ALLES WAT JE MOET WETEN VOOR EEN WEBSITE OF WEBWINKEL
De Algemene Verordening Gegevensbescherming (AVG) is een veelbesproken onderwerp en geldt voor bijna alle bedrijven met een online onderneming, dus mogelijk ook voor jou. Na het lezen van dit artikel zullen alle (online) ins- en outs rondom de nieuwe wetgeving (hopelijk) duidelijk zijn.
Belangrijk: Dit schrijven is gebaseerd op onze eigen interpretatie van de nieuwe AVG-wetgeving en hierom niet bedoeld om juridische beslissingen op te baseren.
- Wat is de definitie van AVG?
- Wat veranderd er voor jou?
- Wat zijn de nieuwe rechten van jouw websitebezoekers?
- Het recht op vergetelheid
- Het recht op dataportabiliteit
- Het recht op inzage
- Bewaartermijn
- Facturatie voor garantie en de belastingdienst
- Privacy by design en dataminimalisatie
- Waar moeten mijn website formulieren aan voldoen voor de AVG
- De ePrivacy verordening
- Hoe kan ik mijn online business aan de nieuwe AVG laten voldoen
- Actieplan
- AVG check op maat
WAT IS DE DEFINITIE VAN AVG
De AVG zorgt voor een grote verandering voor de gegevensbescherming van jouw websitebezoekers en treedt 25 mei 2018 in werking. In grote lijnen betekent dit een strengere toezicht voor het verwerken en opslaan van gegevens. Het doel hiervan is om persoonlijke gegevens van burgers te beveiligen/beschermen en te voorkomen dat deze per ongeluk lekken. De privacyrechten zullen dus ook gaan veranderen.
WAT VERANDERD ER VOOR JOU?
In een notendop moet je website of webwinkel van het volgende zijn voorzien:
- Een privacyverklaring als je persoonsgegevens verzameld. Is dit het geval? Geef dan duidelijk aan in je privacyverklaring hoe iemand een verzoek kan doen om te zien welke informatie over de desbetreffende persoon is verzameld (recht op inzage), met de optie om deze aan te passen of te verwijderen (recht op vergetelheid).
- Een beveiligde verbinding (SSL-certificaat) als je gegevens verwerkt.
- Als je om persoonsgegevens vraagt, vraag dan zo min mogelijk gegevens. Geef duidelijk aan met welk doel je persoonsgegevens vraagt. Heb je meerdere doelen? Vraag dan toestemming per doel. Meer hierover is te lezen onder de kop “Privacy by default” en “Waar moeten mijn website formulieren aan voldoen voor de AVG”.
- Een cookiemelding tonen waarmee je toestemming vraagt. Aanvullend leg je in een cookieverklaring uit waarom je gebruik maakt van cookies en wat je ermee doet. Eenieder cookie kent een ander doeleind en vereist mogelijk een andere aanpak in verband met de toestemming van de gebruiker. Meer hierover is te lezen onder de kop “De e-privacy verordening”
WAT ZIJN DE NIEUWE RECHTEN VAN JOUW WEBSITEBEZOEKERS?
Hieronder zullen we de rechten van jouw websitebezoekers nader toelichten, zodat je na het lezen van dit artikel een goed beeld hebt van de komende wijzigingen.
HET RECHT OP VERGETELHEID
Iedereen mag een verzoek indienen om “vergeten” te worden. Dit houdt in dat je als website persoonsgegevens van een betrokkene (zoals een klant, maar ook een voormalig werknemer of sollicitant) in korte tijd moet wissen wanneer deze hierom vraagt.
Waar moet je op letten?
Een aantekening plaatsen bij de desbetreffende persoon in je systeem van afmelding is niet voldoende, je moet de gegevens volledig verwijderen. Als je persoonsgegevens synchroniseert met andere systemen zoals een nieuwsbrievensysteem moeten ook daar de gegevens verwijderd worden. Dus niet alleen in het systeem van je website. Worden de persoonsgegevens gedeeld met derden? Dan moet je ook deze externe partijen vragen om de persoonsgegevens in kwestie te verwijderen.
Verzamelen van gebruikersgegevens
Naast iemands naam, adres, woonplaats, e-mailadres, telefoonnummer en dergelijke vallen nu ook gegevens als IP-adressen, MAC- adressen, cookies onder de wet AVG. Gegevens die je absoluut niet mag vragen en extra beschermd zijn qua wetgeving zijn iemands gezondheid, godsdienst of ras.
Google Analytics
Gebruikt u Google Analytics, dan verwerk je waarschijnlijk analytische cookies persoonsgegevens van je websitebezoekers. Deze kon je voorheen probleemloos verzamelen. Echter, met de nieuwe AVG-wetgeving moet je hiervoor toestemming vragen aan de gebruiker, mits je aan bepaalde eisen voldoet. De AVG verstaat IP-adressen onder persoonsgegevens en deze mogen dus niet zonder toestemming verzameld worden. Google Analytics moet op een bepaalde manier ingesteld worden, waardoor de privacy van websitebezoekers beschermd wordt.
