Voldoet jouw website aan de AVG (GDPR)?

Op 25 mei 2018 gaat de nieuwe Algemene Verordening Gegevensbescherming (AVG) in de gehele EU in. De kans is groot dat je actie moet ondernemen om er voor te zorgen dat jouw website aan deze nieuwe wet voldoet. Bij het niet voldoen aan de AVG kun je een boete tot 20 miljoen euro (max. 4% van je wereldwijde jaaromzet) opgelegd krijgen.

Wat zijn eigenlijk persoonsgegevens?

Binnen de AVG zijn persoonsgegevens heel ruim gedefinieerd. Alle gegevens die naar een persoon te herleiden zijn, worden als persoonsgegevens beschouwd. Denk o.a. aan een e-mailadres, een telefoonnummer en zelfs een IP-adres.

Als je bijvoorbeeld een contactformulier plaatst waarin men e-mailadres of telefoonnummer kan (of moet) invoeren dan ben je al persoonsgegevens aan het verwerken. Ook het gebruik van statistiekensoftware en koppelingen met sociale media vallen meestal onder de verwerking van persoonsgegevens. Hierbij wordt namelijk vaak het IP-adres van de bezoeker geregistreerd.

De meeste websites zullen er dus niet aan ontkomen om persoonsgegevens te verwerken. Dit betekend dat je voor 25 mei actie moet ondernemen om te voldoen aan de nieuwe vereisten van de AVG.

Privacy by design

Met de AVG mag je niet meer zomaar zoveel mogelijk gegevens verzamelen van je klanten en personeel. Voor elke gegeven dat je opslaat moet je een duidelijke reden hebben waarvoor de opslag noodzakelijk is.

Je kunt dus niet langer gegevens opslaan omdat je deze mogelijk in de toekomst ooit nodig hebt, “voor het geval dat”.  Mocht je op een later moment extra gegevens nodig hebben dan kun je deze op dat moment opvragen en direct toestemming vragen deze gegevens te verwerken.

Voor het verwerken en opslaan van persoonsgegevens heb je namelijk de expliciete toestemming van de persoon in kwestie nodig.

Ook mag je gegevens maar zolang opslaan als nodig is. Hierna moet je de persoonsgegevens verwijderen.

Privacybeleid

Onder de AVG heb je een verantwoordings- en informatieplicht. Dit betekent dat je moet kunnen aantonen dat je mensen duidelijk informeert zodra je hun persoonsgegevens verwerkt. Het is daarom ook verstandig om een privacybeleid op te stellen en deze op je website beschikbaar te maken. Op deze manier geef je aan dat je nagedacht hebt over hoe je met persoonsgegevens omgaat. Precies wat de men met de nieuwe wet voor ogen heeft.

De volgende zaken moet je opnemen in je privacybeleid:

  • Jouw identiteit en contact gegevens
  • Identiteit van derden die gegevens voor jouw verwerken of opslaan
  • Het doel en rechtsgrond van de verwerking van de gegevens
  • Of je informatie doorgeeft aan internationale organisaties of bedrijven van buiten de EU en op grond waarvan je dat doet
  • Hoelang je de gegevens bewaard
  • De rechten van de betrokkene, denk aan: recht op inzage, correctie en verwijdering, recht op intrekken toestemming.
  • Dat men een klacht kan indienen bij de Autoriteit persoonsgegevens
  • Of en waarom men verplicht is persoonsgegevens te verstrekken en waarom
  • Of er gebruik gemaakt wordt van geautomatiseerde profielvorming en wat het doel daarvan is
  • Als er gegevens van andere partijen zijn verkregen: waar deze gegevens vandaan komen

Wat je voor elkaar moet krijgen voordat de AVG in gaat

De AVG is een stuk strenger dan de huidige wetten. Voor je website heeft dit vrijwel altijd gevolgen:

  • Bezoekers moeten nu expliciet toestemming geven voor de verwerking van persoonsgegevens.
  • Personen hebben het recht de gegevens die je verzameld in te zien.
  • Ook heeft men het recht om de verzamelde gegevens te laten verwijderen.
  • Je moet registeren welke gegevens je vastlegt en waarom
  • Je mag alleen gegevens verzamelen die je aantoonbaar nodig hebt
  • De gegevens moeten goed en up-to-date beveiligd zijn.

De bovenstaande punten maken de volgende zaken noodzakelijk voor je website:

Beveiligde verbinding

Om er voor te zorgen dat persoonsgegevens goed beveiligd zijn als deze naar jouw worden verzonden moet je website beschikken over een beveiligde verbinding (HTTPS). Hiervoor heb je een SSL certificaat nodig.

Je kunt in de meeste browsers aan een groen slotje voor het adres van je website zien of jouw website al beschik over een beveiligde verbinding.

