Vanaf 25 mei 2018 gaat de Algemene verordening gegevensbescherming (AVG) in. Deze is ook wel bekend onder de naam General Data Protection Regulation (GDPR). Voor de gehele Europese Unie geldt er vanaf dat moment dezelfde wetgeving met betrekking tot privacy. De Wet bescherming persoonsgegevens (Wbp) geldt vanaf dat moment niet meer. In dit artikel een uitleg over wat dit betekent als je een website hebt.
Het doel van de AVG
Het doel van de AVG is verdere versterking en uitbreiding van privacyrechten. Het legt meer verantwoordelijkheden bij organisaties (zoals bedrijven, maar ook verenigingen) en het creeërt (stevige) bevoegdheden voor alle Europese privacytoezichthouders (bijvoorbeeld de bevoegdheid om boetes tot 20 miljoen euro op te leggen of tenminste 4% van de jaaromzet. Bedragen kunnen zo snel oplopen als je niet aan de eisen van de AVG voldoet). De AVG heeft betrekking op de gegevensverwerking binnen het hele bedrijf. Hier kun je meer over lezen op de website van de Autoriteit Persoonsgegevens.
Gevolgen voor websites?
In dit artikel worden de maatregelen genoemd die je kunt (laten) nemen waarmee je wat betreft je website zult voldoen aan de AVG.
Privacyverklaring
Begin eerst met het opstellen van een privacyverklaring. Er zijn voldoende voorbeelden op het internet te vinden. Let op de basisregels: de verklaring dient helder, transparant en voor iedereen begrijpbaar te zijn. Er wordt op korte termijn ook een voorbeeldversie op deze website beschikbaar gesteld. Deze kan naar de persoonlijke situatie aangepast worden. Zet deze privacyverklaring op een goed vindbare plek (bijvoorbeeld als link in de footer) op je website. Zorg ervoor dat je voorafgaand aan het (laten) opstellen van je privacyverklaring weet welke gegevens via de website worden opgeslagen en/of verwerkt.
SSL Certificaat
De AVG/GDPR verplicht je om te zorgen voor een optimale beveiliging van persoonsgegevens. Sla je formulieren of (nieuwsbrief-) aanmeldingen op via je site? Dan is een SSL certificaat (HTTPS) verplicht. Dit geldt ook voor alle webshops. Voor alle klanten van Oburon (die gebruik maken van de hosting provider van Oburon) is dit gratis beschikbaar.
Wat is SSL?
SSL (of eigenlijk TLS) is herkenbaar aan HTTPS voor de url. Het is een techniek die de verbinding tussen de bezoeker van een website en de server beveiligd middels encryptie. Sterker nog, SSL werkt twee kanten op. Met een SSL verbinding kan men niet meelezen met wat je naar de website verstuurt. Het voorkomt ook dat informatie die naar de website verstuurd wordt, of vanaf de website verzonden wordt, aangepast kan worden. Als website eigenaar wil je 100% zeker weten dat jouw bezoeker of klant datgene op jouw website te zien krijgt dat je er zelf hebt neergezet. Daarom is een veilige SSL verbinding voor iedere website een must.
Contactformulieren
Vraag via de contactformulieren op je website alleen om informatie die je écht nodig hebt en die betrekking heeft op de specifieke contactaanvraag. Vraag je om (bijvoorbeeld) een geboortedatum, dan moet je expliciet vermelden waarvoor je dit nodig hebt. Plaats daarnaast een selectievakje waarin je toestemming vraagt voor het verwerken (en eventueel opslaan) van de ingevulde gegevens.
Google Analytics
Wordt er Google Analytics gebruikt om bijvoorbeeld bezoekersaantallen bij te houden? Dan ben je verplicht om een overeenkomst te sluiten met Google. Google is een dataverwerker die je toestemming geeft om de persoonsgegevens van jouw bedrijf te verwerken. Gelukkig is dit een eenvoudige handeling. Als je bent ingelogd via Google Analytics ga je naar instellingen (tandwiel) > Accountinstellingen > Aanpassing van de gegevensverwerking (laatste optie). Een ander aandachtspunt is het IP-adres, omdat dit een persoonsgegeven is. Vraag je je bezoekers niet vooraf om hun akkoord, dan moet je het IP-adres laten anonimiseren. Hiervoor is een aanpassing nodig in het script van Google Analytics.
Gebruikers binnen je CMS
Wanneer iemand toegang heeft tot het CMS (Content Management Systeem) van je site, dan moet die persoon daar een geldige reden voor hebben. Iedere gebruiker moet je specifiek vastleggen zodat duidelijk is wie (en waarom) toegang heeft tot persoonsgegevens. Verwijder alle onnodige accounts.
Beheer en beveiliging
Je bent zelf verantwoordelijkheid voor de veiligheid van je website. Denk hierbij aan het pro-actief beveiligen van je website. Zorg ervoor dat de website altijd up-to-date is (thema’s/plugins en het CMS zelf). Zorg dat er regelmatig backups gemaakt worden. Dit is een vrij eenvoudige taak. Ontbreekt het je aan de tijd om dit zelf te doen, besteedt het dan uit.
Wil je meer weten over de te nemen maatregelen of heb je nog andere vragen mbt de AVG en je website? Neem gerust contact op.