AVG?

Op 25 mei 2018 gaat de nieuwe AVG (Algemene Verordening Gegevensbescherming )wetgeving in. Het doel van deze wetgeving is te zorgen dat personen beter worden beschermd tegen misbruik van persoonsgegevens.

Wat betekent dit voor je website en hoe zorg je dat jouw website voor die tijd voldoet aan de AVG wetgeving?

Wanneer heb je op je website met de AVG te maken?

Vraag jezelf af welke informatie je verzamelt met je website en met welk doel? En heb je al die informatie echt nodig?

Persoonsgegevens zijn alle gegevens die te herleiden zijn naar een persoon en vallen onder deze privacywet, denk aan: naam, emailadres, foto, IP-adres en geolocatie (verzameld met Analytics cookies).

Er zijn verschillende manieren waarop gegevensverzameling plaats kan vinden. Als je de volgende diensten/plugins op je website hebt, is het nodig stappen te ondernemen op het gebied van privacy:

  • Contactformulieren;
  • Een winkel;
  • Reactiemogelijkheden op berichten;
  • Registratie van gebruikers;
  • Google Analytics o.i.d. (om verkeer te monitoren);
  • Google maps (verzamelt de geolocatie van je bezoekers);
  • Nieuwsbrieven, bijvoorbeeld MailChimp;
  • Beveiligingsplugins (bijv. om het aantal pogingen voor logins te beperken)
  • YouTube filmpjes of Embedded Vimeo.

Dit zijn de meest gebruikte functionaliteiten, maar er zijn er natuurlijk meer.

Als je op je website gebruik maakt van deze functionaliteiten, zorg dan dat je het volgende op orde hebt:

  • Privacyverklaringwaarin je beschrijft hoe je de persoonsgegevens verwerkt en wat je ermee doet;
  • Cookie statementAls je website gebruik maakt van cookies. Dit kan ook in de privacyverklaring;
  • Het versleutelen van je website door je URL te laten beginnen met https
    Verplicht voor alle plaatsen waar een bezoeker persoonlijke gegevens achterlaat;
  • Instemming vragen als je emailadressen en andere gegevens verzamelt voor bv. inschrijven voor een nieuwsbrief, het invullen van een formulier of het plaatsen van een reactie op een bericht;
  • Aanpassingen in Google Analytics waar ook gegevens van bezoekers worden verzameld.

 

Privacyverklaring

Het plaatsen van een privacyverklaring op je website is verplicht als je persoonsgegevens verwerkt.

Op de website Veilig Internetten vind je een handige tool om een privacyverklaring aan te maken. Als voorbeeld: de Privacyverklaring van Villa Vormgeving vind je hier: https://villavormgeving.eu/privacyverklaring/

 

Cookie statement

Zorg voor in- en overzicht: welke cookies plaats je, hoe zijn ze te herkennen, hoe lang worden ze bewaard en door wie? En verwerk dit in je cookie statement.

Het gebruik van cookies op je website moet je altijd apart vermelden. De Telecomwet onderscheidt twee verschillende soorten: functionele en niet functionele cookies. De eerste zijn cookies met een puur technische functionaliteit. Deze zorgen ervoor dat de website naar behoren werkt en onthouden bijvoorbeeld jouw voorkeursinstellingen. De tweede categorie, niet- functionele cookies, dienen bijvoorbeeld voor het toelaten van cookies van derden.

Voor het gebruik van functionele cookies is geen toestemming nodig. Een eenvoudige mededeling hiervan volstaat. Als je andere cookies plaatst, of andere partijen cookies laat plaatsen via jouw website, zoals de Like-knop van Facebook, dan moet je hier apart toestemming voor vragen aan de websitebezoeker. Die informatie en toestemming moet je regelen bij het eerste bezoek op jouw website en dus niet (alleen) via je privacystatement.

