GDPR/AVG wetgeving en de invloed op MKB websites

Wat betekend de GDPR / AVG voor websites? Op 25 mei 2018 gaat de nieuwe wetgeving omtrent persoonsgegevens in. In Nederland kenden we de Wet Bescherming Persoonsgegevens (Wbp) al, waar de omgang met persoonsgegevens in vastgesteld is. Een wetgeving voor de gehele Europese Unie bestond echter nog niet. Met de AVG (Algemene Verordening Gegevensbescherming), ofwel General Data Protection Regulation (GDPR) wordt de wetgeving in alle landen binnen de EU gelijkgetrokken.

De AVG / GDPR is een wet die impact heeft op de omgang met alle informatie omtrent een persoon. De wetgeving is al in mei 2016 in werking getreden maar wordt vanaf mei 2018 ook daadwerkelijk gehandhaafd. Boetes bij overtreding kunnen enorm hoog oplopen. De maximale boete voor het negeren van de regels bedraagt € 20 miljoen of 4% van de wereldwijde omzet. Genoeg om veel bedrijven te kunnen sluiten na overtreding. Om deze situatie te voorkomen is een goede voorbereiding noodzakelijk!

Versterkte toestemmingsvereisten, transparantie en beperking (dataminimalisatie) vormen de kern van de nieuwe wetgeving. Als je gegevens van een betrokkene verwerkt, moet je binnen de nieuwe wetgeving:

• Uitdrukkelijke toestemming van elke gebruiker vragen voordat er gegevens worden verzameld. Verzoeken moeten in een gemakkelijk te begrijpen taal gepresenteerd worden en duidelijk zichtbaar zijn. Van alle gegevens moet je duidelijk omschrijven waarom je ze verzamelt
• Zorgen voor een duidelijk en toegankelijk privacybeleid dat gebruikers informeert hoe verzamelde gegevens worden opgeslagen, gebruikt en hoe lang ze bewaard blijven
• Zorgen voor de mogelijkheid om (persoons)gegevens op te kunnen vragen die je over de betrokkene hebt verzameld. Geef gebruikers een manier om toestemming in te trekken en persoonlijke gegevens die over hen zijn verzameld aan te passen en te verwijderen.

Inhoudsopgave

• Verwerking van persoonsgegevens
  • Wat zijn persoonsgegevens
  • Verwerken van persoonsgegevens
  • De rechten van betrokkenen
• GDPR / AVG eisen & uitgangspunten
  • Bewustwording
  • Transparantie
  • Expliciete toestemming
  • Verantwoordelijkheid
  • Privacy by default & Privacy by design
  • Functionaris gegevensbescherming
  • Meldplicht datalekken
• Je website GDPR / AVG compliant maken
  • Een goede privacyverklaring maken
  • Cookiebeleid
  • Formulieren
  • SSL certificaat voor een beveiligde https verbinding
  • Hosting
  • Gebruikers binnen je website / systemen
  • Onderhoud aan je website
• E-mailmarketing en het versturen van nieuwsbrieven
  • E-mail opt-in
  • Wat zegt de GDPR / AVG over e-mailmarketing en opt-ins
  • Hoe zit het met je (huidige) klanten binnen de GDPR / AVG
• Gebruik je gezond verstand

Disclaimer

Er kunnen geen rechten worden ontleend aan de inhoud van dit artikel ‘GDPR / AVG voor websites’. Natuurlijk streven wij er naar om een waardevol artikel te publiceren, maar het is geen juridisch naslagwerk. Met dit artikel geven we je graag informatie omtrent de nieuwe AVG/GDPR regels met betrekking tot je website. Webdesign Westland is namelijk geen jurist of advocaten kantoor maar een technisch webdesign bureau.

1. Verwerking van persoonsgegevens

De AVG / GDPR heeft betrekking op het verwerken van persoonsgegevens. Dit verwijst eenvoudigweg naar elke bewerking die wordt uitgevoerd op persoonlijke gegevens zoals verzameling, opslag, wijziging en verwijdering. Hierover later meer. Laten we eerst eens kijken wat persoonsgegevens dan eigenlijk zijn.

Wat zijn persoonsgegevens?