Heb je nog geen beveiligde verbinding? Dan kan jouw hosting provider of website bouwer dit vrij gemakkelijk voor je regelen. Je kunt eventueel gebruik maken van gratis certificaten van Let’s Encrypt.

Cookies

Voor het gebruik van functionele cookies en geanonimiseerde statistieken is het niet verplicht om toestemming te vragen voor de plaatsing. In dit geval is een melding dat er cookies gebruikt worden voldoende.

Registreer je echter persoonsgegevens of maak je een profiel van bezoekers (bijvoorbeeld voor remarketing en affiliate marketing), dan ben je verplicht om toestemming te vragen. Dit wordt namelijk gezien als tracking cookies.

Ook mag je mensen die geen toestemming geven niet meer van je website weren (een zogenaamde cookie wall). Je website moet dus ook beschikbaar zijn zonder tracking cookies.

Google Analytics

Veel ondernemers gebruiken Google Analytics om website statistieken bij te houden. Indien jij dat ook doet, let dan op je voor de standaard instellingen expliciet toestemming moet vragen. Standaard worden IP adressen opgeslagen en dit is een persoonsgeven voor de AVG.

Als je geen toestemming wilt vragen dan kun Google Analytics zo instellen dat een deel van het IP-adres weggelaten wordt, waardoor de statistieken anoniem worden. Je statistieken worden dan wel iets minder betrouwbaar op het gebied van terugkeerde bezoekers.

Om de statistieken van je website anoniem te maken, moet de tracking code van Google Analytics iets aangepast worden.

Voeg hiervoor een regel toe na:

ga(‘create’, ‘UA-********-*’, ‘auto’);

De regel om te voegen:

ga(‘set’, ‘anonymizeIp’, true);

Voeg daaronder ook meteen de volgende regelen toe om alleen beveiligde verbindingen toe te staan:

ga(‘set’, ‘forceSSL’, true);

Indien je gebruikt maakt van Klik dan kun je dit eenvoudig doen door naar Analytics -> Tracking te gaan en vervolgens “Anonymize IP address” in te schakelen. De beveiligde verbinding kun je inschakelen door “Custom Code” in te schakelen en vervolgens “ga(‘set’, ‘forceSSL’, true);” in te voegen.

anonieme google analytics instellen voor de avg

Naast het anonimiseren van de ip-adressen moet je ook aan de Google kant nog een aantal instellingen aanpassen:

Deel geen gegevens met Google

Ga naar “Beheerder” -> “Accountinstellingen” -> “Instelling voor gegevens delen” en zorg dat alle vakjes uitgeschakeld staan en sla vervolgens op.

Deel geen gegevens met Google Analytics

Sluit een verwerkingsovereenkomt met Google af

Als je Google Analytics gebruikt dan deel je data met Google. Hierdoor ben je verplicht een verwerkingsovereenkomst te sluiten met Google. Gelukkig is dit niet zo ingewikkeld als het lijkt.

Google heeft de overeenkomt namelijk al voor je klaargezet in je Analytics-account onder “Beheerder” -> “Accountinstellingen”. Onderaan de pagina staat de overeenkomst met Google. Vergeet na het accepteren niet nog even op te slaan.

Schakel gegevensverzameling voor advertentiefuncties uit

Het plaatsen van tracking cookies voor retargeting advertenties op Facebook en Google is niet toegestaan zonder expliciete toestemming. Ook als je hier geen gebruik van maakt moet je er voor zorgen dat deze functie in Google Analytics uitgeschakeld is. Ga hiervoor terug weer naar het “Beheerder” menu. Klik onder “Property-instellingen” op “Trackinginfo” en vervolgens op ‘Gegevensverzameling’. Zet in dit scherm beide opties uit en sla de instellingen op.

Schakel tracking uit in google analytics

Vermeld Google Analytics in je privacybeleid

Zorg dat Google Analytics opgenomen is je privacybeleid als dataverwerker. Vermeld in ieder geval de volgende gegevens:

  • Dat je een verwerkersovereenkomst met Google hebt afgesloten.
  • Dat je gegevens deelt met Google.
  • Dat de gegevens anoniem verwerkt worden.
  • Dat je de verzamelde gegevens niet gebruikt voor advertentiedoeleinden, zoals retargeting via social media of
  • Welke Analytics cookies geplaatst worden, waarom en wanneer deze verwijderd worden.

Facebook like knoppen en pixels

Indien je Facebook like knoppen of Facebook trackingpixels op je website hebt staan dan moet je hiervoor ook expliciet toestemming hebben. Ook moet men zonder deze toestemming de website kunnen gebruiken zonder tracking cookies.

Heb je deze knoppen of pixels op je website? Verwijder ze dan of vraag expliciet toestemming om tracking cookies te plaatsen.