HET RECHT OP DATAPORTABILITEIT
Wanneer je via de website persoonsgegevens verwerkt, mag een persoon deze opvragen zodat ze overgedragen kunnen worden aan andere partijen. Het idee achter dataportabiliteit is het vergroten van de controle op je persoonsgegevens met mogelijk de big data ontwikkelingen in het achterhoofd. Het recht op dataportabiliteit moet het bijvoorbeeld gemakkelijker maken om over te stappen naar een andere dienst. Op verzoek moet bijvoorbeeld een webwinkel de persoonsgegevens in gestructureerde en machine-leesbare vorm kunnen verplaatsen, kopiëren en versturen. Dit geldt alleen wanneer gegevens automatisch worden verwerkt op basis van toestemming of een overeenkomst. Of dit ook geldt voor gegevens die in eerste instantie geautomatiseerd zijn verwerkt, maar in een later stadium aan menselijk handelen worden toevertrouwd zal de toekomst leren.
Datalek
Het is onder de AVG niet meer nodig om iedere datalek te melden bij de Autoriteit Persoonsgegevens. Als organisatie dien je wel ieder datalek incident op een gestructureerde manier te registreren en de risico’s voor betrokkenen te bepalen.
HET RECHT OP INZAGE
Iedereen heeft het recht om te vragen welke persoonsgegevens over hem of haar verzamelt zijn. Als dit het geval is kan deze persoon een verzoek doen om de gegevens digitaal op te laten sturen. Hiervoor mogen geen kosten in rekening worden gebracht. Vervolgens kan hij of zij aangeven om de gegevens aan te vullen, te verbeteren of te verwijderen. Meer hierover is te lezen onder de kop ‘’recht van vergetelheid’’.
Waar moet je op letten?
In je privacyverklaring omschrijf je hoe iemand een verzoek kan doen. Bijvoorbeeld door een brief te schrijven of een e-mail te sturen. Hierbij is het belangrijk om direct het postadres of e-mailadres te tonen zodat het niet onnodig moeilijk voor iemand wordt gemaakt.
BEWAARTERMIJN
De inhoud van een digitaal document of account-aanvraag bevat veel informatie over een persoon. Wanneer een bezoeker een offerte aanvraagt met zijn NAW-gegevens of een sollicitant die een CV opstuurt. Voor administratieve doeleinden moet een organisatie bepaalde persoonsgegevens een tijd bewaren, denk hierbij aan garanties.
Volgens de AVG-wetgeving mogen organisaties zelf bepalen hoelang zij persoonsgegevens bewaren. Echter, organisaties mogen deze gegevens niet langer bewaren dan noodzakelijk is. Hiervoor moeten er concrete bewaartermijnen opgesteld worden in de Privacy Policy en beargumenteerd worden waarom deze termijn aangehouden wordt.
FACTURATIE VOOR GARANTIE EN DE BELASTINGDIENST
Het recht om vergeten te worden is een goede stap om websitebezoekers meer controle te geven over hun persoonsgegevens, al zit hier wel een hiaat in. Als webwinkel eigenaar is het belangrijk om oude orders te bewaren vanwege het afhandelen van garantie. Je moet kunnen nagaan wanneer en door wie iets is gekocht. Voor facturen geldt hetzelfde. Daar komt bij dat je deze zeven jaar moet bewaren voor de Belastingdienst, inclusief de bijkomstige administratie om te bewijzen dat de factuur echt is en daarmee te koppelen aan een persoon. Met de kennis van nu is dit een uitzondering op de regel. Daarbij is het wel belangrijk dat deze gegevens uitsluitend worden bewaard met als doel het verstrekken van garantie of het weerleggen van omzet aan de belastingdienst.
Waar moet je op letten?
Hetzelfde verhaal als bij recht op inzage. In de privacyverklaring omschrijf je hoe iemand een verzoek kan doen om alle persoonsgegevens over een persoon te verwijderen.
PRIVACY BY DESIGN EN DATAMINIMALISATIE
Tijdens het ontwikkelen van een website moet er aandacht worden besteed aan privacy-verhogende maatregelen. Denk hier aan het toepassen van een beveiligde verbinding door middel van een SSL certificaat (https). Of stel jezelf de vraag of het écht nodig is om persoonsgegevens te verwerken of dat er bijvoorbeeld ook gewerkt kan worden met volledig geanonimiseerde gegevens. Privacy by design is voornamelijk van toepassing op het ontwikkelen van een (nieuwe) website of webwinkel.
