Jouw website en de AVG

25th of May, AVG-day!

De Algemene Verordening Gegevensbescherming. Het is nogal wat, zo’n nieuwe wet. Iedereen is er mee bezig, want elke organisatie moet zich voorbereiden. Ook wij onderzoeken de gevolgen voor onze interne bedrijfsprocessen. Ondertussen krijgen we regelmatig mails van klanten: een doorgestuurd epistel van Google, een vraag over cookies, even checken of we al een kant en klare privacy policy hebben liggen… Daarom hebben we ons verdiept in de materie, het resultaat lees je hier.

Jouw website AVG-proof maken
De AVG zegt weinig concreets over je website

Wat? Ja je leest het goed. De AVG, die 25 mei de Wet bescherming persoonsgegevens (Wbp) moet vervangen, gaat niet in op de inzet van verschillende marketingkanalen zoals e-mail, cookies en telemarketing. Dat wordt namelijk nog volop vastgelegd in de ePrivacy Verordening (ePV). En die is nog niet klaar, want het bleek iets te ambitieus om deze ook per 25 mei te kunnen invoeren. Dit lees je ook in dit artikel over het verschil tussen de AVG en de ePV.

Natuurlijk heeft de AVG in algemene zin betrekking op alles waarmee persoonsgegevens bemoeid zijn, dus ook op persoonsgegevens verzameld via cookies, je website, je e-mail en je nieuwsbrief. De ePV richt zich uitsluitend op de verwerking van persoonsgegevens voor elektronische communicatiediensten en is dus specifieker. Zolang de ePV nog niet van kracht is, vallen we terug op de nu geldende Wbp en de Telecommunicatiewet voor de grijze gebieden waarin de AVG geen praktisch toepasbare duidelijkheid geeft. We (Theo) hebben gebeld met de Autoriteit Persoonsgegevens (AP), die inderdaad bevestigde dat na 25 mei nog teruggegrepen kan worden op de Telecommunicatiewet en de Wbp waar de AVG niet concreet genoeg is, zolang de ePV nog niet in werking is getreden.

Hoeven we dan niets te doen?

Oh ja toch wel, want:

  1. De ePV is onderweg, het duurt alleen iets langer
  2. Grote kans dat jouw website ook niet voldoet aan de Wbp
  3. Waar persoonsgegevens worden verwerkt is alsnog gewoon de AVG van toepassing (denk aan je contactformulier)
  4. Je moet alsnog verwerkingsovereenkomsten afsluiten met alle bedrijven die namens jou persoonsgegevens verwerken
  5. Het is niet onbelangrijk om op de hoogte te zijn van verschillende onderwerpen die van toepassing zijn op privacy en persoonsgegevens

Wat je moet weten als website-eigenaar

Als eigenaar van een (door ons gebouwde en/of gehoste) website, ben jij ervoor verantwoordelijk dat je website AVG-proof (en straks ePV-proof) is. Wat dat precies inhoudt is nog niet volledig duidelijk, omdat de ePV nog niet klaar is, en de AVG in algemene zin beschrijft hoe om te gaan met persoonsgegevens maar geen concrete aanpak biedt. Ook verschilt per website welke functionaliteiten beïnvloed worden door de AVG/ePV. In dit blog vind je de meest voorkomende onderwerpen, zoals cookies, Google Analytics en contactformulieren.

Omdat elke website anders is kunnen we onmogelijk met één blog-bericht alle mogelijke scenario’s behandelen. Heb je specifieke vragen over jouw website? We helpen je graag! Wil je een concreet overzicht van jouw situatie? We bieden een privacy-check waarmee we jouw website onder de loep nemen en je adviseren over jouw situatie.

De meest voorkomende onderwerpen op het gebied van privacy bij websites bespreken we hieronder:

Cookies, hoe zit dat nou?

De huidige Telecommunicatiewet maakt onderscheid tussen functionele cookies, analytische cookies en tracking cookies. Functionele cookies mogen zonder toestemming geplaatst worden. Voor het plaatsen van analytische cookies dient de bezoeker geïnformeerd te worden, bijvoorbeeld in een privacy policy. Gebruikt een website tracking cookies dan geldt de Wbp en moet vooraf expliciet toestemming worden gekregen (opt-in).

To do: check je cookies

  • Weet welke cookies je gebruikt
  • Informeer je bezoeker over analytische cookies
  • Zorg voor een opt-in (expliciete toestemming) wanneer je tracking-cookies gebruikt
  • Zorg eventueel voor een informerende cookiemelding met link naar je privacy policy

Google Analytics

Kan je Google Analytics nog gebruiken met zonder expliciete Opt-in? Ja dat kan, maar er moeten wel wat stappen ondernomen worden om dit te realiseren. Kort gezegd bestaat dit uit het anonimiseren van IP-adressen, het melden van het gebruik in je privacy policy, het accepteren van een verwerkersovereenkomst met Google en het uitschakelen van de nodige instellingen voor delen.

