Vanaf 25 mei 2018 gaat er veel veranderen voor iedereen binnen de EU. De AVG, de nieuwe privacywetgeving, wordt dan van kracht. Kort gezegd houdt de verordening in dat iedereen die persoonsgegevens verzamelt – online én offline – aan strenge eisen moet voldoen. Voldoe je vanaf 25 mei niet aan die regels, dan riskeer je boetes die kunnen oplopen tot € 20 miljoen of 4% van je omzet!
De AVG schrijft voor dat zowel je online als offline werkzaamheden rondom het vergaren van persoonsgegevens moeten voldoen aan de nieuwe wetgeving. iClicks vertelt je in duidelijke taal waarom en vooral hoe je jouw website kunt klaarstomen voor de AVG. Let op: je website updaten is slechts een onderdeel van de nieuwe wetgeving. Je bent altijd zelf verantwoordelijk voor het naleven van de offline én online regels. Wij bespreken in deze blog alleen het online gedeelte van de AVG.
Geen tijd om het hele bericht te lezen? Bekijk hier de highlights:
Er volgt nu eerst een inleiding op de nieuwe privacywetgeving, waarna we ingaan op de verplichtingen voor jouw website. Wil je meteen actie ondernemen? Lees hier ons concrete stappenplan.
AVG is de afkorting van Algemene Verordening Gegevensbescherming. In het Engels heet de wet General Data Protection Regulation, ofwel GDPR. De nieuwe Europese wet zorgt voor uniformiteit binnen de EU en houdt in dat iedereen die gegevens verzamelt aan de regels van de nieuwe privacywetgeving moet voldoen. Met de nieuwe privacywetgeving wordt de privacy van personen beter beschermd. Als organisatie krijg je namelijk de verantwoordelijkheid om die privacy te waarborgen en bezoekers van je website te informeren over de data die je verzamelt.
Zorg dat je bedrijfsvoering voor 25 mei ‘AVG-proof’ is om torenhoge boetes te voorkomen.
Als je de regels van de AVG niet naleeft, ben jij aansprakelijk voor de gevolgen. En die zijn niet mis: de boetes voor het overtreden van de basisbeginselen van de nieuwe wet kunnen oplopen tot 4% van je omzet, met een maximum van € 20 miljoen. Iets minder zware overtredingen worden beboet met maximaal € 10 miljoen of 2% van je jaaromzet als die 2% van je jaaromzet hoger is dan € 10 miljoen.
Let op! De AVG gaat veel verder dan alleen het aanpassen van je website. Zorg ervoor dat al jouw bedrijfsprocessen een update krijgen en voldoen aan de strenge eisen van de AVG.
Zonder al te technisch te worden, zijn dit de verplichtingen waar je als website-eigenaar vanaf 25 mei aan moet voldoen:
Bovenstaande verplichtingen klinken misschien een beetje vaag. Daarom lees je in de volgende alinea welke concrete acties je voor je website moet ondernemen om te voldoen aan de strenge eisen van de AVG.
Stappenplan: zo maak je jouw site AVG-proof!
We kunnen ons voorstellen dat je niet precies weet wat je moet doen om jouw website klaar te stomen voor de nieuwe privacywetgeving. Gebruik daarvoor het onderstaande stappenplan.
Zorg ervoor dat je privacyverklaring up-to-date is en dat in ieder geval de volgende punten beschreven zijn:
Let op: de wet schrijft ook voor dat jouw bezoekers de privacyverklaring eenvoudig moeten kunnen vinden. Geef de verklaring daarom een eigen pagina, link deze aan in de footer en plaats de link op de plekken waar je gegevens verzamelt van je bezoekers.
Wil je precies weten hoe je jouw privacyverklaring AVG-proof maakt? Lees dan deze blog op Frankwatching voor meer informatie.
