
AVG/GDPR: een stappenplan voor uw website (deel 3/4)
De AVG/GDPR is wetgeving die het verwerken van persoonlijke gegevens degelijk maar grondig regelt. Vanaf 25 mei kunt u hier niet meer omheen. Dit is deel 3 van 4, over de gevolgen van deze wet voor uw website.
In mijn vorige blog over AVG/GDPR gaf ik al aan dat u persoonsgegevens en pseudo-anonieme data als organisatie mag gebruiken met expliciete toestemming voor duidelijk gespecificeerde, expliciete en rechtmatige doelen. U mag dus bijvoorbeeld niet zomaar tracking cookies op uw website plaatsen of gegevens gebruiken voor het verzenden van een mailing. Maar wat mag nog meer niet? En wat zijn de gevolgen voor uw website? Hieronder vindt u tips om uw website AVG/GDPR-compliant te maken.
Stap 1. Beveilig uw website (SSL/TLS)
Slaat u persoonsgegevens op via uw website? Dan is een SSL/TLS certificaat verplicht. Dit beveiligt het dataverkeer tussen uw website en uw bezoekers. Enerzijds regelt dit authenticatie, zodat uw bezoekers zeker weten dat ze daadwerkelijk op úw site terecht zijn gekomen. Anderzijds zorgt het voor versleuteling, wat inhoudt dat een tussenliggende partij niet kan zien welke gegevens een bezoeker met u uitwisselt. Websites die gebruik maken SSL/TLS herkent u aan het groene slotje en de https:// in de browserbalk.
Stap 2. Maak een verwerkersovereenkomst met leveranciers
Controleer uw website op tools en plugins die u gebruikt (‘third party integrations’). Als deze integraties persoonsgegevens uitwisselen, sluit dan een verwerkersovereenkomst met deze partijen.
Sluit ook een verwerkersovereenkomst met partijen die toegang hebben tot de gegevens die u verzamelt. Denk aan integraties zoals: Google Analytics, MailChimp, Gravity Forms, Livechat, HubSpot, Hotjar etc.
Hoe zit dat met cookies en Google Analytics?
Google Analytics is direct een mooie binnenkomer. Deze tool drááit om het verzamelen van gegevens van uw bezoekers. Het liefst zoveel mogelijk, zodat u met cijfers het succes van uw website kunt beoordelen. Maakt u gebruik van Analytics, dan dient u een verwerkersovereenkomst met Google af te sluiten. Deze wordt standaard aangeboden in uw Analytics-account.
Analytics kent verschillende soorten cookies waarmee deze gegevens worden verzameld: functionele-, analytische-, performance- en profilerings cookies. Het maakt niet uit van welke cookies u gebruik maakt, als u maar om toestemming vraagt (op functionele en analytische cookies na, mits uw analytische cookies goed geanonimiseerd zijn). Deze toestemming dient voor de verschillende cookies afzonderlijk van elkaar te worden gegeven en dienen via een versleutelde verbinding te worden verzonden.
Bij Slik zijn we enthousiast over de cookiebar van NPO. Zij geven het goede voorbeeld van een cookiebar met heldere communicatie van het gebruik van cookies en de mogelijkheid om de instellingen van deze cookies zelf aan te passen. Als gebruiker weet u exact waar u aan toe bent en u kunt zelf op ieder moment de instellingen aanpassen.


Maakt u gebruik van Google Analytics? Dan is het, om aan bepaalde voorwaarden te voldoen, van belang het IP-adres anoniem te maken en het delen van statistieken met Google uit te schakelen.
Wij maken ook gebruik van heatmaps, hoe zit dat?
Maakt u gebruik van een dienst als Hotjar - een conversie optimalisatie tool waarmee u het gedrag van uw website-bezoekers analyseert met behulp van heatmaps? Controleer dan met de leverancier of deze ook GDPR compliant is. In het geval van Hotjar hoeft u niet zoveel te doen. Hotjar heeft een heel team ingezet om GDPR-compliant te worden en is dat inmiddels. Het enige wat u dient te doen is een Data Processing Agreement (DPA) (verwerkersovereenkomst) af te sluiten met Hotjar en uw privacyverklaring op uw website aan te passen, waarin u transparant bent over de inzet van Hotjar.
