Voldoe aan AVG
Het kan je niet ontgaan zijn. Op 25 mei 2018 wordt definitief de Algemene Verordening Gegevensbescherming van toepassing. De AVG brengt nieuwe verplichtingen en verantwoordelijkheden met zich mee. Alle bedrijven en organisaties die werken met persoonsgegevens moeten zich voorbereiden op deze AVG, dus ook kleine mkb’ers en zzp’ers. De nieuwe wet schrijft voor dat organisaties moeten kunnen aantonen hoe zij met de verwerking van persoonsgegevens omgaan. Deze manier van verwerking moet datalekken voorkomen.
Hoe je omgaat met persoonsgegevens zal per organisatie vastgelegd moeten worden in een zogenaamd ‘verwerkingsregister’. De belangrijkste onderdelen die in dit register beschreven staan zijn o.a. wie de persoonsgegevens verwerken, het doel van het verwerken van deze gegevens, van wie gegevens worden verwerkt en welke gegevens worden verwerkt. Maar ook hoe lang deze gegevens bewaard/opgeslagen blijven en hoe de veiligheid van deze opslag is geregeld. Naast het opstellen van een dergelijk register, moeten we ons dus afvragen of onze datacenters of ‘clouds’ voldoen aan de juiste beveiligingseisen.
Maar het heeft ook consequenties voor het gebruik van onze ‘klantgegevens’ voor andere doeleinden dan waar ze oorspronkelijk voor opgeslagen waren. Denk hierbij aan het verzenden van nieuwsbrieven of uitnodigen van ‘je netwerk’ voor informatieve bijeenkomsten of trainingen. De mogelijkheid om je te kunnen afmelden voor bijvoorbeeld een nieuwbrief is dan niet meer voldoende lijkt het. Er zal vooraf al toestemming gevraagd moeten worden of hun gegevens voor deze doeleinden gebruikt mogen worden (denk aan de vakjes die aangevinkt worden bij je internetbestellingen…)
De controle op naleving van de nieuwe wetgeving zal worden verscherpt. Hierbij zullen naar verwachting de ogen eerst gericht worden op de ‘grote spelers’ in de markt. Desalniettemin is het goed om je bewust te zijn van jouw manier van dataverwerking en na analyse en vastlegging, je met een kritische blik af te vragen wat beter kan. Lees hier meer over op de website van Autoriteit Persoonsgegevens. Voor de goede orde: Goldies Reclame geeft hiermee geen juridisch advies. Met dit artikel wordt geprobeerd actief mee te denken waaraan je overal aan zou moeten denken voor jouw website. Wil je het helemaal zeker weten of je AVG proof bent dan kun je het beste zelf juridisch advies inschakelen.
Het gaat om vier hoofdvragen die je continu moet stellen:
1. Welke persoonsgegevens sla ik op?
2. Waarvoor gebruik ik die?
3. Waar en hoe lang sla ik die op en wie kan er bij?
4. Heb ik die gegevens nog wel nodig?
Verplicht – Algemene informatieverplichting:
1. Naam en fysiek adres: (vermelden op website)
2. Contactgegevens: (vermelden op website)
3. KVK nummer: (vermelden op website)
4. BTW nummer: (vermelden op website)
Onderstaand concrete punten van aandacht voor je website.
In veel gevallen zal de uitvoering en oplossing moeten gebeuren door Brand Hero. De kosten zijn afhankelijk van je vraag wat je zelf doet of wat je wil laten uitvoeren.
Controle: Je bent zelf verantwoordelijkheid voor de veiligheid van je website. Denk hierbij aan het pro-actief beveiligen van je website, het op de juiste manier updaten van thema’s / plugins en het maken van back-ups.
Oplossing: Voor het gros van onze klanten verzorgt Goldies Reclame dit al en heb je hier geen omkijken naar!
Controle: Gebruik je Google Analytics, dan moet je een overeenkomst met ze afsluiten zodat ze de gegevens mogen gebruiken.
Oplossing: Als je bent ingelogd via Google Analytics ga je naar instellingen (tandwiel) > Accountinstellingen > Aanpassing van de gegevensverwerking (laatste optie) alsmede de DPA-gegevens beheren uitvoeren.
Controle: Google Analytics legt het IP adres vast van je bezoeker, dit mag niet zonder expliciete toestemming van de bezoeker
Oplossing 1: het IP adres technisch gezien anoniem laten maken zodat Google het niet ziet.
Oplossing 2: bezoeker expliciet toestemming laten geven met een toestemmingsknop op je website om het wel te mogen gebruiken.
Controle: Je (contact)formulier legt het IP adres vast van je bezoeker, dit mag niet.
Oplossing: het IP adres anoniem maken of niet opslaan.
Controle: Je webshop heeft geen SSL certificaat, dit is verplicht voor webshops
Oplossing: SSL certificaat aanvragen bij Brand Hero.
Controle: Je gebruikt een (contact)formulier in je website, een SSL certificaat is dan verplicht.
Oplossing 1: SSL certificaat aanvragen bij Brand Hero.
Oplossing 2: Het formulier verwijderen en vervangen door tekst (Je telefoonnummer/mailadres).
Controle: Je website zet (tracking)cookies voordat er toestemming is gegeven door klant, dat mag niet.
