Search
Exact matches only
Search in title
Search in content
Search in excerpt
Search in comments
Filter by Custom Post Type

Ben jij al GDPR ready?

22 mei. 2018 / Bob Heinen / Development / 12 min.

Je hebt er wellicht al iets over gehoord: de Europese privacyverordening ‘GDPR’ (in Nederland wordt ook de term AVG gebruikt). Maar wat is het precies? Waarom is dit voor mij belangrijk? Hoe ga ik ermee te maken hebben?

Voorbereiden op de GDPR

Dit is het tweede blog in een drieluik over AVG, waarin we onze klanten meenemen in het proces om een website te laten voldoen aan de regels omtrent AVG. Blog 1 vind je hier!

Let op: we zijn geen juristen! Deze reeks blogs en alle verwijzingen die we doen, zijn niet door een jurist bekeken. Er kunnen dus geen rechten aan worden ontleend!

De Autoriteit Persoonsgegevens hanteert een 10-stappenplan om je goed voor te bereiden op de nieuwe regelgeving omtrent GDPR. (Bron: APG) De eerste drie stappen behandel ik in mijn eerste blog. Stap 4 slaan we over, omdat dit voor het overgrote deel van de organisaties in Nederland niet zal gelden. De focus van dit artikel zal liggen op het geven van handvaten voor de implementatie van de AVG-wetgeving op jouw website.

  1. Bewustwording
    Zorg ervoor dat de relevante mensen in jouw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Dat doe je onder andere door jouw collega’s onze blogs over GDPR te laten lezen!
  2. Rechten van betrokkenen
    Onder de AVG krijgen betrokkenen (de mensen van wie je persoonsgegevens verwerkt) meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen door ze daarover goed te informeren (door middel van bijvoorbeeld een privacy statement.
  3. Overzicht verwerkingen
    Breng jouw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens je verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.
  4. Data protection impact assessment (DPIA)
    U moet een DPIA uitvoeren als jouw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
  5. Privacy by design & privacy by default
    Maak jouw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe je deze beginselen binnen jouw organisatie kunt invoeren. Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat je niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat je de gegevens niet langer bewaart dan nodig. Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.
  6. Functionaris voor de gegevensbescherming
    Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking aan te stellen.
  7. Meldplicht datalekken
    U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of je aan de meldplicht heeft voldaan. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
  8. Verwerkersovereenkomsten
    Beoordeel of de overeengekomen maatregelen in bestaande contracten met jouw bewerkers nog steeds toereikend zijn. Zijn bijvoorbeeld zaken als geheimhouding, instructies voor verwerking en beveiliging goed geregeld tussen jouw organisatie en de verwerker van gegevens?
  9. Leidende toezichthouder
    Heeft jouw organisatie vestigingen in meerdere EU-lidstaten? Of hebben jouw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft je onder de AVG nog maar met één privacytoezichthouder zaken te doen.
  10. Toestemming
    Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Nieuw is dat je moet kunnen aantonen dat je geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

De eerste drie stappen behandel ik in mijn eerste blog. Stap 4 slaan we over, omdat dit voor het overgrote deel van de organisaties in Nederland niet zal gelden. De focus van dit artikel zal liggen op het geven van handvaten voor de implementatie van de AVG-wetgeving op jouw website en de punten 5, 8 en 10.

 

Privacy by design & privacy by default

Het is belangrijk dat je alle facetten van het verzamelen van persoonsgegevens op een goede manier hebt geregeld. Daarbij zijn twee principes belangrijk: Privacy by design en privacy by default. Uit de website van Autoriteit Persoonsgegevens:

Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat je niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. En dat je de gegevens niet langer bewaart dan nodig.

Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. “

Dat klinkt vrij logisch, maar vaak wordt er naar veel meer gegevens gevraagd. Bijvoorbeeld: voor een inschrijving van een nieuwsbrief wordt naast een e-mailadres ook geslacht en voor- en achternaam gevraagd. Zijn die gegevens noodzakelijk voor het versturen van een nieuwsbrief? Waarschijnlijk niet. Je kan beargumenteren dat je jouw prospect op een correcte manier wil aanspreken in de nieuwsbrief, maar heb je dan ook geslacht en achternaam nodig?

