Of je nu een ondernemer bent dan wel een vrijwilliger bij een vereniging of stichting, op 25 mei 2018 dien je te voldoen aan de Algemene verordening gegevensbescherming (AVG). Indien je een website beheert, wil je uiteraard weten wat vanuit de AVG aandachtspunten zijn voor je site. In dit artikel zetten we ze voor je op een rij.

Wat houdt de AVG in?

De AVG, ook wel bekend als de General Data Protection Regulation (GDPR), vervangt vanaf 25 mei 2018 onze Nederlandse privacywet: de Wet bescherming persoonsgegevens (Wbp). De AVG geldt straks voor alle lidstaten van de Europese Unie.

Het voornaamste doel van de AVG is het beter waarborgen van de privacy van burgers. De verordening bevat daarom uitgebreide privacyrechten voor burgers. Daarnaast worden er meer verantwoordelijkheden neergelegd bij organisaties met betrekking tot gegevensverwerking. Iedereen die persoonsgegevens verwerkt, dient dit vanaf 25 mei 2018 volgens de regels van de AVG te doen. Doe je dit niet? Dan kun je een hoge boete opgelegd krijgen.

Tip: Wil je meer lezen over de algemene uitgangspunten van de AVG, de verplichtingen voor ondernemers of de privacyrechten van betrokkenen? Lees dan ons artikel ‘De AVG: wat moet je als ondernemer weten?

Tips voor je website

De AVG stelt geen specifieke technische eisen aan je website. In de wet staat bijvoorbeeld niet dat je een SSL-certificaat moet hebben. Het is wettelijk wel verplicht om aan te tonen dat je websitebeveiliging op orde is. Jij dient er dus alles aan te doen om gegevens van klanten, leden en donateurs veilig te verwerken. Ga om te beginnen na of je persoonsgegevens op jouw website verwerkt. Zo ja, noteer welke gegevens dit zijn en bedenk welke maatregelen jij moet nemen om je website optimaal te beveiligen. Wij denken graag met je mee, daarom vind je hieronder een beknopte checklist.

Let op: Wij zijn geen juristen, dus twijfel je of heb je aanvullende vragen? Neem dan contact op met een juridische partij die gespecialiseerd is in ICT-vraagstukken.

1. Zorg voor een duidelijke privacyverklaring

Mogelijk heb je al een privacyverklaring op je website staan. Voor de AVG moet jouw privacyverklaring nog transparanter zijn. Je dient bijvoorbeeld toe te lichten hoe lang je persoonsgegevens bewaart en of je deze gegevens deelt met anderen. Verder dien je jouw klanten te attenderen op hun rechten en de mogelijkheid tot het indienen van een klacht bij de Autoriteit Persoonsgegevens (AP). Benieuwd wat er precies in je privacyverklaring moet staan? Bekijk dan deze handige checklist van Charlotte’s Law.

2. Vraag op een correcte manier toestemming

Bevat jouw website een contact- of downloadformulier? Zorg er dan voor dat je deze gegevens alleen gebruikt om contact op te nemen of een download toe te sturen. Je mag zonder expliciete toestemming (opt-in) deze persoon niet abonneren op een nieuwsbrief of een andere mailing.

Als organisatie moet je kunnen aantonen dat een bezoeker vrijwillig en specifiek voor bepaalde informatie toestemming heeft gegeven. Wil je dus dat een websitebezoeker zich aanmeldt voor je nieuwsbrief? Doe dit dan via een apart aanvinkboxje. Hierbij is het belangrijk dat je specifiek en duidelijk uitlegt welke informatie je toestuurt. Vermeld ook in welke vorm en frequentie je dit wilt doen. Verder is het goed om te weten dat het gebruik van vooraangevinkte boxjes niet langer is toegestaan.

Werk je met MailChimp? MailChimp heeft diverse maatregelen genomen om organisaties te helpen met de AVG. Meer informatie vind je op het blog van MailChimp.

3. Let op met WordPress-plugins

Ongeveer 30% van alle websites is gebouwd met WordPress. Draait jouw website op WordPress? Houd er dan rekening mee dat je WordPress-plugins in lijn dienen te zijn met de AVG. Verzamel via je plugins dus geen onnodige gegevens, en deel niet zomaar zonder een verwerkersovereenkomst gegevens met derden. We raden je aan een overzicht te maken van de WordPress-plugins op je site. Vervolgens kun je per plugin nagaan welke gegevens deze verzamelt. Een overzicht van je plugins vind je onder ‘Plugins’ in de sidebar van je WordPress-Dashboard.