Volg hiervoor de handleiding van de Autoriteit Persoonsgegevens. De meeste stappen kan/moet je zelf uitvoeren, het aanpassen van de trackingcode om IP-adressen te anonimiseren kunnen wij voor je doen.

Heb je hulp nodig bij de overige stappen? Wil je dat we kijken of ’t zo goed staat? Dat is natuurlijk ook geen probleem. We helpen je graag!

To do: Analytics privacyvriendelijk maken

Google Adwords

Gebruik je Google Adwords om te adverteren? Dan is de kans groot dat je tracking-cookies plaatst, afhankelijk van de configuratie van je campagne. Plaatst jouw website cookies t.b.v. bijvoorbeeld conversiemeting of een remarketing-campagne, dan moet je expliciet toestemming hebben vóór je de cookie plaatst. Dat betekent dat je website voorzien moet worden van een opt-in (en -out) mogelijkheid.

Weet je niet zo goed hoe jouw Adwords-campagne is geconfigureerd? We kijken graag met je mee, zodat we je van maatwerk advies kunnen voorzien.

To do: check je campagnes

  • Onderzoek hoe je campagnes zijn opgezet
  • Informeer je bezoeker over je Adwords campagnes
  • Weet of je cookies gebruikt (en wilt blijven gebruiken) voor conversiemetingen of remarketing-campagnes
  • Zorg voor een opt-in (expliciete toestemming) wanneer dit het geval is
  • Zorg eventueel voor een informerende cookiemelding met link naar je privacy policy

ShareThis / AddThis

Super handig, de ShareThis en AddThis tools waarmee je eenvoudig zogenaamde share-knoppen op je website kunt plaatsen. We hebben ze inmiddels in veel websites geïmplementeerd. Deze diensten plaatsen ook cookies via jouw website en verzamelen daarmee IP-adressen van bezoekers en – voor zover we hebben kunnen achterhalen – gebruiken deze om bezoekers te tracken en surfgedrag te analyseren. Hoogstwaarschijnlijk vallen deze cookies dus onder tracking-cookies.

Ondanks dat we nog niet helemaal zeker weten of deze diensten daadwerkelijk tracking-cookies plaatsen en of daarmee ook een opt-in verplicht is, zijn we van mening dat, ook als het ‘slechts’ om analytische cookies gaat, het niet nodig is om diensten als ShareThis en AddThis te voorzien van informatie over ‘onze’ bezoekers en hun gedrag op onze site. Daarom ontwikkelen we momenteel onze eigen maatwerk share-knoppen.

Heb jij share-knoppen op je website? Dan kan je er vanuit gaan dat deze door ShareThis of AddThis zijn verzorgd. Op verzoek vervangen we de ShareThis of AddThis knoppen op je website door onze eigen maatwerk share-knoppen, of we verwijderen de functionaliteit helemaal.

To do: RemoveThis

  • Weet of je gebruik maakt van Share-buttons
  • Laat de buttons door ons verwijderen of vervangen door onze maatwerk cookieloze buttons
  • Informeer je bezoeker over de buttons in je Privacy policy

Facebook Plugins

Sommige websites maken gebruik van Facebook Social Plugins, zoals een like-button, Een “face-pile” of een Facebook comment-plugin. Deze Social Plugins worden geplaatst met een door Facebook aangeleverde code. Met deze code bepaalt Facebook wat er uiteindelijk op de website wordt getoond en kan Facebook ook cookies plaatsen via jouw website.

Afhankelijk van welke Facebook Social Plugins je gebruikt moet je in élk geval je bezoekers informeren. Mogelijk moet je ook toestemming vragen voordat je Social Plugins beschikbaar mag maken voor je bezoekers.

Heb je een like-button, een face-pile of een comment-plugin? We kijken graag met je mee en adviseren over de juiste strategie passend bij jouw website.

To do: Plugins in kaart brengen

  • Inventariseer je Facebook Plugins en de gevolgen voor je bezoekers
  • Maak keuzes: heb je dit nodig of kan je zonder?
  • Zorg voor een expliciete opt-in of verwijder de plugins waarvoor een opt-in noodzakelijk is
  • Informeer je bezoeker over de Facebook Plugins in je Privacy policy

Privacy policy

Los van welke diensten je gebruikt, of je wel of niet cookies je plaatst; waar je in elk geval naar moet kijken is je privacy policy. In je privacy policy moet je uitvoerig uitleg geven over welke persoonsgegevens verzameld worden, met welke verwerkers dit gedeeld wordt en hoe je deze gegevens beschermt.

Omdat de inhoud van de privacy policy volledig afhankelijk is van jouw website en de diensten en functionaliteiten die je gebruikt, hebben we geen standaard oplossing klaar liggen. Ga zelf na op welke manier je website persoonsgegevens verzamelt en verwerkt, en vermeld dit zo concreet mogelijk.

