Helemaal klaar voor een eigen website? Mooi! Maar vergeet niet dat er meer bij komt kijken dan enkel mooie foto’s en pakkende teksten. Denk bijvoorbeeld eens aan de privacywetgeving. In Nederland en binnen de EU worden consumenten goed beschermd. Dit vinden wij goed en belangrijk, maar het betekent wel dat je als bedrijf extra goed moet opletten. Persoonsgegevens moeten worden verwerkt onder strenge voorwaarden. Wie dit niet doet, kan bijzonder hoge boetes verwachten. Dat klinkt misschien afschrikwekkend, maar als je er goed naar kijkt, kom je er wel uit. Wij helpen je op weg.
Wat is de AVG?
De Algemene verordening gegevensbescherming (AVG) is sinds 25 mei 2018 van toepassing. Het is de privacywetgeving die binnen de hele Europese Unie geldt. De privacyrechten van klanten of gebruikers worden door deze wetgeving versterkt. De privacywet staat internationaal ook wel bekend onder de Engelse naam General Data Protection Regulation (GDPR).
1. Een duidelijke privacyverklaring
Elk bedrijf dat persoonsgegevens beheert, moet een privacyverklaring hebben. Daar waar je de bezoeker vraagt om persoonsgegevens, moet de privacyverklaring makkelijk te vinden zijn. In een privacyverklaring leg je uit welke gegevens je verzamelt en met welk doel je dat doet. Zorg dat je dit doet in duidelijke en begrijpelijke taal.
Een goede privacyverklaring moet in ieder geval informatie over de volgende onderdelen bevatten:
- De identiteit van je organisatie
- Welke persoonsgegevens je website verwerkt
- De doeleinden en de rechtsgrond waarop je deze gegevens verwerkt
- Eventueel: het legitiem belang van de verwerkingsverantwoordelijke
- Duur van de verwerking/opslag van de persoonsgegevens
- De rechten van betrokkenen
- Bron van de persoonsgegevens
- Profiling en geautomatiseerde besluitvorming
- Overzicht van verwerkers
- Vermelding van overdracht naar het buitenland
- Contactgegevens van de Functionaris Gegevensbescherming (als je die hebt)
Ben je geïnteresseerd in een uitgebreidere omschrijving van wat er in een privacyverklaring moet staan? Check hier hoe je een privacyverklaring opstelt. Bekijk ook eens een voorbeeld van een privacyverklaring met een basistekst voor jouw bedrijf.
2. Algemene voorwaarden
Algemene voorwaarden zijn niet verplicht, omdat er in de wet al veel regels staan waar jij en je klanten beroep op kunnen doen. Dan zijn aanvullende algemene voorwaarden niet meer per se nodig. Toch kiezen vooral veel webshops er alsnog voor om hun eigen algemene voorwaarden op te stellen. Zo kun je de algemene voorwaarden aanpassen naar jouw bedrijf en jouw beleid. Wanneer je hier als bedrijf voor kiest, moeten de algemene voorwaarden aan twee eisen voldoen:
- Consumenten moeten de voorwaarden kunnen bekijken voor ze iets kopen.
- De voorwaarden mogen niet in strijd zijn met de wet.
In de algemene voorwaarden beschrijf je regels over bijvoorbeeld de betalingsvoorwaarden, de garantie en wat de regels zijn bij geschillen. Lees hier meer over hoe je de algemene voorwaarden opstelt. Let er ook op dat de algemene voorwaarden niet zomaar tussentijds veranderd mogen worden. Kijk hier voor meer informatie over de algemene voorwaarden in het algemeen.
3. Cookieverklaring
Wanneer je website gebruik maakt van cookies die informatie verzamelen over het websitebezoek of de gebruiker, ben je verplicht om naast een privacyverklaring ook een cookieverklaring op te stellen. Vrijwel elke website maakt gebruik van cookies om goed te functioneren, dus ook jij zult zo’n cookieverklaring moeten opstellen. In een cookieverklaring informeer je de bezoeker over alle soorten cookies die je gebruikt. Dus ook de cookies waarvoor je geen toestemming hoeft te vragen of die vanzelfsprekend lijken. In de cookieverklaring leg je uit wat cookies zijn en hoe bezoekers ze eventueel kunnen in- en uitschakelen. Dit in- en uitschakelen is niet bij alle soorten cookies mogelijk, omdat sommige cookies noodzakelijk zijn om de website goed te laten werken (functionele cookies). Voor dit soort cookies is toestemming vragen ook niet nodig. Tot slot moet je in je cookieverklaring de reden van gebruik toelichten. Bekijk eens de antwoorden op de verschillende vragen op de volgende website om te achterhalen welke informatie jij je bezoekers precies moet geven in je cookieverklaring.
