Je bent ongetwijfeld op de hoogte van de aankomende Privacywet, oftewel de GDPR of AVG (Algemene Verordening Gegevensbescherming). Deze wet gaat in op 25 mei 2018 en heeft ook voor jou consequenties. Deze Europese wet dwingt bedrijven ertoe maatregelen te nemen om aan de nieuwe verplichtingen te voldoen. Er zijn meer dan genoeg artikelen die dit volledig uitleggen. Dit artikel is bedoeld voor degenen die geen zin hebben om ze allemaal door te spitten. Niet voldoen aan deze wet kan boetes tot gevolg hebben. Aangezien elke (WordPress) website aan enige mate van persoonsgegevensverwerking doet, is het raadzaam om stappen te ondernemen.
1. Kun je je aanmelden voor een nieuwsbrief?
Vaak verzamelt je website e-mailadressen via een contact-, aanvraag- of inschrijfformulier, waarbij standaard de optie ‘Schrijf me in voor de nieuwsbrief’ staat aangevinkt. Vanaf 28 mei moet de bezoeker dit zelf aanvinken en wordt hij/zij dus niet meer automatisch ingeschreven voor een nieuwsbrief tenzij daar bewust voor gekozen is. Dit is dus een actieve handeling.
Mag ik mijn huidige contacten nog een e-mail sturen?
Klanten mag je altijd mailen. Aan hen hoef je geen toestemming te vragen. Andere lijsten moeten aan de nieuwe AVG voldoen. Kun je de toestemming niet bewijzen en/of heb je niet op een andere geldige grondslag de gegevens verkregen en/of heb je de mailadressen niet gekregen met het doel te mogen e-mailen? Dan doe je er verstandig aan opnieuw duidelijke toestemming te vragen. Heb je het voorheen al zorgvuldig aangepakt en zijn je lijsten op orde? Dan hoef je nu niets te doen.
E-mailijsten opschonen
Heeft iemand zich uitgeschreven, dan heb je de persoonsgegevens waarschijnlijk niet meer nodig voor het doel waarvoor je ze hebt verkregen. Vanuit de dataminimalisatieverplichting moeten gegevens dan ook verwijderd worden. Tenzij je in de privacyverklaring al duidelijk hebt aangegeven hoe lang de gegevens ook na uitschrijving nog bewaard zouden worden (en waarom dan).
Een verwerkerovereenkomst afsluiten bij MailChimp
Zoals met alle partijen waarmee je gegevens deelt moet je ook met MailChimp een verwerkerovereenkomst afsluiten, die kun je hier vinden.
2. Check je contactformulier
Schrijven mensen zich via je website in voor bijvoorbeeld een training? Kopen ze producten via je webshop? Of worden er gegevens verstuurd via een contactformulier? Dan is de kans groot dat deze gegevens ook worden opgeslagen binnen WordPress. Wel zo handig, maar je moet je bezoekers hierover gaan informeren.
In een plugin als Gravity Forms worden gegevens automatisch opgeslagen binnen WordPress. Om aan de AVG/GDPR te voldoen, voeg je een checkbox toe aan het formulier waarbij de bezoeker aanvinkt akkoord te gaan met het versturen en opslaan van deze gegevens. Deze box is uiteraard een verplicht veld en zonder akkoord wordt het niet verstuurd. Je kunt onder andere met onderstaande plugins zo’n checkbox aan je contactformulier toevoegen.
We kunnen je hier natuurlijk ook mee helpen.
3. Gebruik je Google Analytics of Hotjar?
Bijna iedere site gebruikt Google Analytics om het gedrag van zijn of haar bezoekers te analyseren.
Heeft jouw website dit nog niet? Start hier dan snel mee! Het is handig om te zien wat er wel of niet werkt op je site en waar bezoekers voor terugkomen.
Google Analytics
Na de ingang van de AVG kun je Google Analytics nog steeds gebruiken, maar dan zijn er wel een paar aanpassingen nodig.
- Sluit binnen jouw Google Analytics-account een Verwerkersovereenkomst af met Google
- Sla IP-adressen anoniem op; het laatste deel van het IP-adres is dan niet meer zichtbaar
- Deel geen gegevens meer met Google; in je account kun je instellen dat de Analytics gegevens niet meer gedeeld worden met Google, andere Google-producten en technische ondersteuning
Belangrijk
Informeer je websitebezoeker: vertel in je privacystatement hoe je de gegevens via Google Analytics verwerkt. Geef bijvoorbeeld aan dat de gegevens anoniem worden opgeslagen en niet worden gedeeld met anderen.
In deze Handleiding Privacyvriendelijk instellen van Google Analytics worden deze aanpassingen verder uitgelegd.