Een overzicht gemaakt? Goed bezig. Ga nu na of de plugins voldoen aan de AVG. Dit kun je veelal vinden op de website van de pluginmaker of via WordPress.org. Via WordPress.org kun je bijvoorbeeld onder het ‘Support’-tabje van een specifieke plugin zoeken op ‘GDPR’. Geen resultaten gevonden of twijfel je? Stuur dan gerust de makers van de plugin een berichtje of ga op zoek naar een andere plugin die wel aan de vereisten voldoet.

4. Verwijder onnodige accounts

Organisaties zijn volgens de AVG verplicht om alleen bevoegde medewerkers toegang tot persoonsgegevens te geven. Dit geldt uiteraard ook voor de back-end van je website. Ga dus na wie er toegang hebben tot jouw website. Verwijder vervolgens de gebruikers voor wie toegang voor hun werkzaamheden niet vereist is.

5. Versleutel gegevens

Vanuit de AVG is het verplicht om je gegevens veilig op te slaan. Wij raden je aan om klantgegevens versleuteld op te slaan. Versleutelde gegevens zijn namelijk minder waardevol voor kwaadwillende derden dan onversleutelde gegevens. Er bestaan diverse tools om gegevens te versleutelen. Denk bijvoorbeeld aan 7-zip of AESCrypt.

Daarnaast kun je een https-verbinding op je website tot stand brengen. Een https-verbinding is een versleutelde verbinding waarmee websitegebruikers gegevens versleuteld naar jou als website-eigenaar sturen. Een https-verbinding kun je tot stand brengen met een SSL-certificaat. Meer weten over SSL-certificaten? Lees dan het artikel ‘Verstuur je websitegegevens veilig met een SSL-certificaat’.

6. Vraag actief akkoord voor cookies

Op dit moment geldt voor cookies de Nederlandse cookiewet. Deze zal naar verwachting in 2019 plaatsmaken voor de e-Privacyverordening (EPV). Dit duurt nog even, maar het is handig om de nieuwe regels direct mee te nemen in je privacybeleid. De EPV zal namelijk naast de AVG van kracht zijn. Er bestaan verschillende soorten cookies:

  • Functionele cookies – Deze cookies zijn nodig om je website te laten werken. Denk aan het tonen van een product in het winkelmandje.
  • Analytische cookies – Hiermee krijg je inzicht in de statistieken van je website. Google Analytics maakt bijvoorbeeld gebruik van analytische cookies.
  • Marketing-cookies (ook wel tracking-cookies genoemd) – Met deze cookies volg je het surfgedrag van bezoekers. Bedrijven kunnen met deze informatie gerichte aanbiedingen doen.

Cookies mogen momenteel worden geplaatst, mits er toestemming voor is verkregen, ze functioneel van aard zijn of ze geen/geringe invloed hebben op de persoonlijke levenssfeer van de betrokkene (ICTRecht, website ICTRecht: https://ictrecht.nl/2017/01/13/de-e-privacyverordening-eindelijk-de-nederlandse-cookiewet-op-de-schop/, 13 januari  2017). Ook in de nieuwe situatie hoeven je websitegebruikers geen toestemming te geven voor functionele cookies. Analytische cookies mag je toepassen, mits ze voor eigen gebruik zijn en niet gedeeld worden met derden. Gebruik je Google Analytics? Stel Google Analytics dan ‘privacyvriendelijk’ in. In de handleiding van de AP lees je hoe dit werkt.

Wat rest zijn de marketing-cookies. Voor het gebruik van deze cookies moet je toestemming blijven vragen. Bovendien kunnen internetgebruikers met ingang van de EPV via hun browserinstellingen marketing-cookies accepteren of weigeren. De instellingen mogen niet worden genegeerd, wel mag je vragen of een gebruiker alsnog de marketing-cookies wil toestaan. Een cookie-wall – het niet weergeven van de website voor bezoekers die niet akkoord gaan met cookies – is niet langer toegestaan.

Ons advies? Ga na welke cookies je gebruikt op je site. Verwijder onnodige cookies en vraag indien nodig toestemming aan je websitebezoekers voor de cookies. Dit kun je doen middels een cookiebanner met een verwijzing naar je cookieverklaring. Heb je hulp nodig bij het opstellen van een cookiebanner en/of cookieverklaring? Lees dan het artikel van ICTRecht.

En hoe zit het dan met…

Op internet kun je diverse artikelen, checklists en websitecheckers vinden over de vereisten die de AVG aan je website stelt. Helaas zien we het vaak gebeuren dat deze informatiebronnen website-eigenaren onnodig bang maken. Niet alles wat geschreven wordt, is namelijk een vereiste voor de AVG. Hieronder vind je enkele (technische) aspecten die niet direct relevant zijn voor de AVG.