De nieuwe wet schrijft voor dat je Google Analytics zodanig moet instellen, dat de gegevens niet te herleiden zijn naar specifieke gebruikers. Omdat Google Analytics gebruikers kan volgen op basis van IP-adres, geldt dit namelijk als niet-anoniem. Wil je wél IP-specifieke gegevens verzamelen, dan zul je jouw bezoekers akkoord moeten laten gaan met het gebruiken van cookies die voor marketingdoeleinden worden ingezet. Door akkoord te gaan met deze melding, geven ze jou toestemming om bepaalde gegevens te verzamelen.
Op dit moment testen wij bij enkele klanten de nieuwe cookie-melding. De nieuwe melding is een stuk uitgebreider dan de huidige en geeft bezoekers meer controle over de gegevens die gedeeld worden met websites.
Iedere website die gegevens verwerkt, moet optimaal beveiligd zijn. Als jouw website nog op http draait, is het noodzakelijk om over te stappen naar https. Gegevens worden dan verzonden via een versleutelde verbinding. Upgraden doe je door een SSL-certificaat te installeren op jouw website.
Stap 4. Communiceer waar je gegevens voor gaat gebruiken
Op jouw website is het waarschijnlijk mogelijk om op meerdere plekken informatie achter te laten. Denk hierbij aan een contact- of offerteformulier of de pagina waar men zich kan inschrijven voor jouw maandelijkse nieuwsbrief. De AVG schrijft voor dat je op deze plekken duidelijk bent over de gegevensverzameling: vertel waarom je de gevraagde gegevens nodig hebt en leg uit hoe je ze gaat gebruiken. Verwijs hierbij altijd naar je (bij stap 1 geoptimaliseerde) privacyverklaring.
In de AVG wordt gesteld dat je de bezoekers van jouw website de mogelijkheid moet bieden om hun voorkeuren te wijzigen. Met andere woorden: zorg ervoor dat je het inzien, aanpassen én verwijderen van persoonlijke gegevens zo eenvoudig mogelijk maakt. Dit geldt ook voor e-mailvoorkeuren. De meeste aanbieders van nieuwsbriefsoftware bieden hiertoe diverse mogelijkheden.
Een ‘opt-in’ is een bezoeker die zich actief heeft ingeschreven voor jouw nieuwsbrief. Dit kan hij bijvoorbeeld gedaan hebben door een formulier in te vullen of een ‘vinkje’ te zetten bij het doen van een bestelling. De AVG schrijft voor dat iedere ondernemer straks moet kunnen aantonen op welke manier een opt-in zich heeft geregistreerd.
Tips:
De bewaartermijn van persoonsgegevens is afhankelijk van het soort gegevens dat je verwerkt; in sommige gevallen geldt bijvoorbeeld een wettelijke bewaartermijn. In principe ben je voor veel gegevens vrij om zelf de bewaartermijn te bepalen, zolang je hier maar een onderbouwde en sluitende argumentatie voor hebt.
Je hebt diverse overeenkomsten met partijen die de data en gegevens van jouw bezoekers kunnen inzien. Denk hierbij aan Google Analytics, je e-mailsoftwaredienst, je hostingpartij, etc. Het is jouw verantwoordelijkheid om ervoor te zorgen dat er voor iedere ‘samenwerking’ een verwerkersovereenkomst opgesteld wordt. Deze geven websitebezoekers de garantie dat hun persoonsgegevens veilig zijn en hun rechten worden nageleefd.
Je hoeft de overeenkomst niet zelf te schrijven: online zijn er diverse partijen te vinden waarbij je een modelovereenkomst kunt aanvragen. Meer onafhankelijke informatie over dit thema vind je op Justitia.
Als ondernemer ben je zelf verantwoordelijk voor het juist inrichten van je website, zodat deze op 25 mei aan de nieuwe privacywetgeving voldoet. Let echter wel op dat jouw complete bedrijfsvoering hierop aangepast moet worden.
iClicks kan jou ontzorgen met verschillende diensten om jouw website in te richten voor de AVG. Benieuwd hoe wij jou kunnen helpen? Neem dan contact op via info@iclicks.nl of bel naar 088-4254257.
Op werkdagen zijn wij telefonisch bereikbaar tussen 09.00 uur en 17.30 uur.