De AVG en je website

De AVG en je website

Redactie Baaz

Het is al bijna twee jaar bekend, maar nu begint het toch echt wel dichtbij te komen: vanaf vrijdag 25 mei 2018 moet er worden voldaan aan de Algemene verordening gegevensbescherming (AVG).

Vanaf die datum is de Wet bescherming persoonsgegevens (Wbp) niet meer geldig en moet in de hele Europese Unie (EU) aan dezelfde Europese privacyverordening worden voldaan. In dit artikel kijken we wat de gevolgen zijn voor iedereen met een (zakelijke) website.

Persoonsgegevens

Dankzij de AVG (in het Engels bekend als General Data Protection Regulation) is vanaf volgende maand in alle landen van de EU de bescherming van persoonsgegevens hetzelfde geregeld en gelden voor elke ondernemer of organisatie in alle lidstaten van de EU die te maken hebben met persoonsgegevens dezelfde regels.En vergis je niet: heb je online klanten en bijvoorbeeld de naam van je contact/klant vastgelegd, dan heb je al te maken met een persoonsgegeven. Denk daarbij bijvoorbeeld aan een reactie van een bezoeker onder een blog die je op je website hebt geplaatst; de AVG is dan al op jou site van toepassing.

Er vanuit gaande dat (bijna) iedere serieuze ondernemer op basis van de website te maken krijgt met de Algemene verordening gegevensbescherming, zetten we hieronder op een rijtje waar je website aan moet voldoen om er zeker van te zijn dat je niet op enig moment tegen flinke boetes aanloopt die bij overtreding van de basisbeginselen kan oplopen tot 20 miljoen euro of 4 procent van je omzet. De belangrijkste zaken zijn:

• Een duidelijk zichtbare privacyverklaring op je website

De privacyverklaring, het liefst in de vorm van een zelfstandige tekst op een eigen pagina, moet goed te vinden zijn op je website, bijvoorbeeld via een link in de footer. Verwijs er ook naar op iedere webpagina waar je daadwerkelijk persoonsgegevens verzamelt.

In een privacyverklaring moet in elk geval worden opgenomen:

●    De bedrijfsgegevens;
●    De reden om persoonsgegevens te verzamelen;
●    Informatie over het recht van toestemming, inzage, aanpassing en verwijdering;
●    Om welke persoonsgegevens het precies gaat;
●    Beveiligingen die worden toegepast;
●    Het gebruik en de werking van cookies.

• Wees eenduidig en duidelijk over het verzamelen van persoongegevens

Verzamel je persoonsgegevens, wees daar dan altijd heel duidelijk over. Geef met name aan waarom je de data nodig hebt en hoe je het gaat gebruiken. Verwijs daarbij altijd naar de privacyverklaring van jouw website (zie hierboven).

• Eisen aan de persoonsgegevens zelf

Zorg voor expliciete toestemming van de persoon van wie je gegevens verwerkt, bijvoorbeeld met een opt-in e-mail. Maak duidelijk waar iemand zich voor inschrijft, hoe vaak er bijvoorbeeld een e-mail wordt verstuurd en dat er op elk gewenst moment heel eenvoudig weer kan worden uitgeschreven voor de dienst/service (opt-out). Geef ook aan hoe lang je de gegevens bewaart en bedenk daarbij dat dit niet langer mag zijn dan strikt noodzakelijk is voor het doel van de verwerking. Tenslotte en heel belangrijk onderdeel van de AVG: alle accounts en profielen moeten (eenvoudig) in te zien zijn, indien gewenst aan te passen of helemaal te verwijderen zijn door de personen achter de accounts/profielen. 

• Beveiliging

Was het voor SEO al belangrijk om je website via een beveiligde verbinding te laten draaien, binnen de AVG kun je er helemaal niet meer om heen. De opslag en verwerking van de (persoons)gegevens die je verzameld moeten nu eenmaal goed beveiligd zijn en dus is het hebben van een SSL-certificaat nu echt een noodzaak. Regel dit dus snel met het bedrijf dat je webhosting verzorgd. Daarnaast moet je er voor zorgen dat je website net als alle plekken waar je persoonsgegevens opgeslagen zijn, aantoonbaar voorzien zijn van de meest actuele beveiligingsupdates van alle gebruikte software en plugin.

• Verwerkersovereenkomsten

Binnen de AVG is het verplicht verwerkersovereenkomsten af te sluiten met alle bedrijven die persoonsgegevens voor jou verwerken. Denk daarbij offline aan je accountant of salarisadministratiekantoor en online bijvoorbeeld aan je webhosting-partner. Een goed voorbeeld is ook Google, aangezien bijna iedereen die online activiteiten serieus neemt wel gebruik maakt van onder andere Google Analytics. Wie gebruik maakt van deze dienst, verwerkt met analytische cookies persoonsgegevens van de websitebezoekers en is daarom verplicht een verwerkersovereenkomst af te sluiten met het zoekmachine-bedrijf. Belangrijk daarbij is het accepteren van het nieuwe ‘Amendement gegevensverwerking’ dat je dient te accepteren binnen je Google-account. Voor meer uitleg over het AVG-proof maken van je Analytics-gebruik, bekijk de speciale PDF van de Autoriteit Persoonsgegevens.

• Klachten en meldplicht

Iedere persoon van wie je gegevens verwerkt, heeft het recht een klacht met betrekking tot die verwerking in te dienen bij de Autoriteit Persoonsgegevens (AP). Tevens heb je als verantwoordelijke een meldplicht als er sprake is van datalekken. Een voorbeeld? Een mail versturen met verschillende adressen in de CC in plaats van de BCC, geldt al als datalek. Deze meld je altijd bij het Meldloket datalekken AP.

Aan de slag

Nog niet alle zaken voor de Algemene verordening gegevensbescherming op orde? Dan is er tot 25 mei aanstaande werk aan de winkel. En komt je er zelf niet uit, vraag dan eventueel een betrouwbaar SEO-bureau of ze kunnen adviseren.
 

Redactie Baaz
Door: Redactie Baaz
Redactie

Redactie Baaz

Redactie