Mailinglijsten

Natuurlijk mag je nog steeds een e-mail opt-in aanbieden onder de AVG. Wel moet je er voor zorgen dat het bij het inschrijven direct duidelijk is dat men zich inschrijft op je mailinglijst. Je mag dus bijvoorbeeld niet meer om een e-mailadres vragen voor het downloaden van een e-book en deze e-mailadres op je lijst zetten zonder dat je duidelijk hebt aangegeven dat men op de mailinglijst terecht komt.

Ook mag je niet meer een vinkje toevoegen dat al aangevinkt staat waardoor je bij een andere actie direct ingeschreven wordt op de mailinglijst. De bezoeker moet het vinkje zelf aanzetten. Dit geldt bijvoorbeeld bij een webshop als iemand een product of dienst koopt. Het vinkje om je meteen in te schrijven op de mailinglijst mag niet standaard aangevinkt zijn.

Zorg dat je website software up-to-date is

Onderdeel van de AVG is ook dat je persoonsgegevens adequaat moet beveiligen. Dit betekend ook dat je er voor moet zorgen dat jouw website software altijd up-to-date is. Voor WordPress betekend dit dus dat alle updates voor WordPress, thema’s en plug-ins geïnstalleerd moeten worden. Anders kan de website immers eenvoudig gehackt worden door gebruik te maken van bekende lekken.

Let op dat sommige hosting bedrijven aangeven updates voor je te installeren, maar meestal zijn dat alleen de updates voor WordPress zelf en dus niet de updates voor thema’s en plug-ins.

De software updates kun je zelf installeren, maar als bang bent dat je dit in alle drukte vergeet, of als je dit gewoon lastig vindt, dan kun je dit ook voor je laten doen.

Mocht je website toch onverhoopt gehackt worden dan ben je verplicht dit te melden als een data lek bij de Autoriteit persoonsgegevens. Dan is het toch wel fijn als je kunt aantonen dat je er alles aangedaan hebt om een hack te voorkomen.

Hoe kun je toestemming vragen voor tracking cookies?

De meeste cookie bar plug-ins werken nog volgens de oude regels. Dit betekend dat je deze wel kunt gebruiken voor functionele cookies en geanonimiseerde statistieken als melding, maar niet voor tracking cookies.

Voor tracking cookies moet je immers expliciet toestemming vragen en je moet de optie bieden om deze niet te plaatsen. In WordPress kun je dit doen door gebruik te maken van de “GDPR Consent” plug-in. Deze plug-in kost voor één website 39 euro.

Gravity forms

Veel WordPress websites gebruiken Gravity Forms voor formulieren op de website. Let echter op dat alle inzendingen ook op je website bewaard worden (dit kan ook bij andere plug-ins het geval zijn). Op zich is dit handig voor het geval de mails een keer niet aankomen, maar je moet hier rekening mee houden bij het verwijderen van gegevens. Dit geldt ook voor de bewaartermijn.

Eventueel kun dit probleem omzeilen door de gratis plug-in “Wider Gravity Forms Stop Entries” te installeren. Hierna worden formuliergegevens niet langer op je website opgeslagen. Let wel op dat je dan geen back-up meer hebt van de ingezonden gegevens, mocht er iets misgaan met de e-mailverzending.

Indien je bijzondere persoonsgegevens verwerkt zoals BSN nummers of medische gegevens, dan kun de gegevens veiliger verwerken door deze velden te coderen. Dit kun je doen met de plug-in “Gravity Forms Encrypted Fields”. Deze plug-in kost 27 dollar voor één website.

WP GDPR Compliance

De AVG vereist dat je expliciete toestemming hebt om persoonsgegevens te verwerken. Deze kun je o.a. verkrijgen door aanvinkvakjes te plaatsen. Met moet echt bij elk formulier akkoord gaan met de voorwaarden. Indien je geen zin hebt om op al je formulieren e.d. handmatig deze vinkjes toe te voegen dan kun je dit met de “WP GDPR Compliance” plug-in automatisch doen. Deze plug-in is gratis. Op dit moment worden de volgende WordPress plug-ins ondersteund:

  • Contact Form 7
  • Gravity Forms
  • WooCommerce
  • WordPress Comments

Tot slot

Op veel website moet er dus nog wel wat gedaan worden om te voldoen aan de AVG. Toestemming vragen en instelling voor statistieken aanpassen zijn de meest voorkomende wijzigingen. Ook moet het privacybeleid vaak aangepast worden.

Indien je verdere vragen of opmerkingen hebt dan kun je deze hieronder bij de reacties stellen.

Vergeet niet dit artikel even te delen op de favoriete sociale netwerk, dan kunnen andere hier ook weer hun voordeel mee doen. Alvast bedankt.

Disclaimer

Wij hebben ons verdiept in de AVG om een zo goed mogelijk advies te geven aan onze klanten. De artikel is echter niet opgesteld door juristen. Wij kunnen dan ook geen garantie geven over de juridische correctheid van dit artikel. Schakel een jurist in als je meer zekerheid wilt hebben.

>
Share This