Alle gegevens die kunnen worden gebruikt om een ​​levende persoon direct of indirect te identificeren, worden beschouwd als persoonlijke gegevens. Artikel 1 in de Wet Bescherming Persoonsgegevens beschrijft het als volgt: ‘Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. Hierbij kan je denken aan:

• Naam
• Adres al dan niet met een huisnummer
• Telefoonnumer
• E-mailadres
• Burgerservicenummer
• Locatie gegevens
• IP adres

Gevoelige persoonsgegevens behoren tot een speciale categorie die nog zorgvuldiger behandeld moeten worden. Het omvat gegevens zoals:

• Ras
• Gezondheidsstatus
• Seksuele oriëntatie
• Religieuze overtuigingen
• Politieke overtuigingen
• Strafrechtelijk verleden

De wet is van toepassing op bedrijven of organisaties in de Europese Unie. Degenen die buiten de EU goederen en diensten aanbieden (al dan niet betaald) aan mensen die in de EU wonen, of hun gedrag monitoren, moeten zich hieraan houden.

Verwerken van persoonsgegevens

Nu we weten wat er met persoonsgegevens wordt bedoeld gaan we inzoomen op gegevensverwerking. Onder verwerken van persoonsgegevens wordt elke handeling met betrekking tot persoonsgegevens bedoeld. In de wet staan voorbeelden van verwerking:

• Verzamelen
• Vastleggen
• Ordenen
• Bewaren
• Bijwerken
• Wijzigen
• Opvragen
• Raadplegen
• Gebruiken
• Verstrekking door middel van doorzending
• Verspreiding of enige andere vorm van terbeschikkingstelling
• Samenbrengen
• Met elkaar in verband brengen
• Afschermen
• Uitwissen
• Vernietigen van gegevens.

Menselijke tussenkomst is voor verwerking niet altijd noodzakelijk. Waar het om gaat is dat er enige invloed op de persoonsgegevens kan worden uitgeoefend. Of deze invloed daadwerkelijk wordt uitgeoefend is niet relevant.

De rechten van betrokkenen volgens GDPR?

Betrokkenen hebben een aantal belangrijke rechten binnen de nieuwe regelgeving. De belangrijkste rechten met betrekking tot hun persoonlijke gegevens hebben we hieronder even opgesomd.

• Recht op inzage
  Iedereen heeft het recht op inzage in zijn of haar gegevens. Zo kan er een verzoek worden gedaan om alle verzamelde gegevens op te sturen. Hier mogen geen kosten voor in rekening worden gebracht.
• Recht op rectificatie
  Na het recht op inzage bestaat ook het recht om gegevens te rectificeren. Er kan dus een verzoek worden gedaan tot een toevoeging, aanpassing of het verwijderen (recht van vergetelheid) van gegevens.
• Recht van vergetelheid
  Iedereen heeft het recht om “vergeten’ te worden. Wordt er gevraagd gegevens te verwijderen, dan is enkel een aantekening hiervan niet voldoende. Verwijdering betekend echt het verwijderen van gegevens zodat deze niet meer geraadpleegd kunnen worden. Staan gegevens in meerdere systemen die je gebruikt (ongeacht systemen van derden, saas oplossingen e.d.), dan dienen die ook daar verwijderd te worden! De enige uitzonderingen zijn garantie verlening en de bewaarplicht die de belastingdienst ons oplegt. Bewaar je gegevens van orders in verband met de afhandeling van garantie dan is dat dus toegestaan. Ditzelfde geldt voor facturen. Deze dien je zeven jaar te bewaren voor de Belastingdienst. Daarbij is het wel belangrijk dat deze gegevens uitsluitend worden bewaard met als doel het verstrekken van garantie of het weerleggen van omzet aan de belastingdienst.
  WordPress plugin: Delete Me (gratis)
  Uiteraard kan verwijderen met de hand, maar met deze plugin biedt je je bezoekers de gelegenheid om dit zelf te regelen (tenminste wat betreft je website). Met deze plugin worden van de desbetreffende gebruiker alle geplaatste berichten, links en reacties op artikelen direct verwijderd. Let er wel op als je mogelijk via andere plugins nog persoonsgegevens verwijderd deze niet door deze plugin worden verwijderd. Ga dus goed na waar persoonsgegevens allemaal in worden opgeslagen en zorg dat ze gemakkelijk kunnen worden verwijderd.
• Recht op dataportabiliteit
  Wanneer je persoonsgegevens verwerkt, mag een persoon deze opvragen zodat ze overgedragen kunnen worden aan andere partijen. Zo moet het bijvoorbeeld gemakkelijker worden om over te stappen naar een andere partij of dienst. Gegevens moeten dan in gestructureerde en technisch leesbare vorm kunnen worden verplaatst, gekopieerd of verstuurd. Dit geldt alleen wanneer gegevens automatisch worden verwerkt op basis van toestemming of een overeenkomst.

