Share
17 May, 2018

Jouw (WordPress) website klaar voor AVG


Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Dit heeft ook impact op je website, omdat hiermee persoonsgegevens verzameld kunnen worden. Zeker met alle marketing tools die vaak gebruikt worden.

Om onze klanten te helpen kwamen we verschillende artikelen en tools tegen, die helpen om je website AVG proof te maken. Echter gaven deze vaak maar een half antwoord.

In dit artikel daarom de belangrijkste punten, waar je mee aan de slag moet om jouw website AVG proof te maken.

Hoe weet ik of ik persoonsgegevens verzamel met mijn website?

Grofweg kun je persoonsgegevens op twee manieren verzamelen met jouw website:

  1. Via cookies en vergelijkbare tracking technieken
  2. Via formulieren die bezoekers invullen

Persoonsgegevens plaatsen op je website

Daarnaast moet je rekening houden met het plaatsen van persoonsgegevens op de website, bijvoorbeeld wanneer je foto’s plaatst van werknemers. Hier zullen we echter in dit artikel niet op ingaan. Meer informatie hierover vind je op de website van Autoriteit Persoonsgegevens.

Welke acties moet ik ondernemen?

Om deze persoonsgegevens te (mogen) verwerken moet je de volgende dingen goed geregeld hebben:

  1. Cookie toestemming van de gebruiker, voordat ze geplaatst worden.
  2. Cookie verklaring
  3. Formulieren inrichten volgens AVG
  4. Privacy verklaring
  5. Beveiligde verbinding voor het versturen van persoonsgegevens

1. Cookies plaatsen met de AVG

Praktisch iedere website plaatst cookies bij bezoekers. Een deel van deze cookies mogen zonder goedkeuring geplaatst worden, maar dat geldt lang niet voor alle cookies.

Waar moet je op letten als jouw website cookies gebruikt?

Bron: https://www.acm.nl/nl/onderwerpen/telecommunicatie/internet/cookies

Er zijn 3 dingen waar je op moet letten als jouw website surfgedrag van bezoekers volgt:

  1. Functionele cookies mogen: Je mag cookies inzetten als de site anders niet goed doet wat hij moet doen. Zonder cookies is bijvoorbeeld inloggen niet mogelijk, en werken webwinkelwagentjes of taalkeuzes niet.
  2. Analytische cookies mogen beperkt: Je mag ook cookies inzetten die je helpen jouw website te verbeteren. Zulke cookies mogen geen of maar weinig gevolgen hebben voor de privacy van bezoekers.
  3. Alle andere (tracking) cookies mogen alleen als je vooraf toestemming hebt van bezoekers: Zijn cookies niet nodig voor een goede werking van de site? Of leveren ze risico op voor de privacy van bezoekers? Dan moet je de bezoekers toestemming vragen voordat je zulke cookies plaatst.

De vaak standaard implementatie van Google Analytics werkt op basis van Analytische cookies, maar heeft wél gevolgen voor de privacy van bezoekers. Bijvoorbeeld omdat het IP-adres wordt opgeslagen, en dit volgens de AVG ook persoonsgegevens zijn. Dit moet je daarom anonimiseren (en daarmee een deel van je statistieken opgeven) of pas na toestemming van de bezoeker inschakelen.

Maak je gebruik van bijvoorbeeld Hotjar, Facebook pixel(s) of Google remarketing? Dan slaat jouw website zeker cookies op met persoonsgegevens en moet je ook daarvoor actie ondernemen.

Hoe vraag je toestemming voor cookies?

Bron: https://www.acm.nl/nl/onderwerpen/telecommunicatie/internet/cookies

Gebruikt jouw website Tracking cookies of Analytische cookies waarmee personen te herleiden zijn? Dan mag je deze niet zomaar plaatsen. Bezoekers moeten de keuze hebben om hiermee in te stemmen of niet. Voordat je toestemming hebt, mag de site alleen functionele en analytische cookies plaatsen die geen gevolgen hebben voor de privacy.

Een vaag zinnetje in je algemene voorwaarden of privacy statement, zoals: ‘als je onze website bezoekt, geef je automatisch toestemming voor de plaatsing van cookies’, geldt bijvoorbeeld niet als toestemming volgens de AVG en wordt gezien als een overtreding.

Overigens is een Cookie wall, waarbij bezoekers verplicht alle cookies moeten toestaan voordat zij de website kunnen bezoeken, onder de AVG verboden. Bezoekers hebben het recht om een website functioneel te kunnen bezoeken, zonder dat er privacy gevoelige cookies worden geplaatst.

En in de praktijk?

Bovenstaande klinkt logisch, maar het technisch implementeren heeft nogal wat voeten in de aarde. Zo komen we verschillende websites tegen die wel netjes om toestemming vragen, maar alsnog alle cookies plaatsen voordat er überhaupt toestemming is gegeven.

Om deze reden hebben we een eigen WordPress plugin ontwikkeld, die het voor iedereen gemakkelijk maakt om cookies te beheren. Zowel voor de websitebezoeker, als niet-technische website beheerders.

Stijlbreuk lanceert AVG cookie manager plugin voor WordPress

Om het plaatsen van cookies volgens de nieuwe AVG wetgeving te kunnen doen, hebben we een plugin ontwikkeld die voldoet aan de regels én gebruiksvriendelijk is voor alle gebruikers.