IPv6

Dankzij het internetprotocol (IP) kunnen computers met elkaar communiceren. Op dit moment kennen we 2 versies van het internetprotocol: versie 4 en versie 6. Internetprotocol versie 4 noemen we IPv4, en internetprotocol versie 6 heet IPv6. IPv6 is voornamelijk ontwikkeld om het tekort aan beschikbare IP-adressen te verhelpen. IPv6 levert geen directe bijdrage aan de veiligheid van een website en is daarom niet van belang voor de AVG.

HSTS

HSTS staat voor ‘HTTP strict transport security’. HSTS is een beveiligingsmechanisme tegen zogeheten downgrade-aanvallen. Door het mechanisme kunnen webservers vereisen dat webbrowsers alleen beveiligde https-verbindingen kunnen gebruiken, in plaats van het onveilige http-protocol. Zoals gezegd is een https-verbinding aan te raden, maar geen vereiste voor de AVG. Dit geldt ook voor HSTS.

DNSSEC

Domain Name System (DNS) is het systeem dat wordt gebruikt om namen van computers naar numerieke adressen (IP-adressen) te vertalen en omgekeerd. Met DNSSEC ben je er zeker van dat de DNS naar het juiste IP-adres wordt doorgezet. Goed om te weten: bijna alle domeinen die Hostnet aanbiedt, zijn standaard beveiligd met DNSSEC.

Het serveren van onjuiste DNS-records door kwaadwillenden is een lastige klus en komt om die reden bijna niet voor. Daarnaast zullen gebruikers nooit een geldig SSL-certificaat tegenkomen op verkeerd geserveerde domeinnamen. Het risico op hacks en datalekken is zonder het gebruik van DNSSEC daarom erg klein. DNSSEC is dus een kleine stap naar een veiligere website, maar is niet nodig om te kunnen voldoen aan de AVG.

Hostnet en de AVG

Als je samenwerkt met partijen die in jouw opdracht persoonsgegevens verwerken, dan ben je verplicht met iedere verwerker een verwerkersovereenkomst te sluiten. Dit dien je ook te doen met je hostingpartij. Ben je klant bij Hostnet? Dan ontvang je in de komende weken een bericht waarin we je vragen via Mijn Hostnet een verwerkersovereenkomst af te sluiten.

Heb je voor die tijd al vragen? Neem dan contact op met onze Klantenservice. Onze Klantenservice is telefonisch bereikbaar op 020-7500800, via de chat op Hostnet.nl of via sales@hostnet.nl.

What’s next?

Het AVG-proof maken van je website is een stap in de goede richting. Maar vergeet ook zeker niet de andere processen binnen jouw organisatie na te lopen. Je bent vanuit de AVG bijvoorbeeld ook verplicht:

  • om alle verwerkingen van persoonsgegevens in een register te documenteren (registerplicht);
  • bij de ontwikkeling van producten en diensten voldoende rekening te houden met privacy (privacy by design);
  • indien nodig te werken met een Privacy Impact Assessment (PIA);
  • een functionaris voor de gegevensbescherming aan te stellen (dit is niet voor iedere organisatie verplicht, maar mag wel altijd);
  • datalekken te registreren (ook indien je deze niet bij de AP hoeft te melden);
  • verwerkersovereenkomsten te sluiten met de partijen met wie je samenwerkt.

Denk er daarnaast aan dat de AVG betrokkenen meer privacyrechten geeft. Als verantwoordelijke voor de verwerking van persoonsgegevens ben je verplicht gehoor te geven aan deze rechten.

Voor meer informatie over de AVG verwijzen we je graag door naar de sites van ICTRecht, de Autoriteit Persoonsgegevens en het Ministerie van Justitie en Veiligheid.

Delen
Reacties
  • Richard 26 april 2018 om 11:57

    Vraagje: een persoon vraagt zich af welke data wij over hem/haar beschikken en wil dit graag inzien (wat zijn recht is). Het lijkt me niet dat ik deze per e-mail kan gaan versturen. Zijn hier ook regels/oplossingen voor?

    • Charlotte Wigny 01 mei 2018 om 08:58

      Beste Richard,

      Die zijn er zeker. Op de website van de Autoriteit Persoonsgegevens vind je meer informatie over het recht van inzage en de veelgestelde vragen over dit onderwerp: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/recht-op-inzage.

