AVG stappenplan voor je website

Ik ben echt heel blij dat wij er als burgers nu officieel recht op hebben dat onze privacy goed beschermd wordt. Dat we de mogelijkheid hebben om te weten wie er allemaal gegevens van ons opslaat en wat ze daarmee doen.

Als ondernemer of maatschappelijke organisatie is die AVG misschien wel even een gedoe, maar het is ook een kans. Om eens na te gaan wat jij zelf eigenlijk aan persoonsgegevens binnenhaalt en waar die (vaak ongemerkt) bewaard blijven. En om eens goed te checken of ze niet op straat terecht kunnen komen.

Wat betekent dat voor je website?

Toegespitst op je website zou je je het volgende moeten afvragen:

• Wat voor gegevens vraag je eigenlijk aan mensen die ergens op je website iets invullen?
• Vraag je alleen wat echt nodig is?
• Waar worden die gegevens opgeslagen?
• Wie kan ze inzien?
• Hoe lang blijven ze bewaard?
• Zijn ze goed beveiligd?

Stappenplan AVG-bestendige website

Uiteraard is dit geen juridisch advies, meer een verslag van wat ik er tot nu toe van begrepen heb, wat ik zelf gedaan heb of nog ga doen.

1. Beveiliging van je website
2. Inventariseer wat voor gegevens je vraagt van je websitebezoeker
3. Met welke andere diensten deel jij gegevens?
4. Vraag verwerkersovereenkomsten op
5. Zet een privacyverklaring op je site
6. Cookies?

1. Op en top beveiliging van je website

• Een sterk wachtwoord. Een voor de hand liggend wachtwoord is één van de meest voorkomende oorzaken van gehackte websites. Je hebt geen idee hoe vaak zoiets als ‘wachtwoord123’ gebruikt wordt. De regel is: gebruik geen namen of woorden die in het woordenboek voorkomen. Maar willekeurige combinaties van karakters en cijfers. Liefst zo lang en ingewikkeld mogelijk. Bedenk dat ook niet zelf, er zijn websites die dat voor je genereren.
• WordPress, plugins en je thema altijd bijwerken →
• Gebruik plugins die je beschermen tegen allerlei verschillende vormen van hacken. Lees er hier meer over: Waarom zou jouw site nou gehackt worden? →
• Een beveiligde verbinding met TLS/https. Zeker als je een webshop hebt of anderszins gevoelige gegevens verwerkt, maar in feite is het voor iedere website een aanrader. Zie ook: Deze website is niet veilig! →

2. Inventarisatie: waar op je website vraag je gegevens van je bezoekers?

• Contactformulier
• Reactieformulier bij blogberichten
• Aanmeldformulier nieuwsbrief
• Aanmeldformulier evenementen
• Andere formulieren (bij mij feedback bv.)
• Webshop

Wat doe je precies met die gegevens en waar blijven ze? De inzendingen op je eigen formulieren, zoals het contactformulier worden meestal bewaard in je backend en je database. Is echt het nodig om ze te bewaren?

De gegevens die je vraagt als iemand zich aanmeldt voor je e-mail nieuwsbrief komen in een database bij je email service provider, zoals Mailchimp of Active Campaign. Weet je zeker dat ze daar goed beveiligd zijn?

Met een webshop is het natuurlijk vanzelfsprekend dat je gegevens van je klanten hebt. Om de bestelling te bezorgen, om een factuur te sturen. Deze gegevens moet je natuurlijk in ieder geval bewaren voor de belastingdienst (7 jaar).

Actie:

1. Voeg een checkbox toe aan deze formulieren, waarmee je de bezoekers informeert en toestemming vraagt om hun gegevens te gebruiken voor het doel van dat formulier.
2. Plaats een link naar je privacyverklaring voor meer gedetailleerde informatie (daarover verderop nog meer).

3. Inventarisatie: deel je persoonsgegevens met anderen?

In eerste instantie zul je daar misschien ‘nee’ op antwoorden. Maar als je even iets verder kijkt, blijken er allerlei diensten te zijn die ook toegang hebben tot gegevens van jouw bezoekers.

• Google Analytics weet vanuit welke IP-adressen mensen op je website komen. Een IP-adres is in principe te herleiden tot een persoon. Google zegt dat dat nu standaard (gedeeltelijk) geanonimiseerd wordt. Ik weet daar het fijne niet van, heb zelf al lang afscheid genomen van Google Analytics, ik gebruik het 100% privacyvriendelijke Plausible Analytics ➔
• Een facebook-pixel houdt letterlijk bij welke facebook-gebruikers op je website komen. Met naam en toenaam en alles wat facebook van ze weet.
• Backup: sla je die op in the cloud (Google Drive, One Drive, Dropbox)? Hoe veilig zijn deze (Amerikaanse) diensten?
• Facturatie/boekhoudprogramma, zoals Moneybird.
• En je iDEAL payment service provider, in mijn geval Mollie.
• Websitebeheer: huur je daar misschien extern iemand voor in?
• Email service provider, zoals hierboven ook al genoemd.
• Je hosting provider heeft in principe ook toegang tot jouw website. Meestal maken ze ook backups, waardoor alle persoonsgegevens die op jouw site staan ook bij hun ergens bewaard worden.