4. Toestemming en rechten
Bezoekers moeten voor het verwerken van hun gegevens actief en expliciet toestemming geven. Dit houdt in dat opties voor bijvoorbeeld het ontvangen van een nieuwsbrief niet vooraf aangevinkt mogen zijn. Ook bij het gebruik van cookies is het heel belangrijk dat bezoekers de vereiste toestemming geven. Het gaat hierbij met name om tracking cookies: cookies die ook bij bezoek aan een andere website kunnen worden uitgelezen. Tracking cookies worden gebruikt om profielen van gebruikers op te stellen. Uit het internetgedrag van de gebruikers worden hun persoonlijke interesses opgemaakt. Zo kan een website bijvoorbeeld gepersonaliseerde advertenties tonen. Voor het gebruik van deze tracking cookies moet je dus als webdesigner specifiek toestemming vragen. Lees meer over toestemming vragen voor tracking cookies.
Toestemming geven moet een bewuste handeling zijn. Jij moet kunnen aantonen dat je geldige toestemming hebt verkregen voor het verwerken van de gegevens. Lees hier hoe je de gebruiker om toestemming vraagt. Daarnaast moet het intrekken van toestemming voor de gebruiker net zo makkelijk zijn als het geven ervan.
Wanneer gebruikers hun persoonsgegevens al hebben gegeven, hebben ze het recht om hun eigen gegevens in te zien, te corrigeren en aan te vullen. Ook hebben ze recht op dataportabiliteit. Dit betekent dat jij ervoor moet zorgen dat mensen hun gegevens makkelijk kunnen ontvangen en kunnen doorgeven aan een andere organisatie als ze dat willen. Lees hier nog eens uitgebreid welke rechten gebruikers precies hebben.
5. Verwerkingsregister
De verwerking van persoonsgegevens moet volgens de AVG worden bijgehouden in een register. Het bijhouden van zo’n register is verplicht als jouw organisatie:
- persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is (het komt dus vaker voor), of
- risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen, of
- meer dan 250 medewerkers heeft.
In de praktijk is de verwerking van persoonsgegevens vrijwel nooit incidenteel. Daarom moet bijna elke organisatie wel een register bijhouden.
In het verwerkingsregister neem je op welke persoonsgegevens je gebruikt, voor welk doel, waar je ze opslaat en met wie je ze eventueel deelt. Het gaat hierbij om alle gegevens die je via je website verkrijgt en de registratie moet behoorlijk nauwkeurig gebeuren. Je moet bijvoorbeeld kunnen terugvinden wanneer iemand ergens toestemming voor heeft gegeven en op welke manier dat is gebeurd.
Je kunt dit register nodig hebben wanneer klanten je vragen om hun gegevens te wissen of te corrigeren. Op zo’n moment is het belangrijk dat je weet welke data je wanneer en hoe hebt verkregen. Ook ben je dan verplicht om organisaties waarmee je de gegevens hebt gedeeld te verzoeken om deze weer te verwijderen.
Wij raden je aan om ervoor te zorgen dat je website deze data zorgvuldig registreert. Volgens de wet mag het register ook schriftelijk bijgehouden worden, maar bij gebruik van een website kan het eigenlijk niet anders dan elektronisch. Controleer eens hoe dat bij jouw website is geregeld en zorg ervoor dat dit soort gegevens makkelijk terug te vinden zijn. Bij Websitebezorgd hoef je het verwerkingsregister niet zelf bij te houden. Dat wordt voor je geregeld.
Lees hier meer over het opstellen van een verwerkingsregister.
6. Technische veiligheidsmaatregelen
Technische veiligheidsmaatregelen zijn volgens de AVG vereist. Je kunt verschillende maatregelen nemen voor je website, maar de belangrijkste twee zijn het hebben van een SSL- of TLS-certificaat en een up-to-date CMS-systeem en plugins.
SSL- of TLS-certificaat
Een SSL- of TLS-certificaat zorgt voor een versleutelde verbinding. Zo’n verbinding beveiligt de gegevens van de bezoeker en zorgt ervoor dat hackers het webverkeer niet kunnen onderscheppen. Een versleutelde website is te herkennen aan de URL. Domeinnamen die beginnen met ‘https://’ in plaats van ‘http://’ zijn beveiligd. Daarnaast is er bij beveiligde websites een slotje zichtbaar in de adresbalk. De websites die worden geleverd door Websitebezorgd hebben gegarandeerd een versleutelde verbinding.
