien de entries alleen in de WordPress database worden opgeslagen en de website alleen verlaten via een notification e-mail of add-on naar bijvoorbeeld MailChimp.
Let op: wanneer een persoon na 24 maanden geen interactie, zoals bijvoorbeeld het openen van een verstuurde e-mail, meer heeft gehad met je organisatie, dan bent je verplicht om opnieuw toestemming te vragen. Daarbij geldt de wet met terugwerkende kracht, wat gevolgen kan hebben voor je huidige mailinglist Lees daarover meer in ons volgende artikel: AVG/GDPR en de regels voor e-mailmarketing.
Stap 3. Pas je privacyverklaring aan op je website
Bij de vorige onderdelen kwam dit actiepunt al aan bod. AVG/GDPR staat in het teken van het communiceren met gebruikers over hoe en waarom je gegevens verzamelt. Een up to date privacyverklaring is daarom gewenst. In je privacyverklaring dien je duidelijk uit te leggen:
- welke informatie jij verzamelt;
- hoe jij deze informatie gebruikt;
- hoe de persoonsgegevens verwerkt worden;
- hoe men inzage kan krijgen;
- en hoe men bezwaar kan maken.
Eén, twéé, résumé
Zo maak jij je website AVG/GDPR-compliant:
- Beveilig je website met een SSL/TLS-certificaat;
- Controleer je website op integraties, plusins en/of add-ons die persoonsgegevens uitwisselen en sluit indien nodig een verwerkersovereenkomst met deze partijen;
- Sluit verwerkersovereenkomsten met partijen die toegang hebben tot de gegevens die jij verzamelt;
- Controleer van welke cookies jij gebruik maakt en zorg voor een begrijpelijke cookiemelding, waarbij bezoekers - afhankelijk van welke cookies je website plaatst - toestemming kunnen geven voor de verschillende cookies afzonderlijk.
- Maak je gebruik van Google Analytics? Dan is het, om aan bepaalde voorwaarden te voldoen, van belang het IP-adres anoniem te maken en het delen van statistieken met Google uit te schakelen.
- Maak een checkbox voor toestemming in je formulieren op je website. Of nog beter: ga voor een dubbele opt-in, waarbij je per e-mail om een extra bevestiging van de inschrijving vraagt. Deze functie is beschikbaar in MailChimp;
- Zorg ervoor dat je gebruikers altijd hun gegevens kunnen opvragen, laten aanpassen of verwijderen. Eventueel geautomatiseerd met behulp van ondersteunende plugins;
- Pas je privacyverklaring op jouw website aan en leg duidelijk uit welke informatie jij verzamelt en hoe je deze informatie gebruikt;
Let op: Hoewel wij ons uiterste best hebben gedaan om de wetgeving te doorgronden en de toepasselijkheid hiervan goed in te schatten, wijzen wij je erop dat wij geen juristen zijn en ons advies in dat licht moet worden bezien. Wij hebben ons advies gebaseerd op literatuuronderzoek, richtlijnen van de AP, de wijze waarop in de markt hiermee wordt omgegaan en het publieke debat dat plaatsvindt. De wet is jong, en er is nog geen jurisprudentie ontstaan.