GDPR Eisen en uitgangspunten

Welke eisen en uitgangspunten heeft de GDPR / AVG voor websites? De GDPR bestaat uit allerlei nieuwe eisen en uitgangspunten wat het voldoen aan deze nieuwe wetgeving vrij lastig maakt. Dit geldt zeker voor kleine bedrijven omdat het per bedrijf en markt kan verschillen. De volgende uitgangspunten moet moeten in ieder geval door ieder bedrijf worden nageleefd.

Bewustwording

De GDPR vereist dat bedrijven een volledig begrip hebben van alle gegevens die zij verzamelen. Bedrijven moeten naar elk proces kijken en een privacy-impactbeoordeling uitvoeren om te bepalen of er een privacyrisico is voor het individu, ongeacht of het een klant of een medewerker betreft. Vervolgens moet voor ieder gegevenselement bepaald worden of het een wettelijke basis heeft om te mogen verwerken.

Transparantie

Openheid over waarom en de manier waarop persoonsgegevens worden verwerkt is binnen de nieuwe wetgeving een vereiste. Maak of werk daarom je privacyverklaring bij om uit te leggen welke persoonlijke gegevens je verzamelt en waarvoor het wordt gebruikt. Belangrijk daarbij is dat je privacyverklaring in een heldere taal is geschreven. Kort en overzichtelijk. Kopieer en plak je privacyverklaring dus niet! Zorg ervoor dat deze is afgestemd op je bedrijf en de gegevens die je verwerkt. Zorg dat elke medewerker die werkt met persoonsgegevens deze nieuwe privacywetgeving ook begrijpt.

Expliciete toestemming op rechtsgrond

De tijd dat je zomaar persoonsgegevens en e-mailadressen kan verzamelen is voorbij. Je hebt een duidelijk omschreven doel nodig dat vereist is voor de bedrijfsvoering. Wil je een verjaardagskaart sturen? Dan moet je die reden ook vermelden bij het vragen van de geboortedatum, en je mag het geen verplicht veld maken. Bij gegevensverzameling via websites is het van groot belang dat het bedrijf een geldige toestemming krijgt van het individu. Dit houdt in dat de toestemming rechtstreeks is verkregen en dus niet geïmpliceerd of afgeleid is van iemands acties.

Verantwoordelijkheid & Aansprakelijkheid

Onder de GDPR heb je een verantwoordingsplicht, wat inhoudt dat je moet kunnen aantonen dat jouw organisatie in overeenstemming met de wet handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.

Je bent zelf verantwoordelijk voor alle persoonsgegevens binnen jouw bedrijf. Ook als die door externe partijen worden opgeslagen of toegepast. Zoals bijvoorbeeld MailChimp doet: die partij houdt voor jou e-mailgegevens bij en registreert het klikgedrag. Als MKB’er moet jij je dus inlezen hoe die partijen omgaan met de persoonsgegevens van jouw klanten.

Privacy by default & Privacy by design

Maak je organisatie nu al vertrouwd met de verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe je deze privacy verhogende maatregelen binnen je bedrijf kunt invoeren.

Privacy by default houdt in dat je maatregelen moet nemen (zowel technisch en organisatorisch) om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.

Privacy by design houdt in dat er al bij in de ontwerpfase van producten en diensten aandacht worden besteed aan privacyverhogende maatregelen zodat:

• Persoonsgegevens maximaal worden beschermd
• Er niet meer gegevens worden verzamelt dan noodzakelijk voor het doel van de verwerking (dataminimalisatie)
• Gegevens niet langer worden bewaart dan uiterst noodzakelijk.

Functionaris gegevensbescherming

Onder de GDPR kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Wacht niet te lang met het werven van de benodigde functionaris als dit voor jouw bedrijf noodzakelijk is, de kans is groot dat het tijd kost voordat je echt ‘compliant’ bent. Uiteraard mag je ook vrijwillig een functionaris voor gegevensbescherming aanstellen.