Up-to-date CMS-systeem en plugins
Het Content Management Systeem (CMS) van je website moet regelmatig worden geüpdatet. Hetzelfde geldt voor plugins. Veiligheidsupdates zorgen ervoor dat hackers geen misbruik kunnen maken van bekende fouten in de besturingssoftware. Wanneer je zelf een website ontwerpt en beheert, moet je hier dus goed op letten. Bij Websitebezorgd wordt het uitvoeren van dit soort updates voor je gedaan.
7. Privacy by design en privacy by default
Privacy by design houdt in dat je bij het ontwerpen van je website de persoonsgegevens van je bezoekers zoveel mogelijk moet beschermen. Je moet dus goed nadenken over hoe je je bezoekers kan bereiken terwijl je zo min mogelijk gegevens van hen vraagt. En als je dan toch besluit persoonsgegevens te gebruiken, moet je al bij je ontwerp nadenken over een sterke technische beveiliging van die gegevens. Ook mag je verkregen persoonsgegevens niet langer bewaren dan nodig is. Zorg er bijvoorbeeld voor dat gebruikersgegevens die eenmalig nodig zijn na gebruik automatisch worden verwijderd. Hier moet je al in de ontwerpfase van je website rekening mee houden. Bij Websitebezorgd wordt dit grotendeels voor je gedaan.
Privacy by default is onderdeel van privacy by design. Het houdt in dat de standaardinstellingen zo privacy-vriendelijk mogelijk moeten zijn. Jij mag enkel het minimale aan persoonsgegevens verwerken met je website. Voor al het extra gebruik moet de bezoeker expliciet toestemming geven. Zo mag bijvoorbeeld het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet standaard aangevinkt staan. Accounts van gebruikers op uw website moeten standaard op privé staan. Gebruikers die een openbaar account willen, moeten dat expliciet aangeven. Zo worden de gegevens van gebruikers in de standaardinstellingen zoveel mogelijk beschermd. Ook hiermee kan Websitebezorgd je helpen.
8. Verwerkersovereenkomst
Wanneer je de persoonsgegevens van je websitebezoekers doorgeeft aan derden, moet je met hen een verwerkersovereenkomst sluiten. Hier is al snel sprake van. Denk bijvoorbeeld aan e-mailadressen die je opslaat in een maillijst van je Google-account. Ook plugins voor bijvoorbeeld socialmediacounters kunnen persoonsgegevens (IP-adressen) van je bezoekers gebruiken. Met al deze derde partijen moet je dus een verwerkersovereenkomst afsluiten. Vooral de grotere partijen zoals Google hebben vaak een standaard verwerkersovereenkomst waarmee je akkoord moet gaan. Lees hier meer over het afsluiten van een verwerkersovereenkomst.
9. Datalek documenteren en melden
Er is sprake van een datalek wanneer je bestanden worden gehackt of wanneer je onbedoeld toegang geeft tot bestanden. Dit betekent dat ook een gestolen laptop of zoekgeraakte USB-stick een datalek is.
Volgens de AVG ben je verplicht om een datalek intern vast te leggen en te documenteren. Je beschrijft de datalek, de gevolgen van de datalek en de genomen maatregelen. Wanneer er risico’s voor personen (bijvoorbeeld gebruikers) voortkomen uit de datalek, heb je meldplicht. Dat houdt in dat je de datalek zo snel mogelijk, het liefst binnen 72 uur, moet melden bij de Autoriteit Persoonsgegevens. Lees hier meer over de meldplicht datalekken.
10. Maak Google Analytics privacy vriendelijk
Google Analytics wordt bij websites veel gebruikt om de webstatistieken bij te houden. Hierbij worden bepaalde gegevens van gebruikers (IP-adressen) gebruikt en opgeslagen. Om dit volgens de regels van de AVG-wetgeving te laten gebeuren moet je als webdesigner een aantal aanpassingen maken. Om te beginnen moet je een verwerkersovereenkomst afsluiten met Google. Vervolgens heb je twee opties.
De eerste optie is dat je je websitebezoekers om toestemming vraagt voor het plaatsen van cookies. Gebruikers moeten jou dan actief toestemming geven om hun gegevens te gebruiken. Wanneer je de gebruiker liever niet lastig valt met cookies, is er ook een tweede optie. De tweede optie is om de verzamelde IP-adressen te anonimiseren, alle gegevensdeling met Google uit te schakelen en het gebruik van user-ID’s uit te schakelen. In dit geval worden er geen persoonsgegevens gebruikt voor Google Analytics. Daarom hoef je de gebruiker ook niet om toestemming te vragen.
Ten slotte moet je je bezoekers informeren over het gebruik van Google Analytics op jouw website. Dit kun je het best doen in de privacyverklaring van je website. Meer weten? Klik hier voor een uitgebreidere uitleg over hoe je Google Analytics privacyvriendelijk maakt.
