Overslaan en naar de inhoud gaan

Hoe zit het nu met de AVG? En wat betekent dit voor jouw website?

Thomas van Eldijk
 | Bijgewerkt op 29 november 2021

De verscherping van de regels en de hoge boetes maken veel organisaties onrustig. Wij als internetbureau krijgen dan veel vragen wat de AVG voor gevolgen heeft voor je website. Op zich niet vreemd want een website is in veel gevallen een startpunt voor het verzamelen van persoonsgegevens en speelt daarom een belangrijke rol.

In dit artikel concentreer ik me alleen op de consequenties rondom de website. Het is belangrijk om te beseffen dat de AVG veel verder gaat dan alleen de website en dat alle processen en afdelingen binnen een organisatie die persoonsgegevens verwerken hiermee te maken krijgen.

In sommige gevallen is het bijvoorbeeld verplicht een privacy officer aan te stellen. Wil je meer hierover weten dan is de website van Autoriteit Persoonsgegevens een goed startpunt.

Hoe maak je jouw website AVG-proof?

Over het algemeen gaat de AVG over verantwoordelijkheid en transparantie. Wat ga je met de persoonsgegevens die je verzamelt doen? Welke organisaties hebben nog meer inzicht in deze gegevens? En ga je verantwoordelijk met de gegevens om die je hebt verzameld?

In principe gelden de regels voor alle websites met daarop formulieren of websites waarbij personen kunnen inloggen. In beide gevallen vraag je persoonsgegevens op of sla je deze op in de database van je website.

Er wordt zo lijkt het in de introductieperiode van de AVG milder opgetreden tegenover kleine ondernemers en verenigingen en dan tegenover grote organisaties, waarvan verwacht wordt dat deze vanaf 25 mei 2018 conform de AVG opereren.

Bij de onderstaande lijst met stappen ben ik uitgegaan van een praktisch voorbeeld dat voor veel websites geldt, namelijk de aanmelding voor een nieuwsbrief. Dit lijkt een simpel formulier maar het heeft, zoals je hieronder zult zien, toch wat haken en ogen.

1# Maak duidelijk wat er met de persoonsgegevens gaat gebeuren

In het geval van een nieuwsbrief-aanmeldformulier moet je duidelijk maken dat de mensen die zich aanmelden een nieuwsbrief gaan ontvangen. Je moet dus duidelijk maken waarom je de gegevens vraagt van degene die het formulier invult.

Volgens de AVG is het niet toegestaan opgevraagde gegevens voor een andere doel te gebruiken dan tijdens het opvragen is vermeld. Stel dat je de mensen die zich aanmelden ook zou willen nabellen. Dan mag dat. Maar dan moet je dit wel melden bij het formulier. Meldt je dit niet, dan kun je deze mensen niet nabellen.

2# Zorg voor een duidelijke privacyverklaring

In deze privacyverklaring moet je vertellen wat je met de persoonsgegevens doet en welke derde partijen hier toegang toe hebben. Zo maak je bij het versturen van een nieuwsbrief waarschijnlijk gebruik van een e-marketingtool zoals MailChimp of CampaignMonitor. Dit moet je dan melden.

Vermeld daarnaast ook contactinformatie van je organisatie of van de functionaris gegevensbescherming (of Data Protection Officer) zodat personen die inzicht willen in hun persoonsgegevens of die zich in het geval van een nieuwsbrief uit willen laten schrijven, dit makkelijk kunnen doen. Naast het bekende recht op verzet, inzage en rectificatie, hebben personen ook het recht om vergeten te worden.

3# Zorg ervoor dat de gegevens veilig worden opgeslagen

Wanneer je persoonsgegevens opvraagt en opslaat dan ben je als organisatie verantwoordelijk voor deze gegevens. Ontstaat er een lek, dan ben je verplicht dit te melden.

Blijkt dat je nalatig bent geweest? Dan zijn de boetes torenhoog. Het is daarom belangrijk de gegevens veilig op te slaan. Denk aan een CMS dat up-to-date is. Een webserver die goed wordt onderhouden of een website die alleen te benaderen is via HTTPS.