Voor de meeste ondernemers is het aanstellen van een functionaris niet verplicht. Dit is alleen noodzakelijke wanneer je:

• Op grote schaal ‘bijzondere’ persoonsgegevens verwerkt zoals politieke voorkeur, ras, godsdienst of gezondheid.
• Op grote schaal persoonsgegevens gebruikt ten behoeve van profiling. Bijvoorbeeld om kredietverzoeken te beoordelen.
• Dit een kernactiviteit is van je organisatie.

Ben je verplicht een DPIA te maken?

Een DPIA staat voor een Data Protection Impact Assessment (DPIA) waarmee je vooraf in kaart brengt wat de privacyrisico’s van gegevensverwerking zijn. De meeste ondernemers hoeven op dit moment nog geen DPIA te maken. Het is alleen nog verplicht bij grootschalige verwerkingen van (bijzondere) gegevens. In de toekomst komt de Autoriteit Persoonsgegevens met een uitgebreidere beschrijving van wanneer een Data Protection Impact Assessment verplicht is. Meer informatie omtrent een DPIA vindt je op de website van de dpia informatie op website autoriteit persoonsgegevens.

Meldplicht datalekken

De GDPR stelt strengere eisen aan je eigen registratie en logboeken van de datalekken die zich in je organisatie hebben voorgedaan.
Je moet alle datalekken documenteren. Met deze documentatie moet de Autoriteit Persoonsgegevens kunnen controleren of je aan de meldplicht hebt voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wet Bescherming Persoonsgegevens, die alleen betrekking heeft op de gemelde datalekken.

Voor de volledige wetgeving verwijzen we je graag door naar de officiële instanties óf een gespecialiseerd GDPR-specialist of jurist.

Je website GDPR-compliant maken

Wat betekend de GDPR / AVG voor websites? Het gaat in de essentie om zes hoofdvragen die je continu moet stellen:

1. Welke persoonsgegevens verzamel ik?
2. Welke systemen gebruik ik om deze persoonsgegevens te verwerken?
3. Waar sla ik persoonsgegevens op?
4. Wie hebben toegang tot deze persoonsgegevens?
5. Met welk doel verwerk ik deze persoonsgegevens?
6. Zijn er datalekken en is er een plicht om deze te melden?

Kijkend naar het midden- en kleinbedrijf behandelen we hier belangrijke aandachtspunten omtrent het GDPR compliant maken van je website.

Zorgen voor een goede privacyverklaring

In je privacyverklaring leg je precies uit welke gegevens je verzamelt, waarom je ze verzamelt en wat ermee gebeurd. Eigenlijk geef je kort en bondig antwoord op bovenstaande 6 vragen. Daarnaast leg je uit hoe je persoonsgegevens kunt opvragen en hoe je een verzoek kunt doen tot verwijdering of verplaatsing van persoonsgegevens naar een andere partij.

De privacyverklaring moet kort en bondig geschreven zijn in duidelijke en eenvoudige taal voor jouw doelgroep (en minimaal in de taal die ze spreken).

Je privacyverklaring moet schriftelijk of met ‘andere middelen’ (waaronder elektronische middelen) worden verstrekt. Er zijn een aantal algemene gegevens die je verplicht moet opnemen in je privacyverklaring. Verzamel je gevoelige gegevens, dan bestaan er nog wat specifiekere regels. Ook als je de gegevens via derden hebt verzamelt dien je extra informatie te verstrekken.

7 punten die je in je privacyverklaring moet opnemen

Algemene informatie

1. Identiteit
2. Doel
3. Ontvangers van persoonsgegevens
4. Duur van de opslag
5. Informeren over recten
6. Gegeven doorgeven buiten Europa
7. Niet verkregen van betrokken zelf?

Hier vindt je de volledige lijst van onderwerpen die je in je privacyverklaring op dient te nemen.

Wanneer moet je betrokkene informeren

Wanneer verschaf je bovenstaande informatie? Als de betrokkene zelf de gegevens geeft, dan moet je hem of haar daarbij direct informeren, ‘gelijk oversteken’ dus. Krijg je de persoonsgegevens niet van de betrokkene zelf maar via een derde, dan moet je binnen één maand na het krijgen van de gegevens of bij het eerste contact hem of haar informeren.