Hotjar
Gebruik je Hotjar, dan dien je soortgelijke stappen te zetten om bepaalde gegevens anoniem te maken. Binnen Hotjar bestaat de mogelijkheid om user recordings in te zetten, waardoor je gebruikers kunt zien navigeren door de website. Er wordt een registratie gemaakt van pageviews, mouse movements, clicks en data input. Deze recordings kunnen binnen Hotjar geanonimiseerd worden door een aantal stappen te doorlopen. Lees meer over het anonimiseren van records binnen Hotjar in deze handleiding. De verwerkerovereenkomst voor Hotjar kun je hier vinden.
4. Heb je al een SSL-certificaat?
Waarschijnlijk wel als wij de hosting van je website regelen. Een website waar persoonsgegevens worden verwerkt, moet beveiligd zijn met een SSL-certificaat. Dit is te herkennen aan https:// met een slotje in de adresbalk. Sites zonder certificaat zijn te herkennen aan http:// (zonder s). Bovendien heeft Google aangekondigd dat websites met een https-protocol voorrang hebben op websites met een http-protocol. Je komt met een certificaat dus hoger in Google.
Let op
Heb je geen contactformulieren, maar gebruik je wel Google Analytics om het gedrag van je websitebezoeker te analyseren? Ook dan ben je verplicht om https in te stellen, aangezien je daarmee IP-adressen registreert. Meer hierover lees je verderop in deze blog.
5. Pas je privacyverklaring aan
Bezoekers van je website moeten kunnen inzien wat je met hun persoonsgegevens doet. Dit is dus een goed moment om je privacyverklaring te controleren of aan te maken als je deze nog niet hebt. In dat statement vertel je welke gegevens je verzamelt en waarvoor je ze gebruikt. Niet met moeilijke woorden en vage zinnen, maar gewoon in begrijpelijke taal. Vaak wordt dit door middel van een linkje in de footer van de website geplaatst.
In je privacyverklaring moet je in ieder geval deze onderwerpen opnemen:
- Bedrijfsgegevens
- Doeleinden (reden van de verwerking van de persoonsgegevens)
- Persoonsgegevens (welke persoonsgegevens verwerk je?)
- Recht van toestemming
- Recht op inzage, aanpassing en verwijdering
- Beveiligingsmaatregelen
- Cookies
Je mag met Google Analytics-cookies persoonsgegevens van websitebezoekers verwerken zonder hun voorafgaande toestemming. Maar je moet bezoekers hierover wél informeren, bijvoorbeeld via het privacybeleid. Neem hierin op dat je:
- Google Analytics-cookies gebruikt;
- een bewerkersovereenkomst met Google heeft gesloten;
- het laatste octet van het IP-adres heeft gemaskeerd;
- ‘gegevens delen’ heeft uitgezet;
- geen gebruik maakt van andere Google-diensten in combinatie met de Google Analytics-cookies.
Op de website van Frankwatching staat meer informatie over welke gegevens in je privacyverklaring moeten komen.
Maak het jezelf makkelijk door je privacyverklaring op te stellen met deze privacyverklaring generator van Veiliginternetten.nl.
6. Meld het wanneer er een datalek is
De meldplicht voor datalekken kennen we al in Nederland. Deze is ook in de AVG-wet opgenomen. Concreet betekent het dat je in actie moet komen wanneer er per ongeluk (of opzettelijk) data op straat terecht komt. Dit moet je melden bij het meldloket datalekken Autoriteit Persoonsgegevens. Houdt het lek waarschijnlijk een hoog risico in voor de personen waar de gegevens betrekking op hebben? Dan moeten zij ook van het lek op de hoogte worden gesteld.
Zorg voor een goede en veilige hostingpartij en het adequaat updaten van het CMS en plugins om beveiligingslekken te minimaliseren. Wanneer bestanden met persoonsgegevens worden verstuurd, zorg dan voor een veilige methode en/of het versleutelen van bestanden. Dit is vooral belangrijk als wij de hosting van je website niet verzorgen, maar als je dit zelf hebt geregeld bij een externe partij.
Verder ben je verplicht om op verzoek van bezoekers eerder opgeslagen gegevens van je website te verwijderen. Ga dus na of je weet hoe dit werkt. We kunnen de hosting ook voor je verzorgen op onze server.
Informeer je bezoekers
Het belangrijkste doel van de Privacywetgeving is dat je als organisatie bewust wordt van het omgaan met persoonsgegevens en jouw bezoekers hierover informeert. Je bezoekers moeten actiever goedkeuring geven voor het opslaan van deze gegevens. Daar is niets mis mee en helemaal niet zo ingewikkeld! Het is zo geregeld en een fijn idee dat je goed omgaat met de gegevens van jouw bezoekers.
Heb je onze hulp nodig?
Neem dan contact met ons op via ontwerp@vandeburen.nl of bekijk hier onze overige contactgegevens.
Website laten maken