avg/gpdr

AVG / GPDR: deze aanpassingen aan je website zijn nodig

Je bent ongetwijfeld op de hoogte van de nieuwe privacywet: de zogeheten General Data Protection Regulation (GPDR). Of de Algemene Verordering Gegevensbescherming (AVG) in het Nederlands. Deze wet heeft ook consequenties voor je website. Wat moet je aanpassen aan je website om te voldoen aan de AVG-wetgeving?

Op 25 mei is het zover. Dan moet je bedrijf voldoen aan de nieuwe richtlijnen omtrent privacy. De wet moet ervoor zorgen dat onze privacy en persoonsgegevens worden beschermd. Dat is natuurlijk een mooie ontwikkeling, maar het vergt wel wat aanpassingen binnen je bedrijf of organisatie. Het heeft namelijk niet alleen invloed op hoe je persoonsgegevens verwerkt, maar ook op hoe je ze inzet voor en gebruikt in het kader van marketingcommunicatie.

De AVG gaat natuurlijk veel verder, maar in deze blog vertellen we waar je op moet letten met het oog op je website.

Pas je privacystatement aan

Bezoekers van je website moeten kunnen inzien wat je met hun persoonsgegevens doet. Plaats daarom een privacystatement op je website (als je die nog niet hebt). Heb je al een privacyverklaring? Pas deze dan aan, zodat hij voldoet aan de nieuwe eisen. In je privacystatement vertel je welke gegevens je verzamelt en waarvoor je ze gebruikt. Niet met moeilijke woorden en vage zinnen, maar gewoon in begrijpelijke taal.

In je privacyverklaring moet je in ieder geval deze onderwerpen opnemen:

  • Bedrijfsgegevens
  • Doeleinden (reden van de verwerking van de persoonsgegevens)
  • Persoonsgegevens (welke persoonsgegevens verwerk je)
  • Recht van toestemming
  • Recht op inzage, aanpassing en verwijdering
  • Beveiligingsmaatregelen
  • Cookies

Op de website van Frankwatching staat meer informatie over welke gegevens in je privacyverklaring moeten komen.

Stel een SSL-certificaat in (van http naar https)

Je bent verplicht om de pagina’s waarop je persoonsgegevens verzamelt op en top te beveiligen. Dit doe je met een SSL-certificaat (van http:// naar https://).

Heb je nog geen SSL-certificaat? Als wij je website hosten, pakken we dit direct voor je op. Host je je website bij een andere hostingpartij, laat dan zo snel mogelijk een SSL-certificaat instellen.

Let op
Heb je geen contactformulieren, maar gebruik je wel Google Analytics om het gedrag van je websitebezoeker te analyseren? Ook dan ben je verplicht om https in te stellen, aangezien je daarmee ip-adressen registreert. Meer hierover lees je verderop in deze blog.

Check je contact- en aanmeldformulieren

Schrijven mensen zich via je website in op bijvoorbeeld een training? Kopen ze producten via je webshop? Of worden er gegevens verstuurd via een contactformulier? In veel gevallen worden deze persoonsgegevens ook opgeslagen in het CMS van de website, in de database van bijvoorbeeld WordPress. Als dit zo is, moet je dit melden aan je bezoekers en moeten ze hiermee akkoord gaan.

Wat te doen? Voeg een checkbox toe aan je aanmeld- of contactformulier. Hiermee kunnen bezoekers een vinkje zetten waarmee ze aangeven akkoord te gaan met het privacybeleid.

Vraag jezelf bovendien altijd af of de gegevens die je opvraagt een doel dienen. Heb je geen geboortedatum nodig om iemand aan te kunnen melden voor een online cursus? Vraag dan ook niet om die informatie!

Maak van opt-ins actieve handelingen

Deze aanpassing sluit aan op het aanklikken van het vinkje zoals net is benoemd bij de contactformulieren. Op sommige websites worden bepaalde opties als ‘Ik meld me aan voor de nieuwsbrief’, ‘Houd me op de hoogte van aanbiedingen’ of ‘Ik ga akkoord met de algemene voorwaarden’ standaard al aangevinkt. Dit mag niet meer. Mensen moeten hier zelf bewust voor kiezen en dus zelf het vinkje aanklikken.

Dat betekent dus dat de checkbox niet meer automatisch aangevinkt mag zijn, maar dat er een actieve handeling nodig is van je websitebezoeker.

Stel wijzigingen in binnen Google Analytics

De meeste websites zijn gekoppeld aan het online statistiekenprogramma Google Analytics. Hiermee kun je het gedrag van je websitebezoekers analyseren.

Om AVG-proof te zijn, moet je een paar aanpassingen doen:

  • Sluit binnen jouw Google Analytics-account een Verwerkersovereenkomst af met Google
  • Sla IP-adressen anoniem op; het laatste deel van het IP-adres is dan niet meer zichtbaar
  • Deel geen gegevens meer met Google; in jouw account kun je instellen dat je Analytics gegevens niet meer deelt met Google, andere Google-producten, en technische ondersteuning

Belangrijk
Informeer je websitebezoeker hierover en vertel in je privacystatement hoe je gegevens via Google Analytics verwerkt. Geef bijvoorbeeld aan dat de gegevens anoniem worden verwerkt en niet worden gedeeld met anderen.

Meer weten over de aanpassingen aan je website?

Wil je meer informatie over welke stappen je moet zetten om je website AVG-proof of GPDR-proof te maken? We kunnen je hier uiteraard bij helpen. Neem hiervoor contact op met Manouk Jansen.