Hoe maak jij je website gereed voor de AVG / GDPR?

De actiepunten in het kort (nou ja, voorzover mogelijk):

1. maak voor jezelf een document of spreadsheet waarin je per doelgroep vastlegt welke informatie je verzamelt. Als je bijvoorbeeld een webshop hebt, dan verzamel je klantgegevens zoals naam, adres, mailadres, woonplaats etcetera. Maar je verzamelt ook betalingsgegevens, afleveradressen en wellicht meer. Vanuit een contactformulier op je site verzamel je heel andere gegevens, misschien alleen een naam, een mailadres, eventueel een bedrijfsnaam en een vraag. Als je in het document een doelgroep 'klanten' definieert kan je daarin meer data aangeven dan bij de doelgroep 'informatie aanvragers'.
2. Denk alvast na over de rechten die mensen straks krijgen en leg in je document uit hoe dat werkt. Een persoon krijgt bijvoorbeeld drie rechten, namelijk het recht op inzicht , het recht op vergetelheid en het recht op data portabiliteit . Kortweg houdt het recht op inzicht in dat je mensen in de gelegenheid moet stellen om in te kunnen zien of inzichtelijk te maken welke data je allemaal van ze opslaat en verwerkt. Het recht op vergetelheid houdt in dat je mensen in staat moet stellen om gewist te worden uit je systemen. Dat is bijvoorbeeld in je eigen administratie zoals je email programma, maar ook in de (online) boekhoudsoftware die je gebruikt, de e-mail marketing software die je gebruikt enzovoorts. Je bent dus ook verplicht om de partijen die gegevens namens jou verwerken van die klant ook opdracht te geven hun gegevens te wissen. Het recht op dataportabiliteit houdt in dat je mensen in staat moet stellen om alle gegevens die je van ze hebt in een pakketje aan te leveren zodat ze dat mee kunnen nemen naar een andere partij. Hoe dit precies werkt is me niet volledig helder, het lijkt erop dat dit alleen geldt voor volledig geautomatiseerde data en geen gegevens die met de hand ingevoerd zijn. Wellicht kom ik hier later meer gedetailleerd op terug.
3. Bestel bij je webbouwer of hostingpartij een SSL certificaat voor je website indien je dit nog niet hebt indien je gegevens opvraagt van gebruikers. Dit geldt voor praktisch elke site tegenwoordig. Als je al een contactformulier hebt dan is een SSL binnenkort verplicht om je bezoekers beter te beschermen. Voor onze eigen klanten is dit praktisch bij iedereen al geregeld. Mocht je onverhoopt toch nog geen SSL hebben, neem dan even contact met ons op.
4. Sluit met je webdesigner en hostingpartij een verwerkersovereenkomst. Feitelijk is iedere partij die toegang heeft tot de persoonsgegevens van je website een gegevensverwerker en moet je met hen een overeenkomst sluiten. Wij zullen onze klanten binnenkort voorzien van een verwerkersovereenkomst voor de klanten waar wij alleen het beheer van de site voor doen en daarnaast ook voor de klanten die bij ons hosting afnemen. Andere partijen waarmee je dit kan afsluiten zijn bijvoorbeeld Mailchimp, Google Analytics, Hotjar maar ook betalingsverwerkers zoals Mollie en meer van dat soort systemen.
5. Overleg met je webdesigner/hostingpartij over volledige backups van je site en vermeld dat in je document. Een volledige backup van je site is zeker nuttig in het geval van calamiteiten. Het is te hopen dat je webdesigner of hostingpartij dit goed geregeld heeft maar weet je ook waar die backups staan? En hoeveel er zijn? Wanneer ze worden gewist? Vraag dit na en neem dit ook op in je document.
6. Bedenk welke mensen toegang hebben tot (het cms van) je website en vermeld dat in je document. Neem dit mee in je document en bepaal of elke gebruiker in het cms daar eigenlijk nog wel recht op heeft. Zitten er nog oude werknemers tussen? Verwijder die dan als gebruiker. Zijn alle wachtwoorden van deze gebruikers wel veilig conform de nieuwe regels en liggen de inloggegevens voor het cms niet op straat?
7. Kijk eens kritisch na welke gegevens je vraagt van bezoekers aan je site en pas je site daarop aan. Als mensen zich inschrijven voor je nieuwsbrief is een mailadres dan voldoende of heb je die voornaam ook ècht nodig? De AVG zet extra druk op dataminimalisatie, wat inhoudt dat je uitsluitend de minimale gegevens mag verzamelen die je nodig hebt voor een bepaalde handeling en ook moet kunnen verantwoorden waarom je die dan nodig hebt. Aan de hand hiervan kan je wellicht je formulieren enzovoorts laten aanpassen. Loop ook eens door je plugins heen en kijk welke gegevens zij verzamelen van jouw gebruikers. Welke informatie wordt er opgevraagd en verzameld en waar wordt dat opgeslagen? Welke productgegevens sla je op van je webshop klanten en waarom?