Oplossing: Een toestemmingsknop boven je website opnemen waarmee de bezoeker expliciet toestemming geeft. Voor de goede orde: er zijn verschillende vormen cookies: functionele- en trackingcookies. Functionele cookies zoals nodig dat de website kan onthouden wat je in de winkelwagen gedaan heeft (deze mogen zonder toestemming, zijn nodig voor de werking van je site), trackingcookies daarintegen mogen niet zonder expliciete toestemming van de bezoeker. Deze cookies houden individueel surfgedrag bij en stellen profielen op om bijvoorbeeld gerichte advertenties mogelijk te maken. Op bijv. deze site kan je zelf checken of je cookies zet: cookiechecker.nl
Controle: Cookies mogen pas gezet worden na toestemming door bezoeker, maar je weet niet of je website cookies zet.
Oplossing: Controleer of je site cookies zet en of hier cookies tussen zitten die je niet zonder expliciete toestemming mag zetten.
Controle: Heb je Youtube of Vimeo films op je website staan (ge-embed).
Oplossing: Deze diensten zetten ongevraagd cookies en dat mag niet.
Controle: Gebruik je Facebook pixels (heel erg invasief voor de privacy van je klanten).
Oplossing: Facebook pixels staan er om bekend heel veel vast te leggen aan privcay gevoelige gegevens. Zonder expliciete toestemming mag dit niet.
Controle: Je verzend nieuwsbrieven, heb je vastgelegd dat de ingeschrevene je expliciet toestemming hiervoor heeft gegeven en heb je hiervan bewijs vast heeft liggen.
Oplossing 1: Controleer bewijsvoering, als deze niet in orde is deze personen niets meer sturen.
Oplossing 2: Personen opnieuw vragen hun inschrijving te bevestigen zodat je de bewijsvoering vast heeft liggen.
Controle: Je verzend nieuwsbrieven en gebruikt zelf een externe partij voor de verzending van jouw nieuwsbrieven. (bijv. Mailchimp)
Oplossing: Je moet een overeenkomst sluiten met externe partijen die je nieuwsbrief versturen.
Controle: Op je website kunnen bezoekers zich inschrijven voor je nieuwsbrief, maar er is geen uitschrijfmogelijkheid.
Oplossing: Toevoegen uitschrijfmogelijkheid, je moet het je bezoekers zo makkelijk mogelijk maken in zich te kunnen uitschrijven.
Controle: Op je website kunnen bezoekers zich inschrijven voor je nieuwsbrief, maar je gebruikt geen double opt-in.
Oplossing: Bij een dubbele opt-in wordt de toestemming voor het zenden van de nieuwsbrief dubbel bevestigd. Bijvoorbeeld doordat de abonnee van een nieuwsbrief na de inschrijving via de website deze inschrijving nogmaals dient te bevestigen via een klik op een unieke link in een activatiemail (hiermee is de bewijslast ook vastgelegd van de inschrijving).
Controle: Je heeft geen Privacyverklaring op je website staan.
Oplossing: Je moet een Privacyverklaring plaatsen op jouw website. Er moet openheid geven worden over hoe jouw bedrijf persoonsgegevens verwerkt. Dat betekent dat je privacyverklaring in een heldere taal geschreven moet zijn (Jip en Janneke taal). Kort en overzichtelijk. Daarin leg je uit hoe jouw bedrijf omgaat met persoonsgegevens. Zorg ook dat elke medewerker die werkt met persoonsgegevens de nieuwe privacywetgeving begrijpt. Online zijn er voorbeelden te vinden bijv. veiliginternetten.nl.
Controle: Je moet nagaan waar je data staat met privacy gevoelige gegevens en met deze partijen een Bewerkersovereenkomst aangaan.
Oplossing: Goldies Reclame heeft met zijn leveranciers bewerkersovereenkomsten afgesloten om zo correct om te gaan met je data bij deze partijen.
Controle: Wie heeft toegang tot je website.
Oplossing: Beperk het aantal personen dat toegang heeft tot je website en leg vast bij toegang wat de rol van die persoon is (beperk eventueel rechten tot een minimum). Onnodige accounts moet je verwijderen.
Controle: Je schrijft een bezoeker bij het vullen van een formulier of bestelling in een shop automatisch in voor je nieuwsbrief.
Oplossing: Een bezoeker moet expliciet toestemming geven hiervoor, een standaard vinkje aanzetten mag niet.
Controle: Je geeft de mogelijkheid in te schrijven voor jouw nieuwsbrief, maar je heeft geen uitschrijfmogelijkheid.
Oplossing: Biedt altijd een uitschrijfmogelijkheid aan in je nieuwsbrief en uitschrijfmogelijkheid op je website.
Controle: Heb ik als klant van Brand Hero ook een bewerkersovereenkomst nodig met Brand Hero omdat Brand Hero mijn data opslaat van de website/mail?
Oplossing: Ja dat is nodig, momenteel wordt juridisch uitgezocht hoe Goldies Reclame dit aan zijn klanten het beste kan aanbieden. Hierover wordt je nog geïnformeerd.
Controle: Sla je gegevens op bij andere externe partijen, bijv. Google, Dropbox, Mailchimp, Microsoft, dan is ook met deze partijen een privacy overeenkomst nodig.
Oplossing: Check waar je data is opgeslagen, is dit een externe partij, sluit een overeenkomst met ze af