Datzelfde geldt bijvoorbeeld voor een webshop die naast de adresgegevens van een klant ook de geboortedatum (in geval van minimumleeftijd van een product), KvK-nummer en telefoonnummer vereist. Het kan zijn dat deze gegevens kritiek zijn voor het bestel- en verzendproces. Maar is een geboortedatum dat ook nadat de producten zijn verzonden? En hoelang dient dat bewaard te blijven?

Documenteer daarom voor elke datastroom welke gegevens worden verwerkt, en waarom deze data voor jouw organisatie of proces noodzakelijk is.

 

Concreet: je website GDPR-ready maken

Er zijn een aantal delen van je website die aandacht verdienen. Dat zijn alle onderdelen die te maken hebben met gegevens van de bezoekers van je website: formulieren, databases, privacy statements en dergelijke. De belangrijkste en meest voorkomende onderdelen behandel ik. Mis je in onderstaande lijst onderdelen die op jouw website ook aan de AVG-regels moeten voldoen? Stuur me een mailtje!

 

Persoonsgegevens vastleggen en verzamelen

Op verschillende plekken op je website worden potentieel persoonsgegevens vastgelegd. Dat kan verschillende vormen hebben. Een eenvoudige reactie op een bericht kan al persoonsgegevens bevatten. Duidelijkere voorbeelden van het vastleggen van persoonsgegevens zijn bijvoorbeeld het betaalformulier van een webshop of een contactformulier.

Formulieren

Bijna elke website heeft een contactformulier. Waarschijnlijk heeft jouw site er zelfs meerdere: een algemeen contactformulier, een inschrijfformulier voor een nieuwsbrief (bijvoorbeeld gekoppeld aan Mailchimp) en een bestelformulier (al dan niet binnen een webshop).

Deze formulieren zullen allen moeten voldoen aan de regels omtrent AVG. Die regels zijn in grote lijnen:

  • Vraag toestemming voor het verwerken van gegevens (door middel van een checkbox) en sla dit op, op dezelfde plaats als je de gegevens opslaat;
  • Vraag toestemming voor het delen van gegevens met derden (door middel van een checkbox) en sla dit op;
  • Verzamel een opt-in (voor nieuwsbrieven) en sla dit op;
  • Vraag enkel noodzakelijke gegevens;
  • Sla gegevens niet op in systemen waar het niet nodig is;
  • Anonimiseer gegevens waar nodig (denk aan sterk privacy-gevoelige data)

Reacties

Sta je reacties op blogs en andere artikelen toe op jouw website? Vraag dan specifiek toestemming voor het opslaan van het bericht gekoppeld aan het e-mailadres van de reageerder. Vermeld daarbij ook of je data deelt met derden en welke.

Webshop

Heb je een webshop? Dan is het wellicht ook nodig om toestemming te vragen aan je klanten om informatie te verwerken voor het verzenden van orders en het opslaan van gegevens in jouw CRM-systeem. Noem ook eventuele derden waarmee je gegevens deelt. Te denken valt aan dropshipping partijen, fulfillment-partij of bijvoorbeeld PostNL.

Vergeet uiteraard niet de standaard privacy policy opt-in die je natuurlijk al gebruikt.

Forum

Een forum kan een grote hoeveelheid persoonlijke data bevatten. Het is dus het overwegen waard om bij elke reactiemogelijkheid een toestemming te vragen voor het verwerken van de data die op dat moment wordt gedeeld door de gebruiker. Let op dat deze checkbox niet standaard ingevuld wordt.

Chat

Voor chatberichten geldt dat een gebruiker ook toestemming moet geven voor het verwerken van de chat-data, persoonlijke informatie en berichten. Daarbij kan het zijn dat je die chatberichten wil bewaren en de data met sales wil delen. In dat geval is het goed om de gebruiker ook daarvoor toestemming te laten geven. Dat kan met een knop voor akkoord, of met een checkboxje. De exacte implementatie daarvan verschilt per chat-aanbieder.