En de formulieren op mijn website?
Voor formulieren op uw website geldt: vraag om toestemming en zorg ervoor dat gegevens versleuteld worden verstuurd via HTTPS/SSL. U mag niet om meer gegevens vragen dan nodig is voor het doel van de gegevensverwerking en u moet opslaan wie, waarvoor en wanneer toestemming heeft gegeven. Het toevoegen van een checkbox waarbij u vraagt om deze toestemming is de makkelijkste manier om uw formulieren GDPR-compliant te maken.
Daarnaast is het van belang dat u uw gebruikers in staat stelt om hun persoonsgegevens in te zien, te wijzigen of te verwijderen. Heeft u een WordPress-site en werkt u met GravityForms? Dan maakt u dit mogelijk met behulp van speciale plugins, zoals GravityView, WP GDPR of WP GDPR Compliance. Er hoeft geen verwerkersovereenkomst afgesloten te worden met Gravity Forms, aangezien de entries alleen in de WordPress database worden opgeslagen en de website alleen verlaten via een notification e-mail of add-on naar bijvoorbeeld MailChimp.
Let op: wanneer een persoon na 24 maanden geen interactie, zoals bijvoorbeeld het openen van een verstuurde e-mail, meer heeft gehad met uw organisatie, dan bent u verplicht om opnieuw toestemming te vragen. Daarbij geldt de wet met terugwerkende kracht, wat gevolgen kan hebben voor uw huidige mailinglist. Lees daarover meer in ons volgende artikel: AVG/GDPR en de regels voor e-mailmarketing.
Stap 3. Pas uw privacyverklaring aan op uw website
Bij de vorige onderdelen kwam dit actiepunt al aan bod. AVG/GDPR staat in het teken van het communiceren met gebruikers over hoe en waarom u gegevens verzamelt. Een up to date privacyverklaring is daarom gewenst. In uw privacyverklaring dient u duidelijk uit te leggen:
- welke informatie u verzamelt;
- hoe u deze informatie gebruikt;
- hoe de persoonsgegevens verwerkt worden;
- hoe men inzage kan krijgen;
- en hoe men bezwaar kan maken.
Eén, twéé, résumé
Zo maakt u uw website AVG/GDPR-compliant:
- Beveilig uw website met een SSL/TLS-certificaat;
- Controleer uw website op integraties, plusins en/of add-ons die persoonsgegevens uitwisselen en sluit indien nodig een verwerkersovereenkomst met deze partijen;
- Sluit verwerkersovereenkomsten met partijen die toegang hebben tot de gegevens die u verzamelt;
- Controleer van welke cookies u gebruik maakt en zorg voor een begrijpelijke cookiemelding, waarbij bezoekers - afhankelijk van welke cookies uw website plaatst - toestemming kunnen geven voor de verschillende cookies afzonderlijk.
- Maakt u gebruik van Google Analytics? Dan is het, om aan bepaalde voorwaarden te voldoen, van belang het IP-adres anoniem te maken en het delen van statistieken met Google uit te schakelen.
- Maak een checkbox voor toestemming in uw formulieren op uw website. Of nog beter: ga voor een dubbele opt-in, waarbij u per e-mail om een extra bevestiging van de inschrijving vraagt. Deze functie is beschikbaar in MailChimp;
- Zorg ervoor dat uw gebruikers altijd hun gegevens kunnen opvragen, laten aanpassen of verwijderen. Eventueel geautomatiseerd met behulp van ondersteunende plugins;
- Pas uw privacyverklaring op uw website aan en leg duidelijk uit welke informatie u verzamelt en hoe u deze informatie gebruikt;
Let op: Hoewel wij ons uiterste best hebben gedaan om de wetgeving te doorgronden en de toepasselijkheid hiervan goed in te schatten, wijzen wij u erop dat wij geen juristen zijn en ons advies in dat licht moet worden bezien. Wij hebben ons advies gebaseerd op literatuuronderzoek, richtlijnen van de AP, de wijze waarop in de markt hiermee wordt omgegaan en het publieke debat dat plaatsvindt. De wet is jong, en er is nog geen jurisprudentie ontstaan.