Bron: https://veiliginternetten.nl/zakelijk/themas/situatie/mijn-bedrijf-gebruikt-cookies/

 

SSL/HTTPS Encryptie

SSL is verplicht voor onder andere online bankieren en afrekenen. Wanneer je een webwinkel hebt, dienen de pagina’s waarop wordt afgerekend altijd voorzien te zijn van het SSL-protocol.

Het beveiligen geldt niet alleen voor bankieren en betalen, maar voor elke situatie waarin een bezoeker persoonlijke gegevens achterlaat. Dus bijvoorbeeld ook voor een pagina met een contactformulier.

Wanneer je de melding in Google Chrome of Firefox ziet die aangeeft dat je website ‘niet veilig’ is betekent dat meestal dat je website een invul formulier bevat en dat de verbinding niet versleuteld is met een SSL-certificaat.

Maak van je website een versleutelde website door op je hosting een ecrypted certificaat aan te maken. Dit is een stukje code op je website dat aangeeft dat je een legitiem bedrijf bent en dat de gegevensuitwisseling wordt versleuteld. Je domeinnaam krijgt dan als voorvoeging https// ipv http en er verschijnt een slotje voor de URL welke aangeeft dat de site beveiligd is.

Ook al verzamelt je website geen persoonlijke informatie, is het toch verstandig om je website te versleutelen. Google geeft in de ranking versleutelde sites voorrang boven niet-versleutelde websites. Zie: Google is now using HTTPS as a ranking signal.

 

Formulieren / nieuwsbrieven / reacties

Worden er gegevens via een (contact)formulier op jouw website verstuurd? Dan is de kans groot dat deze gegevens ook worden opgeslagen binnen WordPress. Hier moet je je bezoekers over gaan informeren.

Soms worden gegevens automatisch binnen WordPress opgeslagen. Om aan de AVG de voldoen voeg je een checkbox toe aan het formulier waarbij de bezoeker aanvinkt akkoord te gaan met het versturen en opslaan van deze gegevens. Dit is uiteraard een verplicht veld en zonder akkoord wordt het niet verstuurd. Doe je dit liever niet? Dan kun je ervoor kiezen deze gegevens niet meer op je website te bewaren.

Om dit vinkje aan je formulieren toe te voegen kun je gebruik maken van de volgende (gratis) plugin:

WP GDPR Compliance

Ook als je e-mailadressen verzamelt via een aanvraag- of inschrijfformulier waarbij standaard een optie staat aangevinkt “Schrijf me in voor de nieuwsbrief” heb je de instemming van je bezoeker nodig.
Staat je checkbox standaard aangevinkt? Dan ga je in tegen het principe van ‘privacy by default’.

Hetzelfde geldt voor het reageren op een bericht / het reactieveld onder een bericht.

 

Google Analytics

Als je Google Analytics gebruikt om het gedrag van je bezoekers te analyseren gelden de volgende aanpassingen:

  • Binnen jouw Google Analytics account dien je de Bewerkersovereenkomst met Google af te sluiten.
  • Sla IP-adressen anoniem op. Dit kun je in Google Analytics instellen en zorgt ervoor dat het laatste deel van het IP-adres verwijderd wordt.
  • Deel geen gegevens meer met Google. In jouw account kun je instellen dat je Analytics gegevens niet meer deelt met Google zelf, andere Google-producten, en technische ondersteuning.
  • Informeer de bezoeker over eerder genoemde punten. Je geeft aan dat Google Analytics wordt gebruikt en gegevens anoniem worden verwerkt en niet worden gedeeld. Neem dit dus op in je Privacy statement.

In deze Handleiding privacyvriendelijk instellen van Google Analytics op de site van Autoriteit Persoonsgegevens worden deze aanpassingen verder uitgelegd.

 

Hosting

Heb je je website gehost via Villa Vormgeving? Dan is het prettig om te weten dat Villa Vormgeving als reseller een verwerkingsovereenkomst met de hosting partij heeft afgesloten.

 

Meer info

Links met informatie over de nieuwe AVG-wet:

Autoriteit Persoonsgegevens
AVG Regelhulp