Noem daarnaast hoe lang je chat-berichten bewaart. Doe je dat niet langer dan 24 uur, dan kan je die optie wellicht achterwege laten. Je vraagt uiteraard wel toestemming indien je data met derden deelt.

Cookies

Bijna elke website maakt gebruik van cookies. Voor veel functionaliteiten worden deze tekstbestandjes gebruikt. Er wordt onderscheid gemaakt tussen drie typen cookies:

Functionele cookies

Functionele cookies zijn alle cookies die nodig zijn om een website te laten werken. Denk daarbij aan cookies die worden gebruikt om een bezoeker van je website in te kunnen laten loggen (en eventueel ingelogd te laten blijven) en cookies om een winkelmand-functionaliteit mogelijk te maken. Deze cookies zijn nodig voor het correct functioneren van je website en vallen niet onder het plicht om toestemming voor te vragen.

Analytische cookies

Analytische cookies worden vooral door diensten als Google Analytics, Piwik Analytics, Hotjar en dergelijke gebruikt. Ze maken het mogelijk om (anoniem) website-gebruik te analyseren. Ook voor deze cookies hoef je geen toestemming te vragen, mits de diensten voldoen aan een aantal voorwaarden:

  • Gegegens worden geanonimiseerd verzameld;
  • Google Analytics is privacyvriendelijk ingesteld (pdf);
  • Analytische cookies worden toegepast puur voor eigen gebruik en niet met derden gedeeld;
  • De internetgebruiker toestemming heeft gegeven in de browserinstellingen

Het is belangrijk om een bewerkersovereenkomst met Google Analytics te sluiten. Deze – en alle andere benodigde – maatregelen vind je in de pdf waarnaar hierboven wordt gelinkt.

Tracking-cookies

Tracking-cookies zijn over het algemeen cookies die worden gebruikt om jouw gedrag over meerdere websites te volgen (tracken). Met die informatie kan dan een aanbieding worden gedaan in de vorm van een banner of advertentie. Bekende varianten zijn de remarketing-tags van Google Adwords en Facebook, maar ook cookies van derden vallen daaronder.

Voor het bijhouden van deze gegevens (en dus het plaatsen van deze cookies) is uitdrukkelijke toestemming nodig van een bezoeker. Het is dus niet voldoende om die toestemming enkel in de algemene voorwaarden of cookie-voorwaarden te regelen. Enkel nadat de gebruiker toestemming heeft gegeven, mogen de cookies worden geplaatst.

De cookie-melding

Onder de nieuwe wetgeving zal expliciet toestemming moeten worden gegeven door middel van een duidelijke actieve handeling, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt.

Dat klinkt allemaal vrij logisch, maar het betekent onder andere dat je niet standaard cookies mag laten accepteren, en daarna een ‘opt-out’ mag vragen. Dus, zodra een bezoeker niet expliciet toestemming heeft gegeven (door een actieve handeling), mag een cookie niet worden geplaatst.

Verder betekent het dat voor elk doeleinde apart toestemming moet worden gegeven. Dat kan door meerdere acties te vragen, of door met vinkjes of keuzevakjes een gebruiker te vragen welke cookies mogen worden geplaatst.

Verder geldt dat een gebruiker te allen tijde de eerder gegeven toestemming moet kunnen intrekken. Dat moet op dezelfde manier en even eenvoudig mogelijk zijn als toestemming is gegeven. Dus: vraag je in de onderkant van je pagina om een opt-in, dan zal je op die plaats ook een ‘opt-out’-knop moeten tonen.

Cookiewall verboden!

Om ervoor te zorgen dat de toestemming vrijelijk kan worden gegeven, mag het niet geven van toestemming geen gevolgen hebben voor de betrokkene. Dit betekent dat bezoekers alsnog gebruik moeten kunnen maken van de website (weliswaar met beperkingen), ook al hebben zij geen toestemming gegeven voor cookies.