8. Stel een duidelijke privacy verklaring op en plaats die zichtbaar op je site. In het algemeen moet je privacy verklaring voor mensen opgesteld worden in heldere en goed leesbare taal, voor zover mogelijk. Maar het blijft natuurlijk altijd droge kost. De minimale onderdelen die er sowieso in moeten zitten zijn de volgende: De bedrijfsnaam, de contactgegevens, de verschillende doelen die je wilt bereiken met het verzamelen van data van je gebruikers, de eventuele toestemming die ze hiervoor gegeven hebben en hoe dat geregeld is, de duur van de opslag van data, het recht op inzage, vergetelheid en dataportabiliteit en hoe je dat zou regelen en het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. In sommige gevallen zijn aanvullende onderdelen mogelijk zoals de contactgegevens van de Functionaris Gegevensbescherming (FG) indien vereist, contactgegevens van externe partijen waar je gegevens mee deelt, of er gegevens gedeeld worden met andere landen dan Nederland en hoe die omgaan met privacy. Als mensen ergens toestemming voor hebben gegeven moet je ook vermelden dat die toestemming ook weer ingetrokken mag worden. Wij kunnen ons voorstellen dat het opstellen van zo'n privacy verklaring ingewikkeld is, dus als je hulp nodig hebt kan je een afspraak maken en dan met een van onze mensen dit samen doornemen op basis van jouw site en dit vervolgens uitwerken.
9. Indien  je niet-functionele cookies gebruikt op je site moet je ook een cookiemelding met een verzoek voor toestemming en een cookieverklaring toevoegen aan je site met daarin de uitleg hoe je die cookies gebruikt. Maar wat houdt dat nou precies in en geldt dit ook voor 'gewoon' gebruik van Google Analytics? In het algemeen hanteren wij de stelregel dat als je marketingcookies gebruikt voor andere dingen dan analytics dat je dan sowieso een cookieverklaring moet maken waarin je uitlegt wat er gebeurt. Een praktisch voorbeeld hiervan is als je gebruik maakt van remarketing via Google of Facebook. Maar voor gewoon gebruik van Google Analytics is dit niet vereist, mits je de volgende stappen neemt:
   1. Accepteer het “Amendement gegevensverwerking” in je Analytics-account (‘Beheer’ > ‘Account instellingen’ en dan helemaal onderaan);
   2. Blokkeer het meezenden van volledige IP-adressen (ga(‘set’, ‘anonymizeIp’, true);) en forceer tevens SSL (ga(‘set’, ‘forceSSL’, true););
   3. Zet het delen van gegevens met Google uit (‘Beheer’ > ‘Account instellingen’ en dan vier instellingen uitvinken);
   4. Informeer je bezoekers in een cookieverklaring of privacyverklaring over je gebruik van Google Analytics.Heb je hier moeite mee, of wil je dat wij dit voor je doen? Geen probleem, neem even contact op met Fidel en dan gaan we dit regelen voor je.
10. Inventariseer of je bijvoorbeeld voor je email nieuwsbrief wel toestemming hebt om je klanten te mailen en pas je inschrijftraject hierop aan. Zolang het voor je klanten helder is welke gebruikers je gebruikt om ze te mailen en zij hebben toestemming gegeven dan mag je ze blijven mailen. Let erop dat je de gegevens die ze verstrekken niet automatisch mag gebruiken als er geen toestemming voor een andere toepassing is. Stel dat je klant zich inschrijft voor de nieuwsbrief maar geen geboortedatum opgeeft, mag je ze ook niet mailen met een verjaardagsmail indien je die gegevens uit een andere bron vandaan hebt. Wel is het denk ik slim om je nieuwsbrief inschrijfproces aan te passen naar 'double opt-in' zodat je voor nieuwe inschrijvingen expliciete toestemming krijgt die opgeslagen wordt in je nieuwsbrief software. Als wij je moeten helpen met het instellen van bijvoorbeeld Mailchimp dan kan je contact met ons opnemen.
11. Realiseer je dat IP adressen en MAC adressen nu ook onder de AVG vallen en kijk of dit voor jou gevolgen heeft. Dat houdt concreet in dat indien je ipadressen bijhoudt van bepaalde klanten en ze bijvoorbeeld op die basis een bepaalde taalversie van je site serveert, dat zij toestemming moeten geven hiervoor en dat ze inzage moeten kunnen krijgen tot de opgeslagen data. Plugins zoals Wordfence voor Wordpress verwerken bijvoorbeeld IP adressen en locaties van je gebruikers dus dat moet je ook vermelden.
12. Zorg voor een veilige en goed onderhouden (Wordpress) omgeving in overleg met je webdesigner. Je bent nu zelf aansprakelijk voor (het voorkomen van) datalekken en een van de meest voorkomende manieren waarop dat gebeurt is door een cms systeem dat niet goed onderhouden wordt. Wij bieden net als vele andere partijen onderhoudsabonnementen waarin deze risico's geminimaliseerd worden door maandelijks een backup te maken van je site en vervolgens de Wordpress installatie zelf, het thema en de beschikbare plugins bij te werken naar de nieuwste versie. Voor meer informatie over onze onderhoudspakketten kan je hier meer lezen.

