Hoe maak ik mijn website AVG-geschikt?
Sinds 25 mei 2018 moeten organisaties voldoen aan de Algemene verordening gegevensbescherming (AVG). Wat houdt de AVG in? De AVG, of de General Data Protection Regulation (GDPR), vervangt vanaf 25 mei 2018 onze Nederlandse privacywet: de Wet bescherming persoonsgegevens (Wbp) en geldt voor alle lidstaten van de EU. De verordening bevat uitgebreide privacyrechten voor burgers waarmee ze hun privacy beter kunnen waarborgen. De AVG legt meer verantwoordelijkheden bij organisaties op het gebied van gegevensverwerking. Wie persoonsgegevens verwerkt en dit na 25 mei 2018 niet volgens de regels van de AVG doet, kan een hoge boete opgelegd krijgen. Voor internetondernemers gaat de AVG vooral over toestemming, privacy, transparantie en beveiliging.
8 Tips die helpen je website AVG-geschikt te maken
1. Maak je websitebeveiliging in orde met een SSL-certificaat
De AVG stelt de wettelijke verplichting om aan te tonen dat je websitebeveiliging op orde is. Ondanks dat, worden geen specifieke technische eisen aan je website gesteld zoals de verplichting om een SSL-certificaat te hebben. Toch is een SSL-certificaat wel degelijk een goed middel om de beveiliging van je website verder te verbeteren.
Een SSL-certificaat zorgt voor een extra veilige laag over het verstuurde webverkeer. Ingevulde gegevens in een formulier worden daardoor versleuteld verzonden en zijn door kwaadwillenden niet te onderscheppen.
Wij kunnen een SSL-certificaat installeren vanaf 2,95 excl. BTW per maand.
Ja, ik wil ook een SSL-certificaat
2. Zorg voor een duidelijke privacyverklaring
Misschien heb je al een privacyverklaring op je website staan, de kans is echter groot dat deze door de AVG transparanter moet zijn. Je moet bijvoorbeeld het klachtrecht vermelden, toelichten hoe lang je persoonsgegevens bewaart en of je deze gegevens deelt met anderen. Wil je weten wat er precies in je privacyverklaring moet staan, informeer dan bij jouw eigen privacy jurist, je brancheorganisatie of check de informatie en het stappenplan op de site van de Autoriteit Persoonsgegevens via deze links:
Wij kunnen voor € 25,- excl. BTW een pagina aanmaken en een door jou aangeleverde privacyverklaring opmaken.
Ja, maak een privacy pagina voor mij aan
3. Verwijzing naar je privacyverklaring bij je webformulieren
Zorg ervoor dat je de online ingevulde gegevens op een contact- of offerteformulier alleen gebruikt om contact op te nemen of een offerte te versturen. Je mag personen niet zonder expliciete toestemming (opt-in) abonneren op bijvoorbeeld een nieuwsbrief. Let er ook op dat je alleen de gegevens laat invullen die nodig zijn om de betreffende actie uit te voeren.
Heb je al een AVG-geschikte privacyverklaring opgesteld? Zorg er dan voor dat bij alle formulieren een link naar je privacyverklaring staat. Dit kan een tekst boven het formulier zijn (dit kun je zelf in het CMS verwerken) of een tekst met checkbox net boven de verzenden knop van het formulier. Daardoor ben je transparant over je gegevensverwerking en is je bezoeker hiervan op de hoogte.
Wij kunnen vanaf € 25,- excl. BTW per formulier een checkbox toevoegen met verwijzing naar je privacyverklaring.
Ja, voeg een checkbox toe aan mijn formulier(en)
4. Verwijder onnodige accounts
De AVG verplicht organisaties om alleen bevoegde medewerkers toegang tot persoonsgegevens te geven. Dit geldt uiteraard ook voor de toegang tot het CMS van je website. Ga dus na wie er kunnen inloggen in jouw website en verwijder gebruikers die geen toegang nodig hebben.
5. Vraag akkoord voor marketingcookies
Waarschijnlijk zal de huidige cookiewet in 2019 worden vervangen door de e-Privacyverordening (EPV). Handig om deze nieuwe regels meteen mee te nemen in je privacybeleid, want de EPV zal naast de AVG gelden. Er bestaan verschillende soorten cookies:
- Noodzakelijke cookies; deze helpen een website beter bruikbaar te maken, door basisfuncties als paginanavigatie en toegang tot beveiligde gedeelten van de website mogelijk te maken. Zonder deze cookies kan de website niet naar behoren werken.
- Voorkeurscookies; zorgen ervoor dat een website informatie kan onthouden die van invloed is op het gedrag en de vormgeving van de website, zoals de voorkeurstaal of de regio waar je woont.
- Statistische cookies; helpen eigenaren van websites begrijpen hoe bezoekers hun website gebruiken, door (anoniem) gegevens te verzamelen en te rapporteren.