Wil je een leuk en begrijpelijk voorbeeld van een privacy verklaring, bekijk deze dan eens van Privacyverklaring Coolblue.

Een privacyverklaring maken?Meer informatie over het maken van een privacyverklaring vindt je in dit artikel.

Cookiebeleid

Om te voldoen aan het cookiebeleid, moeten organisaties stoppen met het verzamelen van de identificeerbare cookies of een wettige reden vinden om die gegevens te verzamelen en te verwerken. De meeste organisaties vertrouwen op toestemming (impliciet of opt-out), maar dankzij de versterkte eisen van de GDPR zal het veel moeilijker zijn om legale toestemming te verkrijgen. Toestemming moet worden gegeven door een duidelijke bevestigende actie. Daarnaast moet het net zo gemakkelijk zijn om de toestemming in te trekken als de toestemming is om het te geven.

Er zijn een aantal verschillende soorten cookies:

1. Functionele cookies
   Functionele cookies zijn vereist voor de werking van een website (bijvoorbeeld een winkelmandje). Voor het plaatsen van functionele cookies hoef je volgens de wet geen toestemming aan de bezoeker te vragen.
2. Analytische cookies
   Door middel van deze cookies krijgen eigenaren van websites inzicht in het gebruik van hun website. De privacy van de bezoeker blijft met deze analytische cookies gewaarborgd. Voor analytische cookies hoef je geen toestemming aan de bezoeker te vragen. De bezoekers moet hierover wel geïnformeerd worden in een cookie- of privacyverklaring.
3. Tracking cookies
   Tracking-cookies zijn cookies die gebruikt worden om surfgedrag van de bezoekers vast te leggen. Hiermee kunnen uiteindelijk gerichte aanbiedingen gedaan worden (Google AdWords, Facebook Retargeting). Voor het bijhouden van persoonsgerichte gegevens is toestemming vereist. Nadat een gebruiker geaccepteerd heeft dat cookies worden bijgehouden, mogen deze cookies worden geplaatst.

Per 25 mei kun je als gebruiker via de browserinstelling aangeven of je analytische en tracking cookies wel of niet wilt accepteren. Internetgebruikers moeten cookies wel accepteren, anders verschijnt in veel gevallen een niet-werkende website. In de e-privacyverordening zal het plaatsen van cookies alleen zijn toegestaan als:

• er alleen gewerkt wordt met functionele cookies
• analytische cookies worden toegepast puur voor eigen gebruik en niet met derden worden gedeeld.
• de internetgebruiker toestemming heeft gegeven in de browserinstellingen

Maak je gebruik van een cookiewall? Dan voldoe je vanaf de invoering van de Europese cookiewet niet meer aan de privacyvoorwaarden van de GDPR. De volledige toegang tot een website is volgens de EU essentieel voor internetgebruikers om (digitaal) te communiceren.

Veranderingen in het gebruik van Google Analytics

Zorg dat je ook Google Analytics AVG / GDPR compliant maakt. Om Google Analytics te mogen blijven gebruiken, is het dus van belang om aan bepaalde voorwaarden te voldoen, zoals onder andere een Verwekersovereenkomst Google Analytics af te sluiten. Om een verwerkersovereenkomst met Google af te sluiten ga je naar de accountinstellingen, daar staat onderin een knop om akkoord te gaan. Ook is het van belang om het IP-adres anoniem maken Google Analytics te maken en het delen van statistieken met Google uitzetten uit te zetten. Voor Google Analytics moet er aan de volgende voorwaarden (pdf) worden voldaan om hier van gebruik te kunnen blijven maken.

Gedrag van bezoekers opnemen

Met analytische software zoals Hotjar kun je heel mooi zien wat je bezoekers op je site doen. Hun bezoeksessie neem je hiermee op, inclusief muisbewegingen. Zorg er daarom voor dat je niet het invullen van velden opneemt, en dat alle persoonsgegevens zijn geanonimiseerd.

