Is jouw website AVG-compliant of riskeer je een boete?

Het doel van de AVG-wet is de persoonlijke informatie van consumenten beter te beschermen. Wie dat niet doet riskeert een flinke boete.

In dit artikel geef ik uitleg over de AVG (GDPR) en wat je aan je website en de cookies van je website moet aanpassen om aan de wet te voldoen.

Voor wie?

Elke ondernemer of organisatie die persoonsgegevens opslaat, krijgt te maken met de AVG.

Dat is dus eigenlijk altijd, want elke organisatie heeft persoonsgegevens van klanten of belanghebbenden.

Het beperkt zich niet alleen tot klantgegevens, maar het betreft alle persoonsgegevens en dat is al snel als het een naam en een e-mailadres (of een IP-adres!) bevat.

Denk bijvoorbeeld aan reacties op blogs of inschrijvingen voor nieuwsbrieven of blog updates.

Alleen persoonsgegevens voor persoonlijk gebruik, zoals de verjaardagskalender op je toilet of de telefoonnummers van je vrienden op je mobiel, vallen niet onder de AVG.

Wanneer mag je wat gebruiken?

De kern van de AVG is dat je alleen persoonsgegevens mag verzamelen die nodig zijn voor een bepaald doel. Die mag je dan ook alleen voor dat doel gebruiken.

De toezichthouder let met name op de volgende aspecten:

1. Toestemming

Heeft de gebruiker expliciet toestemming gegeven voor het gebruik van zijn gegevens voor dat specifieke doel?

Een vinkje standaard aanzetten voor het inschrijven van een nieuwsbrief bijvoorbeeld, mag niet meer.

De persoon moet zelf actief het vinkje aanzetten (opt-in) waarmee hij toestemming verleent om zijn persoonsgegevens te gebruiken.

Het moet ook duidelijk zijn waarvoor hij toestemming verleent en waarvoor zijn gegevens worden gebruikt.

Daarnaast wordt het voor de gebruiker op elk moment mogelijk om zijn toestemming weer in te trekken.

2.   Duidelijkheid

De persoon in kwestie moet weten waarvoor en hoe zijn persoonsgegevens worden verwerkt.

Dit moet hij op elk moment kunnen terugvinden. Hij moet eenvoudig kunnen opvragen welke gegevens van hem zijn opgeslagen.

Als bedrijf moet je ervoor zorgen dat je deze eenvoudig en snel kunt overdragen.

De wetgever doelt met duidelijkheid niet alleen op opt-in berichten, maar ook op begrijpelijk taalgebruik in de privacyverklaring op je website.

3. Privacy

Als je producten en diensten ontwikkelt dan moet de verzameling, beveiliging en bewaartermijn van de gegevens worden afgestemd op het doel waarvoor je deze gebruikt (privacy by design).

Dat geldt dus ook voor de bouw van je website.

Daarnaast geldt dat je technisch en organisatorisch standaard alleen die gegevens mag verzamelen en opslaan die nodig zijn voor het doel waarvoor je ze verzamelt (privacy by default).

Als de gegevens worden verzameld via een formulier op je website, dan moeten ze versleuteld worden verzonden via https.

Stappenplan voor je organisatie

Wat betekent de AVG voor jouw organisatie? Welke stappen moet je ondernemen? Hieronder geef ik een lijstje met de algemene zaken die je moet regelen. Daarna ga ik dieper in op specifieke zaken voor analyses en adverteren.

Gebruik je Adwords, Google Analytics of Facebook of embed je wel eens een YouTube video?

Privacyverklaring

Je website moet een privacyverklaring in duidelijke taal hebben. Deze moet eenvoudig te vinden zijn op je website, zeker op de pagina’s waarop je gegevens verzamelt.

Wat er precies in moet staan kun je het beste met een gespecialiseerde jurist afstemmen, want dat is niet iets wat ik je kan adviseren.

SSL-certificaat en updates

Als je gegevens via je website verzamelt, dan wordt een SSL-certificaat verplicht.

Voor het installeren van een SSL-certificaat kun je een webdeveloper inschakelen.

Maar vergeet niet om dit ook af te stemmen met jouw AdWords en SEO specialist! De installatie van een SSL-certificaat kan anders tot ongewenste gevolgen leiden in je zoek machine marketing.

Aanpassen cookiemelding

Je mag alleen cookies plaatsen als bezoekers daar uitdrukkelijk toestemming voor geven.

In je cookiemelding moet je duidelijk maken waarvoor je cookies plaatst. En in een aparte verklaring moet per cookie een duidelijke beschrijving worden gegeven.

Gebruik je Adwords, Google Analytics of Facebook of embed je wel eens een YouTube video? Dan moet je daar duidelijk over zijn in je cookiemelding.

Ik adviseer om een speciale cookie-banner te installeren waarin bezoekers kunnen aangeven voor welke doeleinden je hun gegevens mag gebruiken. In de laatste paragraaf vertel ik daar meer over.

Check je website en e-mails op duidelijkheid en opt-in/opt-out

Check op alle pagina’s waar je gegevens verzamelt of je duidelijk bent over het doel waarvoor de gegevens gaan worden gebruikt.

Controleer of de actie van degene die zijn gegevens achterlaat, een doelbewuste actie is (opt-in). Vroeger stond er al vaak een vakje aangevinkt. Dat mag niet meer na 25 mei.

