6 stappen om je website AVG proof te maken

25 mei is het zo ver, dan moeten alle ondernemers voldoen aan de AVG wetgeving. In deze wet worden persoonsgegevens beter beschermd en dat heeft consequenties voor je website.

Let op: Ik heb deze tips verzameld, omdat ik veel AVG vragen krijg van klanten die een website door Grab a Web hebben laten bouwen. Ik ben geen jurist dus geef alleen een paar PRAKTISCH TIPS en GEEN JURIDISCH ADVIES. De verantwoordelijkheid voor een AVG-proof website ligt bij jou als ondernemer en niet bij Grab a Web.  Win bij twijfel altijd juridisch advies in. Neem contact met ons op wanneer je hulp nodig hebt bij het aanpassen van je website.

Stap 1 – Online privacyverklaring

Je hebt een informatieplicht, dat betekent dat je verplicht bent om nieuwe en bestaande klanten schriftelijk te informeren over wat je met hun persoonsgegevens doet. Leg in begrijpelijke taal uit welke persoonsgegevens je voor welk doel verwerkt en hoe mensen hun rechten kunnen uitoefenen. Geef kort aan wie de verantwoordelijke organisatie is, hoe die te bereiken is en welke gegevensverwerkingen de meeste impact hebben op de betrokken personen.

Je kunt deze privacyverklaringen ook online opstellen en juridisch na laten kijken. Zo heb ik zelf gebruik gemaakt van rocketlawyer, maar er zijn uiteraard heel veel andere aanbieders te vinden op internet.

Zorg dat je privacyverklaring goed vindbaar is, door:

Stap 2 – Webformulieren

De meeste bedrijven vragen om persoonlijke gegevens in hun contactformulier(en), hierdoor krijg je automatisch te maken met de AVG Privacywetgeving.

De AVG gaat er vanuit dat je niet meer gegevens vraagt dan je strikt nodig hebt. In het geval van een contactformulier heb je een telefoonnummer of e-mailadres nodig om contact op te kunnen nemen, maar bijvoorbeeld geen geboortedatum of geslacht. Ook moet je in je privacyverklaring uitleggen wat je gaat doen met de gegevens die je verzamelt en hoe ze worden verwerkt.

Handige tips:

  • Vraag alleen om gegevens die je echt nodig hebt
  • Maak duidelijk waarvoor het formulier is bedoeld
    voorbeelden: inschrijven nieuwsbrief, offerte aanvragen, online solliciteren .. etc
  • Sla contactformulieren niet op in je database (Contact form 7 doet dit so-wie-so niet en bij formidable kan je dit handmatig instellen)
  • Voeg een zin toe aan je contactformulieren
    bijvoorbeeld: De persoonsgegevens worden alleen gebruikt voor het gevraagde contact. Lees de privacyverklaring voor meer informatie.
  • Ga zorgvuldig om met het mailaccount waar de formulieren op binnenkomen
  • Zorg dat je website is beveiligd met een SSL certificaat (stap 6)

Als je formulier één helder doel heeft waarvoor je de persoonsgegevens gebruikt, dan is het niet nodig om met een checkbox toestemming te vragen om deze gegevens te mogen verwerken.

Stap 3 – Google Analytics privacyvriendelijk instellen

Google Analytics cookies mogen geplaatst worden zonder toestemming, mits Google Analytics privacyvriendelijk is ingesteld en Google zelf niets doet met de data, maar alleen optreedt als verwerker. Doorloop de 6 stappen in deze handleiding om Google Analytics privacyvriendelijk in te stellen.

Stap 4 – Zorg voor een goed cookiebeleid

Een cookiemelding is verplicht wanneer je niet-functionele cookies verzameld (zoals Facebook pixel, hotjar, livechat etc.). Dit mag totdat de nieuwe ePrivacy Verordening van kracht wordt een simpele alles-in-1 cookiemelding zijn die puur ter kennisgeving van de bezoeker dient.

Er zijn 3 soorten cookies die het surfgedrag van websitebezoekers volgen.