Wil je meer tips voor het schrijven van een goede privacy policy? Lees ons artikel “Hoe schrijf je een privacy policy“.

To do: Schrijf een concrete privacy policy

  • Zorg voor een goede privacy policy
  • Plaats de privacy policy op je website
  • Zorg eventueel voor een informerende cookiemelding met link naar je privacy policy

Contactformulieren

Beschikt je website over een formulier, klein of groot? Daarmee verwerk je persoonsgegevens via je website. Afhankelijk van welke oplossing je gebruikt, worden de gegevens mogelijk binnen je website opgeslagen of enkel via e-mail verstuurd. Het is verstandig om je formulieren na te lopen; verzamel je geen informatie die je eigenlijk niet nodig hebt voor het doel van het formulier?

Wanneer je formulieren gebruikt is het verstandig om informatie hierover over op te nemen in je privacy policy. Ook kan je een checkbox aan je formulier (laten) toevoegen waarmee de invuller toestemming geeft voor het opslaan/verwerken van gegevens. Zo kan je ook altijd aantonen dat je toestemming hebt om deze gegevens te verwerken. Wanneer de gegevens binnen de website worden opgeslagen is dit zeker een aanrader.

To do: contactformulieren controleren

  • Weet wat het formulier doet met de ingevulde gegevens
  • Maak alleen gegevens die je écht nodig hebt verplicht om in te vullen
  • Vraag de invuller toestemming voor het verwerken van de gegevens
  • Biedt een alternatief, bijvoorbeeld een telefoonnummer of e-mailadres
  • Zorg dat je een SSL-certificaat hebt zodat de gegevens versleuteld worden verzonden

E-mailmarketing

Stuur je wel eens een nieuwsbrief? Dan moet je kunnen aantonen dat je een goede reden hebt voor het mogen gebruiken van persoonsgegevens voor het verzenden van een mail. Een klantrelatie kan zo’n goede reden zijn maar de beste reden is nog altijd toestemming van de ontvanger. Deze toestemming moet je kunnen aantonen, oftewel je moet in je mailinglist opslaan waar, wanneer en hoe expliciet toestemming is gegeven voor het verwerken van de betreffende persoonsgegevens.

Je zult je mailinglist dus moeten controleren om te zien in hoeverre de verzamelde adressen rechtmatig verkregen zijn.

Gebruik je MailChimp of een andere E-marketingoplossing? Dan moet je een verwerkersovereenkomst afsluiten. MailChimp en andere nieuwsbriefoplossingen verwerken namelijk persoonsgegevens in opdracht van jou. Lees bijvoorbeeld dit weblogbericht van MailChimp, en regel een verwerkersovereenkomst met MailChimp wanneer je dit gebruikt.

To do: breng je e-mailmarketing in kaart

  • Sluit een verwerkersovereenkomst af met je nieuwsbriefoplossing (bijvoorbeeld MailChimp)
  • Controleer je mailinglist. Heb je een goede reden of expliciete toestemming en kan je dit aantonen?
  • Inventariseer je inschrijfmogelijkheden en pas deze aan zodat je ook in de toekomst vast legt wie zich wanneer, waar, hoe en waarvoor heeft ingeschreven

SSL-certificaat

Heeft je website nog geen SSL-certificaat? Dan wordt het nu toch echt wel tijd, zeker wanneer je website persoonsgegevens verwerkt (en dat is al snel het geval; de webserver noteert bijvoorbeeld de IP-adressen van bezoekers). Inmiddels hebben veel van onze klanten al een SSL-certificaat, maar nog niet alle websites zijn voorzien. Nog geen groen slotje? Neem dan contact met ons op, dan gaan we het voor je regelen!

Een SSL-certificaat heb je op dit moment al voor 105,- per 2 jaar wanneer je bij ons host.

To do: go green

Hoe sta jij er voor?

Misschien heb je al het nodige gedaan, mogelijk kan je naar aanleiding van bovenstaande verdere stappen maken om de privacy van je websitebezoekers te verbeteren. Kom je er zelf niet helemaal uit? Twijfel je over de juiste keuzes? Of heb je zelf al helemaal scherp hoe jouw website er voor staat?

Neem gerust contact met ons op voor advies of technische aanpassingen, bijvoorbeeld het anonimiseren van IP-adressen voor Google Analytics, het toevoegen van een cookie-melding (met of zonder expliciete opt-in), het verwijderen of vervangen van ShareThis/AddThis buttons of het installeren van een SSL-certificaat.

Of kies voor onze privacy-check, we nemen je website onder de loep, brengen in kaart welke onderwerpen op jouw website van toepassing zijn en voorzien je van advies over eventuele vervolgstappen.

Schrijf je in voor de privacy-check

Bovenstaande informatie is ons advies, gebaseerd op ons eigen onderzoek en ervaringen. Hieraan kunnen geen rechten worden ontleend. We weten veel maar echt niet alles.