Je kunt deze security-checklist gebruiken om te kijken of de beveiliging van je website op orde is.

4# Verwerkersovereenkomsten

Je moet met alle partijen die bij de persoonsgegevens kunnen of deze verwerken een verwerkersovereenkomst afsluiten. Het gaat hierbij om de vraag wie verantwoordelijk is voor het verwerken. Zo hoeft er geen verwerkersovereenkomst afgesloten te worden met de organisatie achter je CMS maar wel met de partij die in opdracht van jou bewerkingen hierop uitvoert of toegang heeft. Denk aan de hostingprovider of internetbureau.

Je legt in de verwerkersovereenkomst o.a. vast wat de de partij die jij opdracht geeft voor het verwerken gaat doen, hoe ze dit doen en hoelang de overeenkomst duurt.

5# Verwerkers niet uit de EU maar VS?

Het afsluiten van een verwerkersovereenkomst met een organisatie buiten de EU zal vermoedelijk lastig of zelfs onmogelijk blijken. Wat je wel kunt doen is controleren of deze organisaties zich aangesloten hebben bij het Privacy Shield. Dit is een overeenkomst tussen Amerika en de Europese Unie over de manier waarop persoonsgegevens worden verwerkt en beveiligd. Organisaties zoals Google, Amazon, Mailchimp en Pantheon zijn hierbij aangesloten.

5# Niet overvragen

Het is niet meer toegestaan om gegevens op te vragen die niet noodzakelijk zijn voor het doel. Zo willen veel organisaties ook een telefoonnummer opvragen bij de aanmelding voor de nieuwsbrief en bij het aanmeldformulier. Met als doel deze mensen na te bellen. Dat mag wel, maar dan moet dit ook duidelijk gemaakt worden bij de aanmelding van de nieuwsbrief.

6# Sla de data niet langer op dan noodzakelijk

Stel dat een persoon zich afmeldt van je nieuwsbrief, dan moet je de gegevens van deze persoon verwijderen. Ditzelfde geldt voor alle persoonsgegevens die in de website opgeslagen worden die niet meer relevant zijn. Denk aan een user-account van een medewerker die niet meer in dienst is. Of de gegevens van mensen die een sollicitatieformulier hebben ingevuld voor een vacature die vervuld is.

7# Bewaar de persoonsgegevens niet op verschillende plekken

Niet als dit niet noodzakelijk is voor het doel. In het geval van de nieuwsbriefaanmelding moeten de persoonsgegevens opgeslagen staan in het nieuwsbriefsysteem om de personen te kunnen e-mailen. De persoonsgegevens zijn niet meer nodig in het CMS waarin de data in eerste instantie is opgevraagd.

8# Afmeldfunctionaliteit

Net zo makkelijk als personen zich kunnen aanmelden voor je nieuwsbrief moeten ze zich ook weer kunnen afmelden. Dit kan bij een nieuwsbrief met een specifieke link in de nieuwsbrief of je kunt hier een extra formulier voor maken.

10# Cookies

Ook de cookiewetgeving gaat veranderen maar daarvoor moet eerst de ePrivacy-verordening van kracht worden. Dit is een toevoeging op de AVG en behandelt andere zaken, zoals het plaatsen van cookies.

De nieuwe ePrivacy-verordening kan consequenties hebben voor je website en met name je marketingactiviteiten. Welk effect het heeft hangt af van de soort cookies die je plaatst. In principe zijn er drie soorten cookies:

  • Functionele cookies: Deze zijn nodig voor de werking van je website. Ze slaan geen persoonsgegevens op en daar heb je voor of na de intreding van de AVG en ePrivacy-verordening geen goedkeuring voor nodig.
  • Analytische cookies: Deze zijn nodig voor statistieken-systemen zoals Piwik en Google Analytics. Zolang deze systemen de persoonsgegevens anonimiseren en je een verwerkersovereenkomst met Google hebt afgesloten en ze niet gedeeld worden met derden heb je er nu en vanaf 25 mei geen goedkeuring voor nodig.