- Marketingcookies; of tracking-cookies, worden gebruikt om bezoekers te volgen wanneer ze verschillende websites bezoeken. Hun doel is bijvoorbeeld advertenties weergeven die relevant zijn voor de individuele gebruiker. Deze advertenties worden zo waardevoller voor uitgevers en externe adverteerders.
Op dit moment mogen cookies zonder toestemming worden geplaatst als ze functioneel van aard zijn en geen of nauwelijks invloed hebben op de persoonlijke levenssfeer van de betrokkene. Ook in de nieuwe situatie hoeven je websitegebruikers géén toestemming te geven voor noodzakelijke en voorkeurscookies. Statistische cookies mag je toepassen, mits ze voor eigen gebruik zijn en niet gedeeld worden met derden. Gebruik je Google Analytics? Stel Google Analytics dan ‘privacyvriendelijk’ in.
Wat overblijft zijn de marketingcookies, denk aan Facebook Pixels, LinkedIn pixels, AdWords remarketing pixels, Share knoppen via AddThis. Voor het gebruik van deze cookies moet je bezoekers toestemming vragen. Vraag je websitebezoekers toestemming voor het plaatsen van deze marketingcookies met een verwijzing naar je cookieverklaring. Wij adviseren hiervoor het gebruik van de tool van Cookiebot die ook op onze eigen site is geïnstalleerd. Cookiebot werkt het best in combinatie met Google Tagmanager. Wij kunnen dat direct voor je in orde maken.
Wij kunnen Cookiebot aan je website toevoegen vanaf € 95,- excl. BTW m.u.v. de eventuele kosten voor Cookiebot.
Ja, voeg Cookiebot toe aan mijn website
6. Stel Google Analytics privacyvriendelijk in
Analytische cookies mag je zonder toestemming toepassen, mits ze voor eigen gebruik zijn en niet gedeeld worden met derden. Gebruik je Google Analytics, stel deze dan ‘privacyvriendelijk’ in. Lees in de handleiding van de Autoriteit Persoonsgegevens hoe dit werkt. Uiteraard kan Websteen dit ook voor je in orde maken.
Wordt er voor jouw website ook gebruikgemaakt van bijvoorbeeld Google Tagmanager, Google AdWords, Google Search Console, dan moet je hiervoor ook een bewerkersovereenkomst afsluiten.
Wij kunnen je helpen met het privacyvriendelijk instellen van Google producten vanaf € 25,- excl. BTW
Ja, help mij met het privacyvriendelijk instellen van Google producten
7. Heroverweeg je mailinglijst
Natuurlijk is het ook na 25 mei 2018 nog gewoon toegestaan om je klanten mails te sturen. Maar let op, want prospects en overige relaties mailen zonder confirmed opt-in toestemming mag volgens de AVG niet meer.
Stuur je nieuwsbrieven via MailChimp of een ander programma, dan mag je deze blijven versturen naar klanten die zich hebben ingeschreven, het is verstandig om hierbij met een dubbele opt-in te werken. Zij hebben zich aangemeld voor de nieuwsbrief, een automatische bevestigingsmail gekregen en deze inderdaad bevestigd. Aan klanten zonder (dubbele) opt-in zal een mail moeten worden gestuurd waarin je met een link wijst op de privacyverklaring en de vraag of ze de nieuwsbrief willen blijven ontvangen. Daarmee vraag je alsnog een (dubbele) opt-in, die je vervolgens registreert.
Als je met MailChimp werkt, check dan hoe zij organisaties helpen met de AVG op het blog van MailChimp.
8. Automatisch opschonen persoonsgegevens in CMS
Op de meeste websites worden de gegevens van alle ingevulde formulieren als back-up bewaard in het CMS, waarna ze zijn te exporteren naar Microsoft Excel. Wij hebben deze back-up toegevoegd aan het CMS omdat het wel eens fout gaat bij het afleveren van de formulieren via de website.
Nu het niet meer is toegestaan om “langer dan noodzakelijk voor het doel” gegevens te bewaren, kunnen wij een routine programmeren die deze gegevens automatisch na 1 of 2 maanden definitief verwijdert uit het CMS. Dit kan dan benoemd worden in de privacyverklaring.
Wij kunnen de persoonsgegevens automatisch opschonen vanaf € 45,- excl. BTW
Ja, help mij met het automatisch opschonen van persoonsgegevens
Wat moet er nog meer gebeuren?
Check bij het AVG-geschikt maken van je website ook meteen de andere processen binnen jouw organisatie . Volgens de AVG ben je bijvoorbeeld ook verplicht om:
- alle verwerkingen van persoonsgegevens in een register bij te houden (registerplicht);
- bij de ontwikkeling van producten en diensten voldoende rekening te houden met privacy (privacy by design);
- waar nodig te werken met een Data Protection Impact Assessment (DPIA);
- een medewerker aan te stellen voor de gegevensbescherming (geldt onder andere voor overheid, zorg en onderwijs);
- datalekken te registreren (ook als je deze niet bij de Autotiteit Persoonsgegevens hoeft te melden);
- verwerkersovereenkomsten te sluiten met de partijen met wie je samenwerkt.
Home Verwerkersovereenkomst