Dat betekent dus dat het gebruik van een cookiewall (een ‘muur’ voor je website waardoor een bezoeker verplicht alle cookies moet accepteren alvorens toegang te krijgen tot de pagina) niet meer toegestaan is.

Cookie-melding en cookieverklaring

Er bestaan twee (toegestane) manieren van cookiemeldingen. Indien je enkel functionele en analytische cookies plaatst die aan de hierboven genoemde regels voldoen, heb je voldoende aan een aankondigende cookiemelding. Een dergelijke melding is informatief van aard en het sluiten van de melding verandert niets in de werking van de site of de werking van cookies.

Een melding die toestemming vraagt voor overige cookies, zal uitgebreider moeten zijn. Ze zal in ieder geval moeten tonen waar cookies in grote lijnen voor worden gebruikt. Ook hier is het goed om naar de cookieverklaring te verwijzen voor een uitgebreider overzicht van alle cookies die op de website staan. Een goed voorbeeld is de tool van cookiebot.com:

Een cookieverklaring is een goede en verplichte manier om duidelijk te maken welke cookies op een website worden gebruikt en wat het doel is van elke individuele cookie en welke informatie ze bevatten. Neem in deze cookieverklaring ook een onderdeel op waarin je uitgebreid uitlegt op welke manier een bezoeker zijn cookies voor jouw website kan verwijderen. Enkele partijen hebben al een dergelijke cookieverklaring opgesteld. Goede voorbeelden zijn de ANWB (https://www.anwb.nl/cookies) en Webpower (https://webpower.nl/cookiebeleid-van-webpower/).

Let op: kopieer niet zomaar een cookieverklaring die je ergens hebt gevonden! Er hangen nogal wat wetten aan een cookieverklaring, dus stel een dergelijke verklaring secuur op. Zoek zo nodig een partij die een cookieverklaring met je kan opstellen.

 

Verwerkersovereenkomst met leveranciers van (data-)diensten

Hoe hebben jouw leveranciers GDPR geregeld? Dat kan onduidelijk zijn. De wet vereist dat je met de verwerkers van jouw data een overeenkomst afsluit. In die overeenkomst leg je vast welke afspraken gelden over de data die jij op de systemen van jouw leveranciers opslaat. Bijvoorbeeld: wat kan jouw leverancier met jouw data? Kan het de data analyseren (al dan niet voor eigen gebruik)? Is de beveiliging van een voldoende niveau?

De plicht om met jouw leveranciers een dergelijke verwerkersovereenkomst af te sluiten ligt bij beide partijen! Immers, jij plaatst data van jouw werknemers, website bezoekers, klanten en leads bij een externe partij, maar die partij beheert jouw data. Wanneer je bijvoorbeeld je personeelsadministratie uitbesteedt, dan ben jij de verwerkingsverantwoordelijke en degene aan wie je het uitbesteedt is de verwerker. In dat geval ben je verplicht een verwerkersovereenkomst aan te bieden en te zorgen dat alle daarin opgenomen regels worden nageleefd.

Laat je software op jouw eigen server of pc installeren waarmee persoonsgegevens zullen worden verwerkt, dan is hierbij niet direct een verwerkersovereenkomst vereist, tenzij de software extern wordt beheerd en niet binnen een eigen ICT-omgeving. Geef je als organisatie je medewerkers de mogelijkheid om met de trein te komen, dan hoef je als werkgever geen verwerkersovereenkomst af te sluiten met de NS omdat de NS zelf verwerkingsverantwoordelijke is. De NS bepaalt namelijk zelf welke doelen en middelen zij daarvoor inzet.

 

Vergeet-mij-welletje!

De belangrijkste reden voor het ontstaan van de nieuwe AVG wetgeving is om individuen meer rechten te geven wat er met hun persoonlijke gegevens gebeurt. Een belangrijk onderdeel daarvan is het recht om vergeten te worden. Concreet betekent dit dat een individu een organisatie kan vragen welke gegevens het van hem of haar heeft verzameld en kan eisen om die gegevens te verwijderen.