    Zie ook deze handleiding: Hoe zorg je ervoor dat je Google Analytics account AVG-proof is?
  • Tracking cookies: Deze worden gebruikt om gebruikersprofielen op te bouwen. Veel organisaties denken niet aan user profiling of tracking te doen, maar zodra je aan remarketing doet via Google Adwords (remarketing is het tonen van advertenties aan personen die ooit op jouw website zijn geweest.), YouTube-filmpjes toont of social sharing-diensten zoals Addthis gebruikt, dan plaatst jouw website tracking cookies.

    Je moet volgens de cookiewetgeving en AVG goedkeuring vragen voordat je ze plaatst, een melding is niet voldoende. Vandaar dat sommige websites een cookie wall plaatsen. Je kunt dan niet naar een website zonder akkoord te gaan met het plaatsen van de tracking cookies.

    Vanaf het moment dat de ePrivacy-verordening in werking gaat mogen websites geen cookie wall meer plaatsen en moet er naar de voorkeuren van de browserinstellingen van de bezoeker worden gekeken.

    Heeft de bezoeker aangegeven dat er cookies geplaatst mogen worden? Dan hoeft hier geen goedkeuring voor te worden gegeven. Heeft de bezoeker ingesteld dat er geen tracking cookies geplaatst mogen worden? Dan mag en kan dit ook niet gebeuren.

    Voor marketeers zou het kunnen betekenen dat ze een kleinere doelgroep krijgen. Het hangt ervan af of mensen de cookie-instellingen weten te vinden in hun browser. Want veel makers van browsers hebben geen baat bij deze ontwikkelingen.

Dit zijn de stappen waar je naar moeten kijken om je website AVG-proof te maken. Heb je tips of vragen naar aanleiding van de nieuw privacywetgeving of dit artikel, dan lees en beantwoord ik ze graag hieronder in het reactiegedeelte.

Gerelateerde artikelen

Wij delen graag de kennis die we in huis hebben

Reacties

Hoi Thomas, je hebt hier een artikel over de AVG geschreven die tot de betere behoort, ik heb er namelijk al heel veel gelezen! ;) Toch is iets me nog steeds niet duidelijk. Je geeft aan dat voor tracking cookies (dus ook embedded filmpjes van Youtube en sharing buttons) toestemming moet worden gevraagd, maar iets verderop schrijf je dat als een bezoeker in zijn browser heeft aangegeven dat er cookies geplaatst mogen worden, dat dan geen goedkeuring hiervoor meer hoeft te worden gegeven. Dat zou dus betekenen dat ik bij gebruik van Google Analytics settings die voldoen aan de richtlijnen voor privacy, en bij het duidelijk vermelden bij een inschrijfformulier voor een nieuwsbrief dat dit bedoeld is voor het kunnen versturen van een nieuwsbrief (logisch) en bij het plaatsen van een checkbox bij een reactieformulier, ik dus eigenlijk helemaal geen cookie consent melding hoef te tonen? Dan is het voldoende om dit allemaal in de privacyverklaring te zetten?

Dat zou het wel allemaal een heel stuk makkelijker maken namelijk :). Maar dan ligt wat betreft die cookies dus de grootste verantwoordelijkheid bij de gebruiker, want die moet dit goed instellen in zijn browser.

Reactie van Jack Tummers op 21 mei 2018

Hi Jack, ja dat klopt. Het is ook de bedoeling om alles makkelijker en veiliger te maken. Voor zowel organisaties als burgers.

Het effect dat je nu op elke website popups krijgt is nooit echt de bedoeling geweest van de cookiewetgeving en door de goedkeuring via de browser te laten plaats vinden zou deze irritatie moeten gaan verdwijnen.

Maar zover zijn we nog niet. Het is de vraag hoe de browsers dit precies gaan ondervangen en hoe welke keuzes gebruikers gaan maken. Ze hebben volgens de nieuwe e-Privacyverordening tot 25 augustus 2018 om deze keuze voor te leggen aan hun gebruikers.

Zie ook: https://www.vaneldijk.nl/artikelen/hoe-zit-het-nu-met-de-cookiewetgeving

Reactie van Thomas van Eldijk op 23 mei 2018