Interesse? Neem dan contact op.

2. Wat moet er in mijn cookie verklaring staan?

Gebruikt jouw website niet-functionele cookies? En heeft dit gevolgen voor de privacy van bezoekers? Vertel alle bezoekers dan duidelijk, op de eerste pagina die ze te zien krijgen:

  • Welke informatie je over hen verzamelt;
  • Hoe je die informatie verzamelt;
  • Hoe lang de cookies worden bewaard;
  • Wat je met die informatie doet.

 

Heb je nog geen cookie verklaring op je website en weet je niet waar je moet beginnen? We kunnen je helpen een cookie verklaring op te stellen, inclusief overzicht van de cookies die jouw website plaatst.

3. Formulieren met persoonsgegevens

Op veel websites staan formulieren waarmee bezoekers contact op kunnen nemen. Omdat hierin praktisch altijd om een naam en e-mailadres wordt gevraagd, is de AVG ook van toepassing op deze formulieren.

Je zult in je Privacy verklaring dus je beleid ten opzichte van de persoonsgegevens die je via formulieren verwerkt toe moeten lichten.

In de praktijk zien we drie belangrijke punten met betrekking tot formulieren, die we hier willen aanstippen:

  1. Bewaren van ingevulde formulieren
  2. Wanneer is toestemming expliciet genoeg?
  3. Gebruiken van de gegevens voor andere doeleinden

Bewaren van ingevulde formulieren

Maak je gebruik van bijvoorbeeld Gravity Forms om formulieren te maken, dan worden de ingevulde gegevens automatisch opgeslagen in de WordPress back-end. Deze blijven daar staan, totdat je ze zelf verwijdert. In de praktijk betekent het vaak dat ze nooit verwijderd worden, omdat het ook “een handige back-up” is.

Met de AVG is dit niet meer toegestaan, dien je een redelijke bewaartermijn te hanteren en moet je de gegevens na deze termijn actief verwijderen. Dit kun je elke maand handmatig bijhouden, of automatiseren door middel van een plug-in.

Met deze plugin (€ 99,- per jaar) kun je dit gemakkelijk automatiseren, of via ons laten instellen voor een gereduceerd tarief.

Wanneer is toestemming expliciet genoeg?

Volgens de AVG moet je altijd expliciet toestemming krijgen. We komen verschillende partijen tegen die adviseren om aan ieder formulier een extra vinkje toe te voegen, waarmee bezoekers expliciet toestemming geven om de gegevens te verwerken.

Wanneer iemand een contactformulier invult, verwacht die persoon echter ook dat je antwoordt. Je mag daarmee aannemen dat de bezoeker goedkeuring heeft gegeven om zijn/haar persoonsgegevens te verwerken, door het formulier in te vullen en te verzenden.

De keuze om zo’n extra vinkje toe te voegen moet iedere beheerder voor zichzelf maken. Echter gebruikt Autoriteit Persoonsgegevens zelf geen extra vinkje in haar eigen formulieren, dus zij vinden dit zelf waarschijnlijk ook expliciet genoeg.

Persoonsgegevens gebruiken voor andere doeleinden

Het is alleen toegestaan om de persoonsgegevens te gebruiken voor het doel waarmee de bezoeker het formulier heeft ingevuld.

Heeft iemand je contactformulier ingevuld, dan mag je die persoon niet zomaar je nieuwsbrief toesturen. Hiervoor moet je dus apart toestemming vragen.

Dit was al geregeld in de ‘anti-spam’ wet en dit blijft ook van kracht met de AVG.

4. Privacy verklaring

Net als een Cookie verklaring, dien je ook een Privacy verklaring te hebben waarin je helder uitlegt hoe je met andere persoonsgegevens omgaat. Bijvoorbeeld wanneer iemand een formulier invult, contact met je opneemt, een offerte aanvraagt, een evenement van je bezoekt of een account aanmaakt.

Omdat de Privacy verklaring veel verder gaat dan alleen je website, adviseren we hiervoor een gespecialiseerd bureau in te schakelen.

Wat moet je privacy verklaring omvatten?

In de basis gelden wel dezelfde regels voor een Privacy verklaring als voor een Cookie verklaring. De volgende onderwerpen zullen dus terug moeten komen in je Privacy verklaring:

  1. Welke persoonsgegevens  je over hen verzamelt;
  2. Hoe je die gegevens verzamelt;
  3. Met welke doel je de gegevens verzamelt;
  4. Hoe lang de gegevens worden bewaard;
  5. Hoe mensen hun gegevens in kunnen zien of wijzigen;

5. Beveiligde verbinding met SSL-certificaat

Tot slot ben je ook verplicht om persoonsgegevens goed te beschermen. Dat betekent, in het geval van je website, dat je een SSL-certificaat nodig hebt, zodat gegevens altijd via een beveiligde verbinding worden verzonden.

Wanneer een websitebezoeker je contactformulier invult, wil je namelijk niet dat deze gegevens onderschept kunnen worden door een derde partij vanwege onveilige verbinding.

Wij leveren onze websites altijd met een SSL-certificaat. Voor onze klanten is dit dus al geregeld en gemakkelijk te herkennen aan de ‘https’ voorafgaand aan de website url en het groene slotje.

Strategie en concept
Avg
Share

Gerelateerd nieuws

Voorbeeld AVG cookie verklaring