      Mocht je er niet uitkomen, dan kun je eventueel ook telefonisch contact opnemen met de Autoriteit Persoonsgegevens.

      Met vriendelijke groet,

      Charlotte

  • cindy Theunissen 26 april 2018 om 12:09

    Duidelijk artikel Charlotte!

    • Charlotte Wigny 01 mei 2018 om 08:59

      Dankjewel, Cindy!

  • Eric 29 april 2018 om 12:22

    Charlotte, moet ik als eenmanszaak en management consultant speciale acties ondernemen. De website is niet in wordpress/geen plugins, geen personeel, geen verzamelde gegevens van klanten e.d., contact formulier is er maar kent geen actief gebruik en binnenkomende emails worden verwijderd, nieuwsbrief is niet van toepassing …… Alles beveiligd conform laatste standaard….

    Echter 1 gewetensvraag … zoals zovele ondernemers ook een FB pagina waarop wat reclame uitingen. Wat FB hier mee doet weten we inmiddels allemaal. Kan dit binnen de AVG?

    • Charlotte Wigny 01 mei 2018 om 08:56

      Beste Eric,

      Bedankt voor je vragen. Ook als je een eenmanszaak hebt, dien je gepaste maatregelen te nemen voor de AVG. Uit je reactie maak ik op dat je op je website enkel persoonsgegevens verzamelt via een contactformulier. Ondanks dat het formulier weinig gebruikt wordt, is het goed om na te gaan of je met het formulier enkel de gegevens verzamelt die je nodig hebt. Vraag je bijvoorbeeld naam, adres, e-mailadres en telefoonnummer in je formulier? En neem je vervolgens altijd telefonisch of via e-mail contact op? Dan heb je de adresgegevens niet nodig, en dien je dat veld te verwijderen. Voor de AVG is het namelijk belangrijk dat je alleen de gegevens verzamelt die je echt nodig hebt. De verzamelde gegevens dien je vervolgens ook alleen te gebruiken om contact op te nemen met die persoon. Wij raden je aan dit in een privacyverklaring op je website te vermelden.

      Verder kun je voor de zekerheid nog even nadenken of je website gebruikmaakt van cookies (gebruik je bijvoorbeeld Google Analytics, dan gebruik je ook cookies) en of je website gekoppeld is aan software van derden. Denk bijvoorbeeld aan een boekhoudpakket.

      Het gebruik van socialmedia-kanalen zoals Facebook is uiteraard toegestaan binnen de AVG, mits de social media voldoen aan de wetgeving. Facebook is momenteel bezig om het platform in orde te maken voor de AVG. Mocht je hier meer over willen weten, dan verwijs ik je door naar: https://www.facebook.com/business/gdpr

      Met vriendelijke groet,
      Charlotte

  • Anco 30 april 2018 om 08:30

    Goed artikel. Dank je!

    • Charlotte Wigny 01 mei 2018 om 08:59

      Graag gedaan, Anco!

  • Jolanda 01 mei 2018 om 08:52

    Heel fijn en duidelijk dit artikel! Met alle linkjes naar andere pagina’s met informatie heb ik zo een compleet overzicht van wat ik moet doen ivm de AVG. Bedankt Charlotte!

    • Charlotte Wigny 01 mei 2018 om 09:01

      Beste Jolanda,

      Goed om te horen! Ik wens je veel succes met de wijzigingen!

      Met vriendelijke groet,

      Charlotte

  • Rein Claus 16 mei 2018 om 14:31

    Hallo Charlotte, Ik heb jou artikel: Zo maak je jouw…..etc. gelezen. Wij zijn een clubje van 4 hobby fotografen en beheren een aantal FB-sites. Alle sites zijn niet-commercieel en we verwerken ook geen persoonsgegevens. Wel maken wij in de stad waarin wij wonen evenementen foto’s met een stukje redactie/toelichting. We hebben zo ongeveer 50.000 bezoekers wekelijks van onze sites. We vragen steeds toestemming om een foto te maken/plaatsen. Momenteel gaan er nogal wat indianenverhalen rond wat wij wel mogen, vooral niet mogen in het kader van de A.V.G. Gaarne jouw advies in deze.

  • steph van laar 16 mei 2018 om 22:58

    Hallo Charlotte,
    ik gebruik mijn website eigenlijk niet meer , ik heb een rallyteam/stichting en publiceerde eigenlijk alleen info van ons team en foto’s.
    moet ik dan ook van alles regelen voor de privacy wet, want anders stop ik gewoon met de website.
    met vriendelijke groet,
    steph

Reageer

Praat mee over dit onderwerp