  1. Functionele cookies (geen toestemming nodig)
    Je mag cookies inzetten als de site anders niet goed doet wat hij moet doen. Zonder cookies is bijvoorbeeld inloggen niet mogelijk, en werken webwinkelwagentjes of taalkeuzes niet.
  2. Analytische cookies mogen beperkt (zie tip 3).
    Je mag ook cookies inzetten die je helpen je website te verbeteren. Zulke cookies mogen geen of maar weinig gevolgen hebben voor de privacy van bezoekers.
  3. Marketing cookies (tracking-cookies) mogen alleen met cookiemelding
    Zijn cookies niet nodig voor een goede werking van de site? Of leveren ze risico op voor de privacy van bezoekers? Dan is een cookiemelding verplicht.

→ Controleer eerst welke cookies je website plaatst! Check het hier
→ Stel een cookieverklaring op en plaatst deze op je website. Ik heb hiervoor gebruik gemaakt van rocketlawyer, maar er zijn uiteraard heel veel andere aanbieders te vinden op internet.
→ Plaatst een cookiemelding, wanneer je gebruik maakt van niet functionele cookies.

Er gaat veel veranderen wanneer de nieuwe ePrivacy Verordening van kracht wordt, maar de verwachting is dat de ePV pas in 2019 kan worden ingevoerd.  

Stap 5 – Expliciet toestemming vragen voor nieuwsbrieven

Nieuwsbriefinschrijvingen die gekoppeld zijn aan gratis downloads, zoals ebooks, whitepapers of webinars mogen niet langer. De AVG vermeldt namelijk dat je inschrijvingen niet op deze manier mag afdwingen. Je zal de webbezoeker de mogelijkheid moeten geven om alleen het gratis product te ontvangen, zonder dat ze zich hoeven in te schrijven voor de nieuwsbrief. Het is daarom handig om de voordelen van de nieuwsbrief op te sommen bij je checkbox, zie onderstaand voorbeeld.

De al aangevinkte vinkjes bij een formulier zoals ‘Ja, ik wil de nieuwsbrief ontvangen’ zijn ook uit den boze. De bezoeker moet actief gevraagd worden of hij/zij zich wil aanmelden, verder moet het hierbij duidelijk zijn waar de gegevens worden opgeslagen (bijvoorbeeld mailchimp). Dit kan worden opgenomen in de privacyverklaring, zodat deze informatie niet prominent op je website aanwezig is.

Wanneer je al een bestaand e-mailbestand hebt, waarover je twijfels hebt of alle e-mailadressen in dit bestand op een wijze zijn verzameld die GDPR-compliant zijn, is het verstandig om deze te updaten. Dit kan bijvoorbeeld door het gehele bestand een e-mail te sturen waarin een persoon opnieuw op de hoogte wordt gebracht van zijn of haar inschrijving, waarbij een optie tot uitschrijven is. Gebruik je mailchimp? Bekijk de GPDR tools

Stap 6 – Een SSL certificaat

Wanneer je een melding in je browser ziet die aangeeft dat je website ‘niet veilig’ is betekend dit meestal dat je website een formulier heeft zonder een versleutelde SSL-verbinding.

SSL leidt het verkeer van en naar je website over een veilige, versleutelde HTTPS-verbinding. Hiermee voorkom je dat gegevens van bezoekers (denk aan formulieren) worden onderschept. Daarnaast brengt het ook andere voordelen met zich mee. Een website met SSL scoort hoger in Google, vertoont geen veiligheidswaarschuwingen en voldoet aan de AVG.

Een SSL certificaat is actief wanneer:
– De URL van de website begint met HTTPS://
– Er een slotje getoond in de adresbalk van je internetbrowser

Nog geen SSL certificaat?
– Wordt je website door Grab a Web gehost? Dan kunnen wij dit voor je regelen, informeer naar de mogelijkheden/kosten.
– Wordt je website elders gehost? Dan dien je contact op te nemen met je provider.

Een contactformulier moet beveiligd worden met een SSL-certificaat. Bij het verzenden van mail via je ‘gewone’ e-mailadres (info@bedrijfsnaam.nl) ligt dat anders. Op het moment dat men daar op klikt, opent zich een nieuw venster naar bijvoorbeeld Outlook of Gmail (de cliënt). De websitebezoeker stuurt de mail dan niet via je website maar via deze cliënt, dus in dat geval is de cliënt verantwoordelijk voor de beveiliging van de persoonsgegevens.

LinkedInTwitterGoogle+FacebookPinterestEmailPrint

Laat een reactie achter

captcha