Formulieren

De GDPR stelt dat organisaties geen externe persoonsgegevens mogen verwerken of bewaren. Je mag alleen vragen om informatie die je nodig hebt. Dat betekent dat gegevens voor een specifiek doel moeten worden verzameld, alleen voor dat doel mogen worden gebruikt en alleen worden bewaard zolang het aan dat doel voldoet. Je hebt in de meeste gevallen op zijn minst namen en contactinformatie van personen nodig, maar je moet beslissen welke andere informatie (indien van toepassing) noodzakelijk is.

Als je dit artikel gelezen hebt dan wijst het eigenlijk voor zich. Dus een telefoonnummer of e-mailadres om te kunnen reageren, of een adres om een folder of een offerte op te sturen. Wil je die gegevens ook voor andere zaken gebruiken? Dan moet je dat expliciet vragen. Verwijder gegevens die je niet gebruikt, zoals reacties op een prijsvraag of een specifieke actie.

Hieronder geven we een lijst met wijzigingen die u moet aanbrengen in de formulieren op uw site voor GDPR-compliance:

• Een verplicht veld ‘Land’ opnemen op alle formulieren die geen abonnementsformulieren zijn (dwz gated content, webinar-registratie, eerdere webinar-download, etc.)
• Een niet-geselecteerd aanmeldingsvak aanbieden aan alle bezoekers buiten de VS.
• Voeg taal toe over waar de bezoeker voor kiest, eerlijk en duidelijk over wat hij van jou zou moeten verwachten.
• Bewaar alle toestemmingsformulieren in uw CMS en marketingautomatiseringssysteem.

SSL-certificaten / HTTPS verbinding

Met een SSL-certificaat beveilig je je website. Een SSL-certificaat zorgt voor een beveiligde verbinding tussen de computer van de bezoeker (browser) en de server waar jouw website op draait.

Wat is SSL

SSL staat voor Secure Sockets Layer en maakt gebruik van het https-protocol van de browser poort 443) wat een beveiligde verbinding tot stand brengt. Gegevens worden bij een SSL verbinding ‘versleuteld’ verstuurd. Zo wordt bijvoorbeeld jouw bankrekeningnummer niet verstuurd als een herkenbaar nummer, maar bijvoorbeeld als ’05G53HTGdr%$35743^0ffn&@io204HTdwbh74′. Onherkenbaar dus. Daarnaast wordt er een beveiligde sleutel gekoppeld aan de connectie waardoor gegevens zonder tussenkomst van externe systemen verstuurd kunnen worden. Hierdoor kunnen verstuurde gegevens tussen de computer en de server van jouw website niet worden onderschept.

Een https verbinding

Bij een SSL verbinding komt er HTTPS voor je URL te staan, waaraan bezoekers zien dat de verbinding beveiligd is.

Onder de GDPR ben je verplicht om te zorgen voor een optimale beveiliging van persoonsgegevens. Sla je formulieren, nieuwsbriefaanmeldingen of andere persoonlijke gegevens op via je website? Dan is HTTPS verplicht. 90% van de websites heeft wel een contactformulier of offerte aanvraagformulier op hun website staan. Binnen de GDPR / AVG verordening betekend dit dus dat je dan verplicht bent om een ssl certificaat actief te hebben.

Soorten SSL-certificaten

Er zijn een aantal verschillende soorten SSL certificaten. De beveiliging is in principe gelijk maar de toepassing en weergave kan iets verschillen.

1. Single Domain SSL certificaat
2. Wildcard SSL certificaat
3. Extended Validation SSL certificaat
4. Multi domain SSL certificaat

Welk SSL certificaat kiezen

Welk SSL certificaat je voor jouw webshop of website moet kiezen hangt af van je wensen. In principe is een Single domain SSL certificaat voldoende. Wil je echter meerdere (sub)domeinen beveiligen dan zal je een wildcard of multi domain ssl certificaat nodig hebben. Wil je extra vertrouwen bij je bezoeker genereren dan je er voor kiezen een Extended Validation SSL certificaat te gebruiken.

In dit artikel vindt je meer informatie over ssl certificaten en een beveiligde https verbinding.

