AVG: alles wat je als website eigenaar moet weten
Per 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming, in het kort ook wel AVG genoemd. Deze verordening is in mei 2016 in werking getreden. Van organisaties en bedrijven wordt verwacht dat zij vanaf die tijd hun bedrijfsvoering in overeenstemming brengen met de AVG. Per 25 mei 2018 mag iedere organisatie worden aangesproken op de naleving van deze verordening. Heb jij een eigen website, en is deze niet in overeenstemming met de AVG, dan kan dit je op een fikse boete komen te staan, die kan oplopen tot 20 miljoen euro, of 4% van de jaarlijkse wereldwijde omzet, waarbij de hoogste variant leidend is.
Wat is de AVG en waaraan moet jij voldoen op jouw website? Je leest het hieronder!
Wat is de Algemene Verordening Gegevensbescherming (AVG)?
De Algemene Verordening Gegevensbescherming (AVG), in het Engels ook wel de General Data Protection Regulation (GDPR) genoemd, is een Europese privacy verordening (met rechtstreekse werking) die gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens van Europese staatsburgers en betreffende het vrije verkeer van die gegevens’.
Deze verordening is wereldwijd van toepassing op bedrijven en organisaties die persoonsgegevens van Europese staatsburgers bijhouden en verwerken. Het maakt hierbij niet uit of er wel of niet betaald wordt voor deze producten of diensten. Deze verordening is een vervanger van de databeschermingsrichtlijn uit 1995, die niet meer aansloot op de huidige digitale wereld.
Dit is in principe een goede ontwikkeling, maar wanneer jij een website hebt, zal je je wel aan enkele regels moeten houden. Wij hebben de belangrijkste punten voor je op een rij gezet.
Privacyverklaring
Een wetgeving op de bescherming van persoonsgegevens gaat natuurlijk grotendeels over privacy. Het is dan ook vooral belangrijk dat er op jouw website een goede en volledige privacyverklaring staat. Elke bezoeker moet op iedere pagina deze privacyverklaring kunnen zien, vanwaar een plek in de footer het meest wordt aangeraden.
In de privacy verklaring omschrijf je zo duidelijk mogelijk wat je met verzamelde persoonsgegevens doet en waarom je dat doet. Zo kan het bijvoorbeeld zijn dat je de gegevens gebruikt om later contact op te nemen, maar kun je het ook gebruiken voor het versturen van een nieuwsbrief of het leveren van een product of dienst. In de privacyverklaring moet ook het volgende worden opgenomen:
Identiteit: in de privacyverklaring dien je jouw naam of bedrijfsnaam en contactgegevens op te nemen. Dit was al verplicht bij webshops.
Doel: Ook is het zaak om zo duidelijk mogelijk aan te geven wat het doel is van het verzamelen van persoonsgegevens. Wanneer de gegevens voor meerdere doeleinden worden gebruikt, moeten beide doelen afzonderlijk beschreven worden.
Verplichte opgave van gegevens: In het privacybeleid dient tevens opgegeven te worden welk onderdeel verplicht is en welke niet.
Inzage en wijziging: Iemand moet zijn opgegeven persoonsgegeven kunnen inzien. Tevens moet het voor de persoon in kwestie mogelijk zijn om de informatie te verbeteren, aan te vullen, te verwijderen of zelfs af te schermen.
In de privacyverklaring moet tevens verwerkt worden hoe een wijzigingsverzoek ingediend kan worden, hoe je hiermee omgaat en wat de termijn van reageren is. Hier geldt sowieso een maximumtermijn van 28 dagen op.
Wie zijn de ontvangers: In de privacyverklaring moet ook worden omschreven wie de ontvangers zijn van de persoonsgegevens. Hierin moet een legitieme reden staan waarom deze informatie wordt verstrekt aan derden.
Toestemming: Wanneer je de persoonsgegevens van klanten of bezoekers wilt gebruiken, is er ook toestemming nodig voor dit gebruik. Een bezoeker moet expliciet toestemming gegeven hebben voor het gebruik van deze gegevens.
SSL Certificaat
Onder de nieuwe AVG wetgeving ben je verplicht om te zorgen voor een optimale beveiliging van persoonsgegevens. Hier kun je dan ook volledig verantwoordelijk voor gehouden worden. Als jouw website op wat voor manier dan ook persoonsgegevens opslaat, ben je verplicht om een versleutelde verbinding te gebruiken, voorzien van SSL-certificaat. Dit wordt ook wel een https-verbinding genoemd.
Contactformulieren
Gebruikt jouw website contactformulieren, dan heb je ook een aantal eisen om aan te voldoen. Zo mag je alleen om relevante informatie vragen, die je ook echt nodig heb. Deze gegevens moeten betrekking hebben op de offerteaanvraag of de contactaanvraag. Wanneer je bijvoorbeeld om een geboortedatum vraagt, moet je ook vermelden waar deze voor gebruikt wordt. Tevens moet je om expliciete toestemming vragen bij het verwerken en opslaan van deze gegevens.
Google Analytics
De meeste websites maken ook gebruik van Google Analytics. Google Analytics houdt gegevens van bezoekers op geautomatiseerde wijze bij. Wanneer je hiervan gebruikmaakt, verstrek je dus persoonsgegevens aan derden. Hierdoor ben je verplicht om een overeenkomst af te sluiten met Google. Je moet hierin toestemming geven aan Google om de persoonsgegevens die op jouw website zijn te vinden, te verwerken.
Onder de persoonsgegevens valt ook het IP-adres van een bezoeker. Wanneer je bezoekers niet van tevoren vraagt om een akkoord te geven op het gebruiken van deze gegevens, dient het IP-adres geanonimiseerd te worden.
Gebruikers van WordPress of ander CMS
Wanneer je anderen toegang geeft tot het CMS van jouw website, moet deze persoon hiervoor een geldige reden hebben. Er dient vastgelegd te worden welke persoon toegang heeft tot het CMS en om welke reden hij of zij toegang hiertoe heeft. Wanneer je over overbodige accounts op het CMS beschikt, dien je deze accounts voor de datum van ingang te verwijderen.
Eigen verantwoordelijkheid
Tot slot is iedere website eigenaar zelf verantwoordelijk voor de veiligheid van de website. In geen gevallen mag je hierin nalatig zijn, en je moet ten alle tijden jezelf proactief opstellen in het beveiligen van de website. Denk hierbij bijvoorbeeld aan het regelmatig updaten van jouw CMS, thema’s, plug-ins en het dagelijks maken van back-ups van gegevens. Dit zijn taken die meestal vanuit jouw hosting worden opgepakt.
Hulp nodig?
De nieuwe AVG-wetgeving is een vrij complexe materie. Wanneer je hier niet helemaal juridisch en technisch in thuis bent, doe je er dan ook goed aan om dit over te dragen aan een professional. SAM Online Marketing staat al haar klanten vrijblijvend bij in deze transitie. Mocht je geen samenwerking met SAM Online Marketing hebben, maar wil je wel zeker weten dat jouw website voldoet aan alle eisen, neem dan contact met ons op om de mogelijkheden door te nemen!
