Het zal je vast niet ontgaan zijn. Er is heel wat reuring omtrent de General Data Protection Regulation (GDPR). In Nederland ook wel bekend als Algemene Verordening Gegevensbescherming (AVG). Deze wet is in 2016 in werking getreden en organisaties hebben tot 25 mei van dit jaar de tijd om hun bedrijfsvoering met de AVG in overeenstemming te brengen. Deze wet moet er voor zorgen dat je bewuster omgaat met data en daardoor goed beveiligd is. Omdat er veel nieuwe eisen aan beveiliging wordt gesteld is de implementatie nog niet zo eenvoudig.
In het kort komt het er op neer dat je kenbaar moet maken dat je persoonsgegevens verzameld, met welk doel je dit doet en met wie je deze data vervolgens deelt. De regelgeving rondom het verzamelen van persoonsgegevens wordt dus een stuk strenger. Bij het negeren van deze nieuwe wet riskeer je boetes die op kunnen lopen tot 20 miljoen euro. Deze wetgeving heeft invloed op je hele organisatie. Wat betekent deze wetgeving echter concreet voor jouw website? In deze blog laat ik het zien.
Zorg voor een goede privacyverklaring
Bezoekers moeten kunnen inzien wat er met persoonsgegevens gebeurt. Als organisatie moet je dus openheid geven over de verwerking van de persoonsgegevens. De betrokkene heeft daarnaast recht op inzage van de persoonsgegevens. Ook moet de desbetreffende persoon informatie krijgen over de wijze waarop zijn of haar persoonsgegevens verwijderd of aangepast kunnen worden. Schrijf deze tekst in eenvoudig Nederlands zodat iedereen de tekst begrijpt.
Zorg voor een beveiligde verbinding
Draait je website nog niet op HTTPS? Regel dit dan snel. Veel browsers geven al een melding wanneer een website niet via een beveiligde verbinding verloopt.
Volgens de GDPR ben je verplicht om te zorgen voor een optimale beveiliging van de persoonsgegevens. De kans dat hackers gevoelige persoonsgegevens onderscheppen via een openbaar netwerk wordt een stuk kleiner met een HTTPS verbinding. Binnen de AVG valt dit onder privacy by design. Kort gezegd dient bij de ontwikkeling van een website of ander product al rekening gehouden worden met de bescherming van persoonsgegevens.
Neem je formulieren onder de loep
Het klakkeloos opslaan van allerlei persoonsgegevens is verleden tijd. Volgens de wet mag je alleen om gegevens vragen die je echt gebruikt. Privacy by default wordt dit genoemd. Hierbij wordt er vanuit gegaan dat er altijd wordt nagedacht over privacy.
Bij alle gegevens moet je je dus afvragen of je het wel echt nodig hebt. Geef ook duidelijk aan met welk doel je om bepaalde informatie vraagt. In de praktijk betekent dit vaak kortere formulieren. En dat betekent vaak weer hogere conversie ratio’s! Heb je persoonsgegevens in je database staan die je niet gebruikt? Verwijder deze data.
Zorg voor een goed cookiebeleid
De Nederlandse cookiewet bestaat al sinds 2015. Je mag niet zomaar cookies opslaan (functionele cookies uitgezonderd) als de gebruiker daar geen toestemming voor heeft gegeven. De Nederlandse wet gaat plaatsmaken voor de nieuwe Europese cookiewet. Dit is opgenomen in de ePrivacy Verordening. Ook vanuit het GDPR wordt er van je verwacht dat je het cookiebeleid op orde hebt. Zorg er dus voor dat gebruikers cookies kunnen accepteren. Een cookiewall mag niet.
Voor functionele cookies hoef je geen expliciete goedkeuring te vragen. Voor alle andere cookies wel. Denk hierbij bijvoorbeeld aan tracking cookies. Alhoewel hier niet direct altijd persoonsgegevens worden opgeslagen is de wetgever wel van mening dat de privacy van de internetter in geding komt. Wees er van bewust dat een ip-adres ook een persoonsgegeven is. Voor het gebruik van Google Analytics moet je dus goedkeuring aan je bezoeker vragen. Gelukkig geeft Google Analytics de mogelijkheid om ip-addressen te anonimiseren waardoor een expliciet akkoord niet meer nodig is. Leg in de privacyverklaring wel altijd uit welke cookies opgeslagen worden en met welke reden dat gebeurt.
Weet wie er toegang tot de persoonsgegevens hebben en leg dit vast
Je moet gaan vastleggen welke gebruikers toegang hebben tot welke data. Het is raadzaam om hiervoor een datamap te maken van alle organisaties waarmee persoonsgegevens worden uitgewisseld. Denk hierbij aan de organisatie die je website beheert of het bedrijf die de hosting van je website verzorgt. Dit kan je opnemen in een verwerkersovereenkomst.
De GDPR gaat verder dan de hierboven beschreven punten. Bij het voldoen aan deze punten ben je echter een hele stap in de goede richting. Vragen over de integratie hiervan? We helpen je graag verder.
2 reacties
Hallo Karel-Jan,
Bedankt voor de uitleg!
Ik ben benieuwd hoe ik uit kan vinden of mijn website alleen functionele cookies of meerdere soorten gebruikt?
Vriendelijke groeten
Je kan eenvoudig controleren welke cookies geset worden. Zie voor Chrome: https://support.google.com/chrome/answer/95647?co=GENIE.Platform%3DDesktop&hl=nl. Je zult vervolgens zelf uit moeten zoeken wat functionele cookies zijn. Functionele cookies hebben een functionele rol in de website. Denk hierbij aan de inhoud van een winkelwagentje, het onthouden van een login of dat een bepaalde melding wel of niet meer getoond hoeft te worden.