Als je bovenstaande punten regelt ben je voor zover wij kunnen overzien een goed stuk op weg bij het voldoen aan de juiste regelgeving. Los van de actiepunten kwamen we nog een aantal tips of aandachtspunten tegen die wellicht interessant zijn om rekening mee te houden:

• Je moet mensen in staat stellen om hun gegevens te laten verwijderen (het recht op vergetelheid) maar daar tegenover staat de verplichting die je binnen je boekhouding hebt aan bijvoorbeeld de belastingdienst voor het bewaren en archiveren van bepaalde gegevens. Denk hierbij aan facturen en dergelijke. Dit soort zaken moet vaak ook bewaard worden in verband met de garantietermijnen die aan een product verbonden zijn. Dit is feitelijk een uitzondering op de regels en je mag dus deze zaken wel gewoon bewaren, ondanks het recht op vergetelheid.
• Het is per definitie niet toegestaan om toestemming te impliceren door een bepaalde tekst op te nemen in je site, zonder dat mensen daar expliciet toestemming voor moeten geven. Dat houdt dus in dat je bijvoorbeeld niet mag zeggen 'door dit formulier te verzenden ga je akkoord met het versturen van commerciële mails'  of iets dergelijks. Mensen moeten expliciet toestemming tegen middels een vinkje: 'ja, ik ga akkoord ... ' anders is de toestemming ongeldig.
• Het is niet toegestaan om vinkjes al van te voren aan te vinken bij het geven van een bepaalde toestemming.
• Het is niet toegestaan om toestemmingen te koppelen. Dus indien je je inschrijft voor een evenement en je kan je daar ook inschrijven voor de nieuwsbrief, is voor beide zaken expliciete toestemming nodig.
• Een privacy verklaring is niet hetzelfde als algemene voorwaarden en het is daarom ook niet nodig dat mensen met een vinkje akkoord gaan met de termen uit de privacy verklaring, zolang hij maar wel toegankelijk op de site te vinden is.
• Voor nieuwe projecten is het slim om gebruik te maken van het privacy by design   principe, waarbij tijdens de ontwikkeling van een nieuwe site of dienst rekening gehouden wordt met de eisen van de AVG en dataminimalisatie.

Al met al is de invoering van de AVG en GDPR voor zowel kleine als grote ondernemers een flinke ingreep waar je goed voor moet gaan zitten. De potentiële boetes bij datalekken zijn enorm hoog als je niet kan aantonen dat je de vereiste stappen genomen hebt, dus laat je niet verrassen en ga hier zorgvuldig mee aan de slag. Mocht je vragen hebben naar aanleiding hiervan? Mail of bel, dan proberen we gelijk antwoord te geven op  je vraag. Als je aanvullingen of correcties hebt dan hoor ik dat ook graag. Dit artikel is met grote zorg samengesteld maar wij zijn geen juristen en kunnen dan ook niet aansprakelijk gehouden worden voor de inhoud hiervan. Ik zie dit artikel een beetje als een 'work in progress', mochten er de komende weken nog nieuwe inzichten of praktische tips bijkomen dan zal ik die zeker toevoegen hieraan. Wil je samen met iemand van ons je site doorlopen en alles goed voorbereiden, kan je het best even een afspraak maken met een van onze specialisten.