Hosting

Voor hostingproviders is de GDPR / AVG verordening eigenlijk een niet uitvoerbare regelgeving. Degene die persoonsgegevens verzamelt (de verantwoordelijke zou in principe volledige controle moeten kunnen behouden over de persoonsgegevens. Dat betekent ook dat de verantwoordelijke al zijn toeleveranciers, bewerkers, zal verplichten om zijn beleid toe te passen. Daarvoor zal hij bewerkersovereenkomsten moeten sluiten met alle bewerkers (waaronder de hosting provider). Deze zal zodoende alle instructies van de partij die diensten afneemt moeten opvolgen. Dit zou resulteren in allemaal contracten waarin de klant van een hostingprovider aanwijzingen en instructies opneemt die door de provider moeten worden opgevolgd. Als iedereen zijn eigen eisen en regels op kan stellen en daarvoor contracten zou aangaan ontstaat er een heleboel papier werk en een onwerkbare situatie voor een hostingprovider

Onder de GDPR/AVG verordening is je hoster een dataverwerker en heb je dus een overeenkomst nodig. Sluiten dus in ieder geval een verwerkersovereenkomst met elkaar af zodat je (tot zover mogelijk) aan deze verplichting van privacywet (AVG) voldoet. Hier vindt je een eenvoudig voorbeeld van een verwerkersovereenkomst, opgesteld door Privacy Company.

Nu kijkt de hostingbranche naar de best werkbare oplossing voor iedereen, onder het project Partnering Trust. Waar we naar toe willen is ‘Circles of Trust’. Vertrouwen is de basis waarop je met hosting- en cloudproviders in die circles zaken kan doen. Vergelijk het met de voedselketen. Een veehouder levert indirect aan honderden bedrijven. Supermarkten en restaurants die de eindproducten leveren staan niet met hordes op zijn land of in zijn stallen om te kijken of hij wel volgens de regels werkt. Daar hebben we inspecties zoals de Voedsel- en Warenautoriteit voor. Zo zou het ook moeten zijn in de hele online industrie als de GDPR in mei 2018 van kracht wordt. Iedereen moet erop kunnen vertrouwen dat compliant gewerkt wordt, en waar het vermoeden bestaat dat dit niet zo is, is een rol weggelegd voor de inspecties.

Gebruikers binnen je website

Geef je iemand toegang tot het CMS van je website, je nieuwsbrief provider, je digitale administratie of welk systeem dan ook welke persoonsgegevens dragen, dan moet die persoon daar ook een geldige reden voor hebben. Die reden moet je apart gaan vastleggen, zodat helder is wie waarom toegang heeft tot persoonsgegevens. Onnodige accounts moet je verwijderen.

Onderhoud en het up-to-date houden van je website / CMS

Na oplevering van je website ben je zelf verantwoordelijkheid voor de veiligheid ervan. Binnen WordPress websites is het super belangrijk om de installatie (/website) up-to-date te houden. Doe je dit niet, dan loop je de kans op beveiligingsproblemen en gegevenslekken.

Ben je zelf niet zo thuis in het onderhoud van je website dan kun je dit uitbesteden aan je websitebouwer of hostingprovider door middel van een onderhoudscontract. Doe je dit niet, dan moet je zelf zorg dragen voor het tijdig updaten van je website / Content Management Systeem (zoals WordPress) en eventuele thema’s en plugins.

E-mailmarketing & nieuwsbrieven versturen

E-mailmarketing valt niet helemaal binnen je website, maar omdat veel website eigenaren e-mailadressen verzamelen op hun website en commerciële e-mails versturen naar (potentiële) klanten willen we toch even op dit onderwerp inhaken.

Een e-mailadres (en klikgedrag) is een persoonsgegeven en mag al in de eerste plaatst niet zonder uitdrukkelijke toestemming verzamelt worden. Daarnaast is een externe partij waarmee je jouw nieuwsbrief verstuurt een dataverwerker waar je straks een overeenkomst voor nodig hebt.

E-mail opt-in

Het is dus verplicht om toestemming te hebben van de eigenaar van het e-mailadres voordat je dit mag verwerken en een nieuwsbrief mag versturen. In vaktermen noemen ze dit een opt-in. Bij een opt-in heeft de eigenaar van een e-mailadres dus expliciet en aantoonbaar toestemming gegeven voor het ontvangen van e-mail van een bepaalde mailinglist. Een dubbele opt-in (dubbele bevestiging van het e-mailadres na aanmelding via bijvoorbeeld de website of per e-mail) is niet verplicht onder de GDRP / AVG.

Wat zegt de GDPR / AVG over opt-ins

Wat staat er in de GDPR / AVG verordening over e-mail opt-ins.

