GDPR / AVG checklist voor je website

Disclaimer

De verantwoordelijkheid voor het voldoen aan de nieuwe privacywet is de verantwoordelijkheid van de website-eigenaar. In dit artikel leggen we uit met welke stappen je voor je website rekening moet houden. Wij zijn hele goede webbouwers, maar in juridische zaken zijn wij helaas minder goed onderlegd. Om zeker te weten dat je aan alle regels voldoet adviseren wij je dan ook om contact op te nemen met een advocaat of AVG-adviseur. Zie je onjuistheden in dit artikel? Stuur dan een mailtje naar info@tijdvooreensite.nl zodat we het aan kunnen passen.

Is je website beveiligd met een SSL-certificaat?

Bij Tijdvooreensite voorzien wij alle websites van een SSL-certificaat. Zo’n certificaat zorgt ervoor dat alle gegevens die van en naar de bezoeker van je website gestuurd worden versleuteld zijn. Zelfs als een hacker deze gegevens onderschept zijn ze onleesbaar en dus onbruikbaar. Hiernaast beloont Google websites met een SSL-certificaat ook met een betere vindbaarheid en geven veel browsers een melding dat je site onveilig is als je geen SSL-certificaat hebt. Onder de nieuwe privacywet is het hebben van een SSL-certificaat verplicht als je een contactformulier op je website hebt of op een andere manier persoonsgegevens van je bezoekers verwerkt.

Contactformulieren

Als je een contactformulier op je site hebt staan zul je vanaf 25 mei aan een aantal nieuwe regels moeten voldoen.

1. Je bent verplicht om een SSL-certificaat op je website te gebruiken. Je klant verstuurt immers persoonsgegevens naar je toe en dat moet op een veilige manier gebeuren.

2. Je mag niet meer ongevraagd gegevens van je klanten opslaan en je zult hiervoor expliciet toestemming moeten vragen. Je kunt dit bijvoorbeeld doen door een verplichte checkbox aan je formulier toe te voegen met de vraag of de gebruiker akkoord gaat. We leggen hier uit hoe je dat in Sweet CMS kunt doen.

3. Je bent verplicht in je privacyverklaring te omschrijven welke gegevens je opslaat, wat je hier mee gaat doen en hoe lang deze bewaard zullen blijven. Als deze termijn is verstreken ben je verplicht de gegevens ook daadwerkelijk te verwijderen. Ook moet je aangeven hoe je bezoeker zijn gegevens kan opvragen en/of aanpassen.

4. Je moet ervoor zorgen dat de gegevens zo veilig mogelijk opgeslagen worden. Voor de gegevens die in het CMS staan zorgen wij hiervoor, maar je moet zelf oppassen dat je bijvoorbeeld geen printjes laat slingeren of een laptop ergens onbeveiligd achter laat.

Privacyverklaring

Het is verplicht om een privacyverklaring te plaatsen op elke website waar persoonsgegevens worden verzameld. Het begrip persoonsgegevens is behoorlijk ruim, een IP-adres valt hier bijvoorbeeld ook al onder. In deze privacyverklaring moet je onder andere vermelden welke gegevens je van je bezoekers opslaat, hoe en waarom je dit doet en hoe lang je deze gegevens opslaat. In dit artikel staat uitgebreid omschreven waar je privacyverklaring aan moet voldoen.

Google Analytics

Gebruik je Google Analytics op de website? Dan ben je volgens de nieuwe wet al bezig met het verzamelen van persoonsgegevens. Google Analytics slaat de IP-adressen van bezoekers op, en dit zijn ook persoonsgegevens. Gelukkig kun je Google Analytics vrij eenvoudig zo instellen dat er geen persoonsgegevens meer opgeslagen worden. Hiervoor heeft de Autoriteit Persoonsgegevens een handleiding online gezet. Wil je toch IP-adressen opslaan? Dan zul je hiervoor toestemming aan je bezoekers moeten vragen. Als ze deze toestemming niet geven, dan mag je geen Google Analytics gebruiken zonder deze te anonimiseren.

YouTube

Als je een filmpje van YouTube op je website embed dan houdt deze ook gegevens van je bezoekers bij. Dit mag niet meer zonder toestemming te vragen, maar gelukkig kan je een YouTube filmpje ook embedden in de zogeheten ‘Privacymodus’. Je kunt hier lezen hoe je dat moet doen. Als je toch wilt bijhouden wie de filmpjes bekijkt moet je dit aangeven in je privacyverklaring en zul je eerst aan je bezoekers toestemming moeten vragen.

Adverteren op Facebook of Google

Wanneer je adverteert op Facebook of Google gebruik je waarschijnlijk ook een Facebook Pixel en/of Google Adwords tag op je website. Ook deze mag je niet meer zonder toestemming gebruiken. Je moet dus netjes in je privacyverklaring vermelden welke gegevens je verzamelt en toestemming vragen aan de bezoeker voor je dit doet. Als je bezoeker geen toestemming geeft dan mag je ook geen gebruikersgegevens opslaan.

Social media

Als je op je website de mogelijkheid aan je bezoekers biedt om eenvoudig content te delen via bijvoorbeeld ShareThis, Google Plus, Facebook, Twitter, Instagram of één van de vele andere mogelijkheden dan ben je vanaf 25 mei in overtreding. Al deze sharebuttons houden namelijk bij wie er op geklikt heeft en dat mag niet meer zonder toestemming. Dus ook hier geldt dat je eerst toestemming moet vragen en in je privacyverklaring moet aangeven welke gegevens er opgeslagen worden en door wie.

Verwerkersovereenkomst

Vanaf 25 mei ben je verplicht om een verwerkersovereenkomst af te sluiten met partijen die je hebt ingeschakeld om persoonsgegevens van je klanten te verwerken. Wij zijn zo'n partij. Als klant zul je met ons een verwerkersovereenkomst af moeten sluiten als je op je website om persoonsgegevens van je bezoekers vraagt. Stuur een mailtje naar info@dudesquare.nl en we sturen hem naar je toe.

Overige zaken

Op deze pagina hebben we uitgelegd welke zaken je aan kan pakken om met je website aan de nieuwe privacywetgeving te voldoen. Het is echter belangrijk om niet te vergeten dat de AVG veel verder gaat dan alleen je website. Je boekhoudprogramma zal bijvoorbeeld ook persoonsgegevens verwerken, evenals je boekhouder of je administrateur. Daarnaast moet je zorgen dat je laptops goed beveiligd zijn, dat je een goed systeem voor het beheer van je wachtwoorden gebruikt en vele andere dingen. Voor meer informatie kun je terecht op de website van de Autoriteit Persoonsgegevens.