Is jouw website al klaar voor de AVG – de nieuwe privacywetgeving?

30 Maart, 2018 10:21

Vanaf 25 mei 2018 gaat er veel veranderen voor iedereen binnen de EU. De AVG, de nieuwe privacywetgeving, wordt dan van kracht. Kort gezegd houdt de verordening in dat iedereen die persoonsgegevens verzamelt – online én offline – aan strenge eisen moet voldoen. Voldoe je vanaf 25 mei niet aan die regels, dan riskeer je boetes die kunnen oplopen tot € 20 miljoen of 4% van je omzet!

De AVG schrijft voor dat zowel je online als offline werkzaamheden rondom het vergaren van persoonsgegevens moeten voldoen aan de nieuwe wetgeving. iClicks vertelt je in duidelijke taal waarom en vooral hoe je jouw website kunt klaarstomen voor de AVG. Let op: je website updaten is slechts een onderdeel van de nieuwe wetgeving. Je bent altijd zelf verantwoordelijk voor het naleven van de offline én online regels. Wij bespreken in deze blog alleen het online gedeelte van de AVG.

 

Geen tijd om het hele bericht te lezen? Bekijk hier de highlights:

  • AVG staat voor Algemene Verordening Gegevensbescherming, de nieuwe Europese privacywetgeving die vanaf 25 mei 2018 geldt voor iedereen die persoonsgegevens verzamelen.
  • Voorkom hoge boetes: zorg ervoor dat jouw bedrijf vóór 25 mei 2018 AVG-proof is.
  • Met ons handige stappenplan bereid jij je website optimaal voor op de nieuwe regelgeving!

Er volgt nu eerst een inleiding op de nieuwe privacywetgeving, waarna we ingaan op de verplichtingen voor jouw website. Wil je meteen actie ondernemen? Lees hier ons concrete stappenplan.

Wat houdt de AVG in?

AVG is de afkorting van Algemene Verordening Gegevensbescherming. In het Engels heet de wet General Data Protection Regulation, ofwel GDPR. De nieuwe Europese wet zorgt voor uniformiteit binnen de EU en houdt in dat iedereen die gegevens verzamelt aan de regels van de nieuwe privacywetgeving moet voldoen. Met de nieuwe privacywetgeving wordt de privacy van personen beter beschermd. Als organisatie krijg je namelijk de verantwoordelijkheid om die privacy te waarborgen en bezoekers van je website te informeren over de data die je verzamelt.

Zorg dat je bedrijfsvoering voor 25 mei ‘AVG-proof’ is om torenhoge boetes te voorkomen.

Voorkom hoge boetes: leef de nieuwe regels na!

Als je de regels van de AVG niet naleeft, ben jij aansprakelijk voor de gevolgen. En die zijn niet mis: de boetes voor het overtreden van de basisbeginselen van de nieuwe wet kunnen oplopen tot 4% van je omzet, met een maximum van € 20 miljoen. Iets minder zware overtredingen worden beboet met maximaal € 10 miljoen of 2% van je jaaromzet als die 2% van je jaaromzet hoger is dan € 10 miljoen.

Let op! De AVG gaat veel verder dan alleen het aanpassen van je website. Zorg ervoor dat al jouw bedrijfsprocessen een update krijgen en voldoen aan de strenge eisen van de AVG.

Vanaf 25 mei moet je voldoen aan deze verplichtingen

Zonder al te technisch te worden, zijn dit de verplichtingen waar je als website-eigenaar vanaf 25 mei aan moet voldoen:

  • Zorg voor een dekkende en zichtbare privacyverklaring;
  • Je moet toestemming hebben van de bezoeker voor het verzamelen en verwerken van gegevens;
  • Bezoekers waarvan je gegevens verwerkt, hebben het recht om een verzoek in te dienen om de gegevens aan te passen, mee te nemen naar een andere organisatie of om de gegevens te verwijderen.
  • Het is verplicht om verwerkersovereenkomsten te hebben met de bedrijven die voor jou gegevens van personen verwerken.
  • Als website-eigenaar heb je meldplicht wanneer er data van jouw bezoekers uitlekt. Dit kun je doen bij het Meldloket datalekken van de Autoriteit Persoonsgegevens.

Bovenstaande verplichtingen klinken misschien een beetje vaag. Daarom lees je in de volgende alinea welke concrete acties je voor je website moet ondernemen om te voldoen aan de strenge eisen van de AVG.


Stappenplan: zo maak je jouw site AVG-proof!

We kunnen ons voorstellen dat je niet precies weet wat je moet doen om jouw website klaar te stomen voor de nieuwe privacywetgeving. Gebruik daarvoor het onderstaande stappenplan.

Stap 1. Update je privacyverklaring

Zorg ervoor dat je privacyverklaring up-to-date is en dat in ieder geval de volgende punten beschreven zijn:

  • De gegevens van je bedrijf
  • Welke persoonsgegevens je verwerkt en de reden daarvan
  • Recht van toestemming
  • Een beschrijving van de rechten omtrent het inzien, aanpassen en verwijderen van persoonsgegevens
  • Welke maatregelen je treft om de gegevens van jouw bezoekers te beveiligen
  • Uitleg over cookies

Let op: de wet schrijft ook voor dat jouw bezoekers de privacyverklaring eenvoudig moeten kunnen vinden. Geef de verklaring daarom een eigen pagina, link deze aan in de footer en plaats de link op de plekken waar je gegevens verzamelt van je bezoekers.

Wil je precies weten hoe je jouw privacyverklaring AVG-proof maakt? Lees dan deze blog op Frankwatching voor meer informatie.