• Een e-mail opt-in moet een duidelijke en bevestigende actie zijn die vrijwillig is gegeven. Dit kan o.a. door het aanvinken van een checkbox of door het accepteren van een verklaring omtrent de verwerking van persoonsgegevens
• Informatie omtrent een e-mail opt-in en het gebruik van gegevens moet concreet, transparant en begrijpelijk zijn met gebruik van duidelijke en eenvoudige taal
• De e-mail opt-in mag geen voorwaarde zijn en moet gescheiden zijn van de algemene voorwaarden
• Een e-mail opt-in checkbox automatisch aanvinken is verboden
• Je hebt een gescheiden toestemming nodig als je de data op verschillende manieren wordt verwerkt, bijvoorbeeld als je een externe partij gebruikt voor het opslaan en versturen van nieuwsbrieven en mailinglijsten. Voor elk doel moet er apart toestemming worden gegeven.
• Je moet de e-mail opt-ins duidelijk bijhouden om de gegeven toestemming te kunnen aantonen als daarom gevraagd wordt. Van iedere e-mail opt-in moet je in staat zijn om antwoord te geven op onderstaande vragen.
  • Hoe is de e-mail opt-in verkregen? Achter een link, in een voetnoot, in een pop-up box of in een duidelijke verklaring naast een opt-in checkbox?
  • Wat is de status van de e-mail opt-in?
  • Wanneer is de e-mail opt-in verkregen?
  • Wie heeft de e-mail opt-in verkregen en in welke context? Dus welke toestemming(en) zijn gegeven
  • Was de informatie helder en begrijpelijk?
• De betrokkene heeft het recht om de e-mail opt-in in te kunnen trekken. Je moet betrokkenen duidelijk laten weten hoe ze zich kunnen uitschrijven. Elke commerciële e-mail moet dus een uitschrijflink bevatten.
• Het is dus belangrijk om de data in je huidige e-mail database te controleren en te kijken of dit voldoet aan de GDPR-wet.

Hoe zit het met je huidige en (huidig) potentiële klanten

Mag je potentiële klanten waarvan je eerder gegevens heb verzameld benaderen? Veel bedrijven hebben al databases opgebouwd met (persoons)gegevens van potentiële klanten. Ook al zijn deze gegevens eerder verkregen, ze vallen nu ook onder de GDPR/AVG regelgeving. Of je deze database met potentiële klanten nog mag benaderen is afhankelijk van het feit of je hiervoor toestemming hebt ontvangen. Zo ja, let er wel op dat je dit ook aan kunt tonen.

Klanten

De GDPR/AVG verordening beschrijft geen richtlijn omtrent een opt-in voor klanten. Met klanten bedoelen we mensen die producten of diensten hebben afgenomen en waar je dus een factuurrelatie mee hebt. Bij zo’n factuurrelatie kun je spreken over een opt-in. Zolang er altijd een opt-out mogelijkheid is mag je commerciële berichten versturen, mits het in lijn licht met de dienst of het product waar de factuur op is gebaseerd (soortgelijke producten). Heb je bijvoorbeeld een horeca zaak in een recreatiegebied en verhuur je hier ook fietsen, dan is het niet toegestaan om mensen die een diner hebben genuttigd puur sec een e-mail te sturen over je fietsverhuur bedrijf.

Gebruik je gezonde verstand

Gebruik je gezonde verstand en leef je in in de betrokken, diegenen waarvan je persoonsgegevens verzamelt. Zorg dat je jouw beveiliging op orde hebt en dat je duidelijk en transparant handelt. Vraag per doel toestemming en geef de mogelijkheid om gegevens op te vragen en te verwijderen.

De gemiddelde ondernemer die de GDPR / AVG serieus neemt en hier mee aan de slag gaat, zal niet gelijk met enorm hoge boetes worden geconfronteerd. In principe krijg je eerst waarschuwingen voordat er een boete wordt gegeven. Als er echt kwade bedoelingen in het spel zijn, of je lapt de regels echt aan je laars dan loop je natuurlijk wel risico’s!

Ik hoop je met dit artikel al lekker op weg te hebben geholpen. Wil je de verdieping in dan vindt je hier de complete Europese documentatie omtrent de GDPR / AVG.