Je zal dus bezoekers van je website een mogelijkheid moeten bieden om contact op te nemen en om deze verzoeken te verwerken. Dat kan met een eenvoudig formulier, of zelfs met een telefoonnummer.

Let op: wees er zeker van dat de aanvrager van de gegevens ook degene is waarop de gegevens betrekking hebben. Doe je dat niet, dan ben je uiteraard in overtreding. Immers, je volgt dan niet de regels van de AVG. Je kan dat bijvoorbeeld doen door de aanvrager zich te laten identificeren.

Verder is het zo dat niet alle gegevens hoeven te worden verwijderd. Zo verplicht de Belastingdienst je bijvoorbeeld om je boekhouding voor 7 jaar te bewaren. Die gegevens hoef je dus niet te verwijderen. Datzelfde kan gelden voor gegevens van garantiebepalingen, werknemers, schuldenaars en dergelijke.

 

Bonus tip: Clean desk & clean desktop

Een uitsmijter die niet met je website te maken heeft maar wel een goede policy is: hou zowel je bureau alsook het bureaublad van je computer schoon. Lijsten die worden gebruikt voor het uitvoeren van een specifieke taak voor het verwerken van die gegevens zullen direct na het voltooien van die taak moeten worden vernietigd. Heb je nog (oude) adressenbestanden of andere privacy-gevoelige documenten in een kast of mapje op je computer staan? Vernietig ze zoveel mogelijk!

Dat zorgt ervoor dat je geen privacy-gevoelige informatie laat slingeren (op papier of in een Excel-bestandje). Formaliseer en documenteer dat beleid ook, zodat je jezelf en je werknemers erop kan wijzen en aan kan houden.

 

Termen

Opt-in

De regels voor het vragen van een opt-in veranderen niet veel. Een opt-in moet net als in de oude wetgeving voldoen aan de volgende eisen:

  • Specifiek: welke informatie mag gestuurd worden.
  • Vrij: geen vooraf aangevinkte vakjes, niet in de algemene voorwaarden.
  • Op informatie berustend: type en frequentie van de e-mail aangeven.
  • Ondubbelzinnig: je moet kunnen bewijzen dat de toestemming op een juiste manier is gegeven.

De eis van ondubbelzinnigheid is nieuw. Dat betekent een verzwaring van de bewijslast en daarmee van de manier waarop de opt-in vastgelegd wordt.

Je moet als organisatie kunnen bewijzen:

  • dat de toestemming daadwerkelijk gegeven is;
  • dat de toestemming op een vrije manier gegeven is;
  • voor het toesturen van welk soort informatie de toestemming gegeven is;
  • dat de tekst bij het geven van de toestemming voldoende informatie bevat.

Dit zijn dan ook de elementen die vastgelegd moeten worden als een prospect of andere geïnteresseerde een opt-in voor e-mail geeft. Belangrijk is dat je voor 25 mei 2018 nagaat of in jouw organisatie de opt-in registratie aan deze eisen voldoet. (Bron: Qamel)

Ben je benieuwd of Stuurlui jou kan helpen?

Thomas Kroese

Founding partner & business development
Een fullservice WordPress bureau in Utrecht
Een fullservice WordPress bureau in Utrecht

Ahoy…

Wij zijn Stuurlui. Een fullservice WordPress bureau in Utrecht. Wij ontwerpen, bouwen en onderhouden maatwerk WordPress websites. Stuurlui bestaat uit een ervaren team van 16 bemanningsleden. We zijn klein genoeg om snel te schakelen en groot genoeg om specialisten op ieder gebied in huis te hebben.

Ons werk

Search
Exact matches only
Search in title
Search in content
Search in excerpt
Search in comments
Filter by Custom Post Type

Bezoek ons

Campus Werkspoor
Nijverheidsweg 16
3534 AM, Utrecht