Stap 2. Gebruik Google Analytics geanonimiseerd – of zorg voor een cookie-melding

De nieuwe wet schrijft voor dat je Google Analytics zodanig moet instellen, dat de gegevens niet te herleiden zijn naar specifieke gebruikers. Omdat Google Analytics gebruikers kan volgen op basis van IP-adres, geldt dit namelijk als niet-anoniem. Wil je wél IP-specifieke gegevens verzamelen, dan zul je jouw bezoekers akkoord moeten laten gaan met het gebruiken van cookies die voor marketingdoeleinden worden ingezet. Door akkoord te gaan met deze melding, geven ze jou toestemming om bepaalde gegevens te verzamelen.


Op dit moment testen wij bij enkele klanten de nieuwe cookie-melding. De nieuwe melding is een stuk uitgebreider dan de huidige en geeft bezoekers meer controle over de gegevens die gedeeld worden met websites.

Stap 3. Upgrade jouw website naar https

Iedere website die gegevens verwerkt, moet optimaal beveiligd zijn. Als jouw website nog op http draait, is het noodzakelijk om over te stappen naar https. Gegevens worden dan verzonden via een versleutelde verbinding. Upgraden doe je door een SSL-certificaat te installeren op jouw website.

Stap 4. Communiceer waar je gegevens voor gaat gebruiken

Op jouw website is het waarschijnlijk mogelijk om op meerdere plekken informatie achter te laten. Denk hierbij aan een contact- of offerteformulier of de pagina waar men zich kan inschrijven voor jouw maandelijkse nieuwsbrief. De AVG schrijft voor dat je op deze plekken duidelijk bent over de gegevensverzameling: vertel waarom je de gevraagde gegevens nodig hebt en leg uit hoe je ze gaat gebruiken. Verwijs hierbij altijd naar je (bij stap 1 geoptimaliseerde) privacyverklaring.

Stap 5. Bied de mogelijkheid tot het aanpassen en verwijderen van gegevens

In de AVG wordt gesteld dat je de bezoekers van jouw website de mogelijkheid moet bieden om hun voorkeuren te wijzigen. Met andere woorden: zorg ervoor dat je het inzien, aanpassen én verwijderen van persoonlijke gegevens zo eenvoudig mogelijk maakt. Dit geldt ook voor e-mailvoorkeuren. De meeste aanbieders van nieuwsbriefsoftware bieden hiertoe diverse mogelijkheden.

Stap 6. Registreer al je ‘opt-ins’

Een ‘opt-in’ is een bezoeker die zich actief heeft ingeschreven voor jouw nieuwsbrief. Dit kan hij bijvoorbeeld gedaan hebben door een formulier in te vullen of een ‘vinkje’ te zetten bij het doen van een bestelling. De AVG schrijft voor dat iedere ondernemer straks moet kunnen aantonen op welke manier een opt-in zich heeft geregistreerd.

Tips:

  • Als je van je huidige klantenbestand niet kunt aantonen hoe zij zich hebben ingeschreven, doe je er goed aan om een mail te sturen met de mogelijkheid tot opt-in voor je nieuwe e-maillijst.
  • De klanten waar je op dit moment een betaalrelatie mee hebt, mag je gewoon blijven mailen, mits je de gegevens gebruikt voor het doel waarvoor je deze gekregen hebt. Het doel waarvoor je gegevens verzamelt kan goed worden omschreven in een privacy statement. Zo is de klant vooraf geïnformeerd over het doel waar zijn of haar gegevens voor worden gebruikt.

Stap 7. Vermeld hoe lang je persoonsgegevens bewaart

De bewaartermijn van persoonsgegevens is afhankelijk van het soort gegevens dat je verwerkt; in sommige gevallen geldt bijvoorbeeld een wettelijke bewaartermijn. In principe ben je voor veel gegevens vrij om zelf de bewaartermijn te bepalen, zolang je hier maar een onderbouwde en sluitende argumentatie voor hebt.

Stap 8. Zorg voor ‘verwerkersovereenkomsten’

Je hebt diverse overeenkomsten met partijen die de data en gegevens van jouw bezoekers kunnen inzien. Denk hierbij aan Google Analytics, je e-mailsoftwaredienst, je hostingpartij, etc. Het is jouw verantwoordelijkheid om ervoor te zorgen dat er voor iedere ‘samenwerking’ een verwerkersovereenkomst opgesteld wordt. Deze geven websitebezoekers de garantie dat hun persoonsgegevens veilig zijn en hun rechten worden nageleefd.

Je hoeft de overeenkomst niet zelf te schrijven: online zijn er diverse partijen te vinden waarbij je een modelovereenkomst kunt aanvragen. Meer onafhankelijke informatie over dit thema vind je op Justitia.

Tot slot

Als ondernemer ben je zelf verantwoordelijk voor het juist inrichten van je website, zodat deze op 25 mei aan de nieuwe privacywetgeving voldoet. Let echter wel op dat jouw complete bedrijfsvoering hierop aangepast moet worden.

Hoe kan iClicks jou ontzorgen?

iClicks kan jou ontzorgen met verschillende diensten om jouw website in te richten voor de AVG. Benieuwd hoe wij jou kunnen helpen? Neem dan contact op via info@iclicks.nl of bel naar 088-4254257.

< Pas op voor onofficiële AVG-keurmerken 4 manieren om de klantenreis te beïnvloeden met Google AdWords >

Samenwerken met iClicks?

Op werkdagen zijn wij telefonisch bereikbaar tussen 09.00 uur en 17.30 uur.

Sebastiaan Pool

Online Marketing Consultant

Don van der Helm

Online Marketing Consultant