4. Actie: Verwerkersovereenkomsten

Met dit soort diensten zoals ik hierboven opnoem moet je een zgn. verwerkersovereenkomst aangaan. Daarin staat welke gegevens verwerkt worden, met welk doel en hoe ze beveiligd zijn. Jij blijft zelf wel altijd verantwoordelijk voor wat er gebeurt met door jou verzamelde gegevens.

• Google Analytics: waar je de verwerkersovereenkomst vindt, kun je lezen in AVG en Google Analytics →
• Mailchimp heeft een verwerkersovereenkomst op de website →
• Moneybird: de verwerkersovereenkomst vind je via deze pagina op de website →
• Mollie biedt geen verwerkersovereenkomst →

Op de website van de overheid kun je zelf modelovereenkomsten downloaden →

5. Actie: Privacyverklaring

Onder de AVG ben je verplicht je klanten en websitebezoekers duidelijk te informeren over wat je met hun gegevens doet. Volgens de Autoriteit Persoonsgegevens is “in de praktijk een online privacyverklaring de meest handige manier om hier aan te voldoen”. Op hun website staat ook precies uitgelegd wat er in zo’n privacyverklaring moet staan →

Zelf aan de slag? Veiliginternetten.nl heeft een gratis privacyverklaring-generator →

In veel gevallen is het handig om het echt door een jurist te laten doen of in ieder geval te laten checken.

Je kunt hiervoor terecht bij Charlotte’s Law →

6. Cookies

Als je cookies gebruikt op je website moet je daar je bezoekers uiteraard ook over informeren. Dat moest al, maar nu mag dat niet meer met een algemene cookiemelding of een zgn. cookie wall.

Een cookiemelding zie je vaak onderaan een webpagina staan, met een tekst als “Deze website gebruikt cookies. Als je de website verder gebruikt ga je hiermee akkoord”.

Een cookie wall zorgt ervoor dat je niet eens verder kunt op een website voordat je toestemming hebt gegeven voor het gebruik van cookies.

Al dit soort meldingen vertellen je niets over wat voor cookies dat dan zijn, waarvoor ze gebruikt worden en wat ze met je gegevens doen. Dat moet dus duidelijker en specifieker.

Er bestaan verschillende soorten cookies:

Functionele cookies zijn nodig om een website te laten werken. Denk bv. aan het winkelmandje van een webshop. Zodra je iets bestelt slaat je browser een cookie op op je computer. Je aankopen blijven daardoor bewaard in het winkelmandje zodat je ze ook kunt afrekenen. Voor dit soort cookies hoef je geen toestemming te vragen.

Analytische cookies zijn er om bezoekersaantallen en -gedrag op je site in kaart te brengen. Omdat ze worden gebruikt om een website en de gebruikerservaring te verbeteren hoef je hier ook geen toestemming voor te vragen. Maar je moet je bezoekers er wel over informeren in een cookie- of privacyverklaring.

Als je analytics software gebruikt moet je het IP-adres van bezoekers anonimiseren. Bij Google Analytics kun je dat doen door een regel code toe te voegen aan de tracking code of er zijn plugins die daarvoor kunnen zorgen. Hoe je dat precies doet, lees je in AVG en Google Analytics →

Let op! Er zijn tegenwoordig prima alternatieven voor Google Analytics, die geen cookies gebruiken en geen IP-adressen verzamelen. Lees er meer over: Goodbye Google Analytics →

Dan zijn er nog de tracking cookies, die gebruikt worden voor remarketing en retargeting, ofwel advertenties. Hiermee worden echt persoonsgegevens verzameld en bewaard, deze cookies mogen dan ook alleen worden gebruikt met toestemming van je bezoeker.

Dit laatste betekent dat je ervoor moet zorgen dat je website het verder wel helemaal goed doet en dat bepaalde scripts alleen maar geladen worden op het moment dat iemand daar toestemming voor geeft. Dat regel je met een plugin.

De Europese commissie wil dat deze toestemming in de browsers geregeld kan gaan worden. Het hoeft je dan niet meer op iedere website apart gevraagd te worden, maar je kiest in je eigen browserinstellingen of je privacy gevoelige cookies accepteert of niet.

Vragen? Opmerkingen? Tips?

Laat het me weten in een reactie hieronder.

Hoe dan ook, als je het nuttig vindt, deel dit dan met je social media vrienden en vriendinnen!