Vergeet bij een opt-in actie niet te verwijzen naar de privacyverklaring. Kijk ook of er duidelijk omschreven staat hoe men zich kan afmelden (opt-out).

Kunnen bezoekers eenvoudig terugvinden hoe ze zich kunnen afmelden en hun gegevens kunnen aanpassen of laten verwijderen?

Registratie opt-ins

Alle opt-in mails moet je vastleggen. Met behulp van deze registratie moet je later kunnen aantonen dat je expliciet toestemming hebt gekregen en voor welk doel.

Als je dit niet kunt laten zien voor je huidige klantenbestand, dan ben je verplicht hen opnieuw te mailen en te vragen of ze nog steeds e-mail van je willen ontvangen.

Meldplicht datalekken

Je bent verplicht om datalekken te melden. Daarvan is sprake als je weet of vermoedt dat derden toegang hebben gekregen tot persoonsgegevens, terwijl ze daar geen recht toe hadden.

Bijvoorbeeld als een server is gehackt. Deze datalekken moet je eveneens vastleggen waarbij je bij de Autoriteit Persoonsgegevens moet kunnen aantonen dat je voldoende maatregelen hebt genomen om de gegevens te beschermen.

Bewerkersovereenkomsten

Met alle partijen die toegang hebben tot de persoonsgegevens die je verzamelt, moet je bewerkersovereenkomsten opstellen.

Denk aan partijen als je hosting provider, Google Analytics, Facebook, websitebouwer etc. Als verwerker ben je verantwoordelijk voor de gegevens.

Sommige van deze partijen hebben al dergelijke overeenkomsten. Op internet vind je ook modelovereenkomsten die je kunt gebruiken voor partijen die dat niet hebben.

Aanpassingen aan cookies voor analyse en marketing

Naast de NAW-gegevens valt ook het IP-adres onder persoonsgegevens in de nieuwe wet, omdat deze te herleiden is tot één persoon.

Die regel heeft invloed op het verzamelen van gegevens ten behoeve van analyses.

Als je een cookie voor Google Analytics wilt plaatsen zonder de gebruiker om toestemming te vragen, dan mag je geen IP-adressen meer opslaan.

Let op dat je huidige remarketinglijsten waarschijnlijk niet voldoen aan de nieuwe wetgeving!

Google Analytics

In Google Analytics bestaat de mogelijkheid om IP-adressen te anonimiseren en gegevens niet langer met Google te delen voor advertentiedoeleinden.

Daarmee wordt Google Analytics privacyvriendelijk, maar dan mis je ook bepaalde data die je kunt gebruiken voor remarketing, advertenties en het uitsluiten van je eigen IP-adres (en dat van collega’s) in de analyses.

Als je die gegevens niet wilt missen dan ben je verplicht alleen cookie te plaatsen wanneer de gebruiker expliciet toestemming verleent, hetzij voor het gebruik voor alle doeleinden of alleen voor specifieke doeleinden.

Remarketing, Display en SEA

Als je gegevens verzamelt ten behoeve advertising, zoals demografische gegevens en interesses, dan zijn dit volgens GDPR persoonlijke gegevens.

Hetzelfde geldt voor gegevens ten behoeve van remarketing en het meten van conversie.

Daarom moet je je gebruikers op de hoogte stellen met welk doel je cookies plaatst en hen expliciet toestemming laten geven dat ze daarmee akkoord gaan.

Pas nadat er toestemming is gegeven voor het gebruik van data voor deze doeleinden mag je het gebruiken voor dat specifieke doel.

Als de toestemming eenmaal is gegeven, mag je in de toekomst doorgaan met het doel waarvoor de toestemming is gegeven.

Ook in je privacy statement moet je melding maken dat je deze data verzamelt. Daarin beschrijf je duidelijk welke gegevens je verzamelt en waarom.

Benoem daarin ook de juridische grondslag,  bijvoorbeeld het opbouwen van interesseprofielen (doel) ten behoeve van advertentiedoeleinden (juridische grondslag).

Ook vermeld je dat je gegevens deelt met derden zoals Google (Analytics en AdWords) of Bing.

Let op dat je huidige remarketinglijsten waarschijnlijk niet voldoen aan de nieuwe wetgeving!

Deze gegevens zijn immers niet verzameld volgens de nieuwe richtlijnen. Vraag daarom opnieuw expliciet toestemming en bouw nieuwe lijsten op.

Hulp nodig bij het installeren van een cookiebanner?

Ik help organisaties met het installeren van een speciale cookie-banner om de gebruiker om toestemming te vragen gegevens voor bepaalde doeleinden te verzamelen.

Ik maak hiervoor gebruik van een speciale SaaS tool en maak diverse aanpassingen in Google Tagmanager en de website.

Met deze speciale cookie-banner kunnen gebruikers kiezen uit verschillende functies waarvoor cookies worden geplaatst.

Dat is niet hetzelfde als de oude cookie-banners die er automatisch van uit gaan dat je akkoord gaat als je de website blijft gebruiken.

De cookiebanner moet de mogelijkheid geven om opt-ins te registreren in een logboek en je moet deze ten alle tijde kunnen wijzigen als gebruiker.

Wil jij ook een gespecialiseerde cookie-banner die aansluit op jouw website en marketingdoeleinden en voldoet aan de AVG wetgeving?

Neem dan contact op.