Website klaar voor de AVG

Is jullie website klaar voor de AVG?

De website is niet het eerste waar je aan denkt wanneer het gaat over de AVG. Maar toch zal ook de website aandacht moeten krijgen, als je wilt voldoen aan de nieuwe privacywetgeving.

Op je website verwerk je namelijk ook persoonsgegevens. Nou ja, niet iedereen, maar de meeste organisaties wel. Doe de test en kijk hoe vaak jouw antwoord op de volgende vragen ‘ja’ is.

  • Hebben jullie een contactformulier?
  • Kunnen mensen zich via de website aanmelden voor een activiteit of nieuwsbrief?
  • Kunnen bezoekers een reactie of recensie achterlaten?
  • Gebruik je Google Analytics (of een ander programma) om statistieken te bekijken?
  • Staat er een YouTube-filmpje op je website?
  • Zijn er knoppen waarmee bezoekers een pagina kunnen delen op Facebook?

Heb je één of meer vragen met ‘ja’ beantwoord? Dan verwerkt jullie website persoonsgegevens. Maar hoe dan?

Persoonsgegevens verwerken via de website

Als je een contactformulier hebt, dan vult een bezoeker daar zijn gegevens in. Het ‘systeem’ zorgt ervoor dat deze bij jullie in de mailbox belanden. Dat geldt voor alle formulieren op je website.

Google Analytics is slechts een van de vele programma’s waarmee je statistieken kunt bijhouden. Welke pagina’s goed bezocht worden, hoe lang iemand op je website blijft en hoe hij of zij daar gekomen is.

Om deze informatie te bepalen, wordt onder andere het IP-adres verwerkt. Een IP-adres kan herleid worden naar de computer, tablet of telefoon. En dus ook naar de bijbehorende persoon. Daarom is een IP-adres een persoonsgegeven.

Als je een YouTube-video op je website plaatst, dan verzamelt YouTube informatie als bezoekers de video bekijken.

Deelknoppen zijn knoppen waarmee bezoekers een artikel of pagina kunnen delen op Facebook, LinkedIn, Twitter of op welke andere manier dan ook. Hier zit ook een systeem achter dat de gegevens van deze bezoeker linkt aan zijn of haar sociale media profiel.

Welke gegevens verwerk je en heb je daar toestemming voor?

Als eerste moet je natuurlijk weten welke gegevens verwerkt worden. Bekijk welke formulieren er zijn en schrijf op welke gegevens je vraagt. Onderzoek ook of jullie statistieken bijhouden via Google Analytics of een ander programma.

Contact- en andere formulieren

Zorg dat je niet meer gegevens vraagt dan noodzakelijk (dataminimalisatie). Als iemand een informatieverzoek doet, heb je niet meer nodig dan de naam en een e-mailadres. Hooguit nog een telefoonnummer als je die persoon wilt bellen. Maar zeker geen adresgegevens, leeftijd of geslacht.

Als je een aanmeldformulier voor een nieuwsbrief op je website hebt, dan is het extra belangrijk dat mensen actief toestemming geven. Ze moeten ook precies weten waarvoor ze toestemming geven. Vermeld dat bij het formulier. Een vooraf aangevinkt vakje mag sowieso niet meer.

Statistieken bijhouden

Probeer erachter te komen welke statistieken jullie bijhouden en welke informatie wordt vastgelegd. Vaak zijn dat zaken als IP-adres, locatie, besturingssysteem. Voor sommige informatie heb je actief toestemming nodig.

Je mag wél zonder toestemming statistieken bijhouden via Google Analytics, als je de gegevens deels anoniem maakt (pseudonimiseren). De Autoriteit Persoonsgegevens heeft een handleiding over de instellingen van Google Analytics gemaakt.

Deelknoppen voor social media + YouTube

Als er deelknoppen op jullie website zijn, dan gebruiken jullie tracking cookies. Dat zijn kleine bestandjes die na een bezoek aan de website achtergelaten worden op de computer.

Er zijn verschillende soorten cookies en tracking cookies kunnen een bezoeker volgen van de ene website (die van jullie) naar de volgende (Facebook of ander social media platform). En om dat te mogen, heb je toestemming nodig.

Dat geldt ook voor YouTube-video’s. YouTube verzamelt namelijk informatie over jouw bezoekers als ze de video bekijken.

Toestemming vraag je via een cookie banner. Dat is zo’n balk die je vaak onderaan websites ziet.

Je bezoeker informeren door een privacyverklaring

Een belangrijke eis van de AVG is dat je mensen informeert over het gebruik van hun gegevens. Je bent verplicht om bezoekers van de website te vertellen hoe je hun gegevens verwerkt.

Dat kan via een privacyverklaring. In de privacyverklaring vertel je welke gegevens je gebruikt, voor welk doeleinde en met welke partijen je de gegevens deelt. Bijvoorbeeld: je hostingbedrijf, Google Analytics, Mailchimp, YouTube of Facebook.

In de privacyverklaring vertel je ook hoe lang gegevens bewaard worden en laat weten welke rechten bezoeker hebben. Ze hebben het recht om hun gegevens in te zien, te laten wijzigen en te laten verwijderen. Ze hebben ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

De privacyverklaring moet vanaf elke pagina op de website zichtbaar zijn. Daarom wordt hij meestal in de balk aan de onderkant geplaatst. Deze balk wordt door websitebouwers ‘footer’ genoemd.

Verwerkersovereenkomsten afsluiten

Als je op de website gegevens verwerkt, dan deel je deze bijna automatisch met derden. Zij verwerken de gegevens in opdracht van jou. Dat is iets waar niet veel mensen bij stilstaan.

Met deze partijen moet je een verwerkersovereenkomst afsluiten. Bij Google Analytics doe je dat door akkoord te gaan met de overeenkomst (dat staat ook in de handleiding die ik eerder noemde). Voor Mailchimp, een nieuwsbriefprogramma kun je deze link naar de verwerkersovereenkomst gebruiken.

Waarschijnlijk zul je er meer nodig hebben. Vaak is op de website wel iets erover te vinden en anders kun je een mail sturen. De nieuwe privacywet is ook buiten Europa onderwerp van gesprek.

Tip: Wil je iets navragen bij een buitenlandse leverancier, gebruik dan de Engelse taal. Vraag naar een Data Processing Agreement (DPA) en gebruik de Engelse term GDPR in plaats van AVG. Deze termen zijn ook handig om te gebruiken in een zoekopdracht.

Verder moet je ook met je websiteontwikkelaar en de partij waar je website gehost wordt een verwerkersovereenkomst afsluiten.

En hoe staat het met jullie website?

Ik ben eigenlijk wel benieuwd of jullie al met de website aan de slag gegaan zijn? Is er al een privacyverklaring of cookiebanner?

Als je dit onderdeel ingewikkeld vind, is de nieuwe online cursus ‘AVG in de praktijk’ misschien interessant voor je. Hierin gaan we, naast veel andere dingen, ook deze onderwerpen langs. Je krijgt een e-mailsjabloon met de juiste vragen voor je websiteontwikkelaar en zelfs een Engelstalige e-mail die je kunt gebruiken om navraag te doen bij buitenlandse partijen.

De hele maand april kun je de cursus bestellen tegen een verlaagd tarief van € 79 in plaats van € 115.

Klik op de knop hieronder om alles te lezen over de online cursus.

De foto bij dit artikel is van John Schnobrich op Unsplash
0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *