Search
Exact matches only
Search in title
Search in content
Search in excerpt
Search in comments
Filter by Custom Post Type

Je website compliant maken: hoe kan Stuurlui je helpen?

GDPR Deel III

12 jul. 2018 / Stuurlui Fullservice WordPress Bureau / Development / 12

Dit is het derde blog in een drieluik over AVG, waarin we onze klanten meenemen in het proces om een website te laten voldoen aan de regels omtrent AVG. In blog 1 vragen we je of je op de hoogte bent van de nieuwe regels. Dat gaat over GDPR in zijn algemeenheid en niet specifiek over jouw website. In blog 2 zetten we uiteen welke elementen van jouw website jouw aandacht verdienen wanneer je GDPR wil gaan implementeren.

Voorbereiden op de GDPR

Je hebt er wellicht al iets over gehoord: de Europese privacyverordening ‘GDPR’ (in Nederland wordt ook de term AVG gebruikt). Maar wat is het precies? Waarom is dit voor mij belangrijk? Hoe ga ik ermee te maken hebben? En: hoe kan Stuurlui me helpen bij het implementeren van de wetgeving in mijn website?

Let op: we zijn geen juristen! Deze reeks blogs en alle verwijzingen die we doen, zijn niet door een jurist bekeken. Er kunnen dus geen rechten aan worden ontleend!

Jouw website is niet enkel een bron van informatie voor klanten, prospects en andere bezoekers, maar ook een platform waar informatie wordt verzameld. Dat kan door derde partijen (bijvoorbeeld adverteerders waarmee je samenwerkt en profielen opbouwt of analysetools) maar ook door jezelf (bijvoorbeeld door een chatfunctie of formulieren op je website).

In deze blog leggen we de focus op jouw website. Heb je vragen omtrent jouw online marketing-activiteiten en de mate waarin die implementaties en platformen ook voldoen aan de regels omtrent GDPR? Kijk dan uit naar ons bonus-blog, dat we samen met onze vrienden van Kick Digital gaan schrijven.

Om je website GDPR compliant te maken is het belangrijk om verwerkersovereenkomsten af te spreken met de bedrijven waar je mee samenwerkt. Daarnaast moeten formulieren, cookies en externe tools op orde zijn zodat je niet teveel data verzamelt waar je geen toestemming voor hebt of geen gerechtvaardigd belang voor hebt. Let er verder op dat je privacy en cookie statement door een jurist zijn gecontroleerd.

Verder noemen we hieronder kort het verwerkingsregister. Dat is een overzicht van alle persoonsgegevens die je verwerkt. Hier gaan we niet uitgebreid op in, maar het is wel een belangrijke eerste stap om een goed overzicht te krijgen waar welke data wordt verzameld en verwerkt.

 

Verwerkersovereenkomst

Een verwerkersovereenkomst is een afspraak tussen twee partijen die beiden persoonsgegevens verwerken. De ene partij is doorgaans verantwoordelijk voor die data (de verwerkersverantwoordelijke), de andere slaat bijvoorbeeld gegevens op of analyseert gegevens (de verwerker). Het opstellen van een verwerkersovereenkomst is in die samenwerking aan te raden om verantwoordelijkheden, rechten en andere afspraken omtrent gebruik van die gegevens vast te leggen.

De eerste stap is om goed te kijken naar de partijen die toegang hebben tot persoonsgegevens die binnen jouw website worden verzameld en verwerkt (dat kunnen dus ook externe tools als MailChimp of een chatfunctie zijn). Maak een inventarisatie van elke partij en de gegevens die ze verwerken. Sluit ook een verwerkersovereenkomst af met elke partij. Stuurlui is druk bezig met het opstellen van een verwerkersovereenkomst. Binnenkort (maar zeker voor 25 mei) vragen we onze klanten om deze verwerkersovereenkomst met ons aan te gaan.

Zorg er verder voor dat alle partijen, maar zeker ook jouw organisatie goed met deze persoonsgegevens omgaan. Je zal je er dus van moeten verzekeren dat:

  • de beveiliging van opslag en verwerking van data ‘op een voldoende niveau’ is. Dat is een weinig specifieke omschrijving, maar het is belangrijk om je best te doen om die data niet in verkeerde handen te laten vallen. Bijvoorbeeld een Excel-bestandje met patiëntengegevens die naar een groep patiënten wordt verstuurd of dat cv’s publiekelijk vindbaar zijn via Google. Dat geldt voor alle verwerkers.
  • er toestemming is om data te verwerken. Dat kan via een gerechtvaardigd belang, of via een wettelijke bepaling, maar ook door toestemming te vragen van de betrokken persoon. Dat geldt voor alle persoonsgegevens.

 

Formulieren

Wanneer je inzichtelijk hebt welke partijen data van bezoekers of klanten verwerken, is het goed om alle formulieren op je website te analyseren. Daarbij is het uitgangspunt van ‘privacy by design’ belangrijk: verzamel niet meer gegevens dan je nodig hebt voor het doel van een formulier.

Ook hiervoor is het zinvol om een overzicht te maken, waarbij je voor elk formulier de volgende zaken inventariseert en opschrijft:

  • Welk doel (of welke doelen) heeft een formulier? En vraag ik toestemming (een zogenaamde opt-in) voor elk van die doelen? Een contactformulier waarbij je bijvoorbeeld ook in de toekomst een nieuwsbrief aan de contactpersoon wil versturen en updates over een evenement, zal dus toestemming moeten vragen voor:
    • het verwerken van gegevens voor contact
    • het sturen van een nieuwsbrief
    • het updaten van de contactpersoon over nieuws omtrent het evenement
  • Is alle data die je vraagt, noodzakelijk voor het doel van het formulier? Indien bepaalde gegevens niet nodig zijn, verwerk ze dan niet in het formulier. Voor een nieuwsbrief-inschrijving is het bijvoorbeeld logisch dat je een e-mailadres en (voor)naam vraagt. Maar volledige NAW-gegevens of een telefoonnummer zijn daar niet nodig.
  • Moet de data worden opgeslagen, en zo ja, waar? Welke gegevens kan je bijvoorbeeld anonimiseren of verwijderen? Indien je data op meerdere plaatsen opslaat, op welke plek sla je welke gegevens op?
  • Vraag je om extra privacy-gevoelige data (bijvoorbeeld bij een sollicitatieformulier)? Wees dan extra kritisch bij het opslaan van gegevens

We helpen je graag bij het analyseren en instellen van formulieren op je website. Een analyse van de website zal daar altijd aan vooraf gaan. Een traject voor het instellen van formulieren om ze te laten aansluiten aan jouw GDPR policy, ziet er ruwweg als volgt uit:

  1. We maken (samen met jou) een analyse van alle formulieren
  2. We lopen alle velden van elk formulier door. Welke velden zijn nodig? Welke kunnen weg?
  3. Velden van formulieren worden waar nodig aangepast
  4. De manier waarop formulieren worden opgeslagen wordt waar nodig aangepast
  5. Formulier voor het ‘recht om vergeten te worden’ wordt gebouwd
  6. We testen de gemaakte wijzigingen, zowel functioneel, technisch als responsive

 

Webshops

Voor webshops geldt deels hetzelfde als voor formulieren: bekijk goed welke data je vraagt aan klanten, welke data je opslaat, en hoe lang je deze gegevens in welke systemen opslaat.

De complicerende factor voor webshops die gebouwd zijn in Woocommerce is dat deze veelal gebouwd zijn op een standaard manier. Dat kan de manier zijn die door een thema wordt aangeleverd, maar ook op de standaard WooCommerce-werkwijze. Het kan daarbij technisch uitdagend zijn om het bestelproces zo in te richten dat daarin op een efficiënte manier de minimale gegevens worden gevraagd, dat die data niet onnodig wordt bewaard en dat opt-ins goed worden geregistreerd.

Het technisch GDPR compliant maken van je webshop is een maatwerk traject. Heb je een webshop en wil je weten wat de mogelijkheden en bijkomende kosten zijn? Neem dan contact met ons op.

 

Cookies

Cookies zijn kleine tekstbestandjes die door jouw website en externe partijen die actief zijn op je website worden geplaatst. Ze hebben de laatste tijd een nogal negatief imago gekregen. In principe zijn cookies niet schadelijk. Ze zijn zelfs erg nuttig voor een groot aantal zaken. Wanneer je bijvoorbeeld inlogt in jouw WordPress-website, worden cookies geplaatst en gebruikt om je ingelogd te houden. Ook voor andere zaken worden cookies gebruikt, bijvoorbeeld om te onthouden in welke taal je een website bekijkt of welke artikelen je in een winkelwagentje hebt geplaatst. Dat zijn zogenaamde noodzakelijke cookies, die voor de werking van een website nodig zijn.

Daarnaast wordt mogelijk een aantal andere typen cookies geplaatst. Lees meer daarover in ons vorige blog.

De wetgeving omtrent GDPR stelt een aantal eisen aan het plaatsen van cookies, het vragen van toestemming daarvoor en de manier waarop een bezoeker zeggenschap heeft over de plaatsing van cookies. Let daarbij op het volgende:

  • Bekijk welke cookies van welke tools er worden gebruikt en maak daarvan een overzicht in je cookie statement / privacy statement. Een goed voorbeeld is onze cookie statement
  • Het is goed om je bezoekers op de hoogte te stellen dat je cookies plaatst. Link daarbij direct ook naar je cookie statement en privacy statement. Geef daarbij duidelijk aan welk type cookie je plaatst.
  • Gebruik je andere cookies dan noodzakelijke cookies? Dan is het vragen van toestemming daarvoor verplicht vóórdat je ze plaatst.
  • Voor cookies geldt, in vergelijkbare mate als bij het verzamelen van gegevens, dat een gebruiker van jouw website het recht heeft om niet gevolgd te worden door cookies. Je moet dus een mogelijkheid bieden voor gebruikers om toestemming in te trekken of aan te passen.

We helpen je graag bij het analyseren en instellen van maatregelen om je cookiebeleid op orde te brengen. Een analyse van de website zal daar altijd aan vooraf gaan. Een traject voor het instellen van deze maatregelen en om ze te laten aansluiten aan jouw GDPR policy, ziet er ruwweg als volgt uit:

  1. We maken een analyse van alle cookies die momenteel op de website geplaatst worden. Dit is onder andere input voor de cookie statement
  2. We maken onderscheid in analytisch/functioneel en marketing cookies
    • Functioneel + Analytisch >
      • Mogen standaard worden geplaatst, behalve wanneer geen toestemming wordt ingetrokken of niet wordt verleend
      • Cookie-melding plaatsen en linken naar cookie statement + privacy statement
      • Cookie overzicht in cookie statement
    • Marketing
      • Worden pas geplaatst NA akkoord cookiemelding
      • Er wordt een uitdrukkelijke toestemming gevraagd in de cookie-melding
      • Je levert een document aan waarom elke cookie wordt geplaatst (wat is het doel van deze cookie / dit platform)
  3. Implementatie cookiesoftware op website
  4. Pagina’s maken voor cookiemelding en privacy statement
  5. We lopen de instellingen van Google Analytics na
  6. GTM koppelen aan cookiemelding tool en GTM status laten checken van cookie akkoord. OF functie schrijven om losstaande tags in de header PHP van de site als er niet met GTM gewerkt wordt.
  7. We testen de gemaakte wijzigingen, zowel functioneel, technisch als responsive
  8. Cookie statement en privacy statement plaatsen. De inhoud van die statements wordt door jou aangeleverd, en we raden daarbij aan om een jurist in te schakelen om die teksten te controleren.

 

Externe tools

Dan zijn er wellicht nog externe tools die aan jouw website of formulieren zijn gekoppeld, en die gegevens verwerken. Buiten de tools die we hierboven noemen (Google Analytics en Google Tag Manager) zal je moeten inventariseren welke tools je gebruikt, welke data ze verzamelen en waarom. Dit is iets wat je zelf zult moeten doen, maar houd ons betrokken bij die inventarisatie. Het kan namelijk zo zijn dat er een koppeling aangepast moet worden of dat data al extern wordt opgeslagen en dus niet meer in de site opgeslagen hoeft te worden. Wij kunnen je helpen met deze wijzigingen.

 

En nu? Zelf aan de slag!

We gaven in de voorgaande tekst aan welke stappen er volgens ons moeten worden genomen om jouw website te helpen GDPR compliant te maken. Maar jij hebt zelf ook wat werk te doen! Het stappenplan ziet er ongeveer als volgt uit:

  1. Ga zelf aan de slag met een verwerkingsregister. Zorg dat je een goed beeld hebt van welke gegevens je via je website verzamelt en waarom. Uiteraard bevat een verwerkingsregister ook alle verwerkingen van gegevens die niet via de website worden gedaan.
  2. Ga vast aan de slag met de benodigde content zoals een privacy statement, cookiemelding, een verwerkersovereenkomst voor andere partijen waar je mee samenwerkt die geen verwerkersovereenkomst aanleveren en dergelijke. Wij kunnen je hier helaas maar heel beperkt mee helpen (want we zijn geen juristen). Je mag altijd inspiratie halen uit onze documenten, maar let goed op dat de teksten die je opstelt betrekking hebben op jouw bedrijf, branche en dienstverlening. Je kan ook documenten genereren op websites als die van Juridox. Of deze standaard documenten ook voldoende aansluiten op jouw specifieke situatie kunnen wij niet beoordelen. Laat daarom altijd teksten controleren door een jurist! Zelf werken wij samen met Eerlijk met Recht om onze documenten af te stemmen op de nieuwe regelgeving.
  3. Neem contact op met Bob (via support@wijzijnstuurlui.nl) voor een inventarisatie en urenindicatie. Let op: wij zijn voor onze klanten al druk bezig met inventarisaties en aanpassingen van websites. Neem tijdig contact met ons op om voor 25 mei klaar te zijn voor GDPR.
  4. Wij gaan voor je aan de slag.
  5. Zodra we een verwerkersovereenkomst beschikbaar stellen, vragen we je die te tekenen.

Heb je vragen over bovenstaande checklist of onze andere blogs over GDPR? Neem contact op met mij via support@wijzijnstuurlui.nl!

Ben je benieuwd of Stuurlui jou kan helpen?

Thomas Kroese

Founding partner & business development
Een fullservice WordPress bureau in Utrecht
Een fullservice WordPress bureau in Utrecht

Ahoy…

Wij zijn Stuurlui. Een fullservice WordPress bureau in Utrecht. Wij ontwerpen, bouwen en onderhouden maatwerk WordPress websites. Stuurlui bestaat uit een ervaren team van 16 bemanningsleden. We zijn klein genoeg om snel te schakelen en groot genoeg om specialisten op ieder gebied in huis te hebben.

Ons werk

Search
Exact matches only
Search in title
Search in content
Search in excerpt
Search in comments
Filter by Custom Post Type

Bezoek ons

Campus Werkspoor
Nijverheidsweg 16
3534 AM, Utrecht