Vraag tevens zo min mogelijk persoonsgegevens (dataminimalisatie). Vraag alleen gegevens die noodzakelijk zijn voor het beoogde doel. Denk bijvoorbeeld aan:
Het inrichten van een bestelproces voor een webwinkel. Het vragen naar het adres zal noodzakelijk zijn om een product te kunnen afleveren. Een geboortedatum daarentegen is (met uitzondering) niet noodzakelijk. Het vragen van gegevens voor een nieuwsbrief. Een e-mailadres is noodzakelijk, maar het verplicht stellen van een naam is niet. Natuurlijk kan je wel optioneel om een naam vragen.
Privacy by default
Privacy by default kan gezien worden als een onderdeel van privacy by design. Het verplicht je om gebruikers die persoonsgegevens kunnen sturen of delen via je website, standaard (by default) zo goed mogelijk beschermt en voorlicht. Kortom, het moet zo privacyvriendelijk mogelijk zijn. Dit houdt in dat je duidelijk beschrijft per doel waarvoor je de gevraagde gegevens gaat gebruiken en waar nodig toestemming voor vraagt.
Omdat het verwerken van gegevens via een website voornamelijk via formulieren verloopt geven we uitleg en diverse voorbeelden om het helder te krijgen waaraan je website formulieren moeten voldoen. We hebben gemerkt dat hier een hoop spookverhalen over bestaan die je eerder bang maken dan een helder antwoord geven.
Geef duidelijk op de pagina aan wat het doel is van het formulier. Doe dit met een duidelijk koptekst. Voorbeelden van een koptekst zijn: account aanmaken, offerte aanvragen, solliciteer nu of aanmelden nieuwsbrief. De kopteksten geven duidelijk aan de aard van het formulier aan.
Als je formulier dus één helder doel heeft waarvoor je de persoonsgegevens gebruikt is het niet nodig om apart toestemming te vragen om deze gegevens te mogen verwerken met behulp van een vakje (checkbox) die je aan moet vinken. Hetzelfde geldt voor het accepteren van de privacyverklaring, dit is nooit nodig.
Wat wel zo privacyvriendelijk is om te doen betreft het plaatsen van een link naar de privacyvoorwaarden. Dit kan in de footer of vermeld worden direct bij het formulier; ‘’Klik hier voor onze privacyvoorwaarden’’.
Heb je meerdere doelen?
Stel je hebt een pagina met de koptekst “offerte aanvragen” waar je een e-mailadres en naam vraagt. Dan mag je deze gegevens niet gebruiken om vervolgens ook een nieuwsbrief naar te sturen. Dit is namelijk een ander doel dan de koptekst “offerte aanvragen” suggereert. Je moet dan via een vakje (checkbox) toestemming vragen (vinkje) om het e-mailadres en de naam ook te mogen gebruiken voor het tweede doel, namelijk het versturen van nieuwsbrieven.
Wat mag je beslist niet mag doen?
Geen toestemming vragen voor een extra doel via een vakje (checkbox), maar onder of boven een formulier tekstueel vermelden dat je door het formulier in te vullen toestemming geeft om de nieuwsbrief te ontvangen of een ander doel die je niet duidelijk vermeld. De kans is groot dat een bezoeker hier overheen leest. Hetzelfde verhaal geldt voor een verwijzing naar de privacyverklaring waarin je vermeldt dat je toestemming geeft om de gegevens voor andere doeleinden te gebruiken als je een bepaald formulier invult en verstuurd. Het is uit den boze om bij het vragen van toestemming voor een extra doel om het vinkje bij een vakje (checkbox) van te voren in te vullen. Het moet een vrije, ongedwongen keuze zijn.
DE E-PRIVACY VERORDENING
Er zijn verschillende soorten cookies te benoemen, namelijk functionele cookies, analytische cookies en tracking cookies. Voorheen was het zo dat websitebezoekers per website konden bepalen of zij deze cookies accepteerden of niet. De websitebezoekers waren min of meer verplicht om alle cookies te accepteren, aangezien de website anders slecht zou functioneren.
- Functionele cookies: deze cookies zijn ervoor om de website goed te laten functioneren. Stel dat deze cookies niet worden geplaatst, dan kan het zijn dat belangrijke informatie niet wordt weergegeven, bijvoorbeeld een productfoto.
- Analytische cookies: deze cookies zijn ervoor om te zorgen dat websites kunnen zien welke handelingen de websitebezoekers verricht. Stel dat een website een video op de homepagina heeft geplaatst, dan kan er doormiddel van een analytisch cookie worden gezien hoe vaak deze video is bekeken.
- Trackingcookies: deze cookies worden gebruikt om het gedrag van websitebezoekers te identificeren. Stel dat websitebezoeker geïnteresseerd is in een specifiek product, bijvoorbeeld een T-shirt, maar nog twijfelt bij welke aanbieder het T-shirt wordt bestellen, dan kan er door middel van een trackingcookie Remarketing worden toegepast. Door Remarketing krijgt de websitebezoeker nogmaals een advertentie te zien waarin het product wordt getoond, zodat hij of zij extra gestimuleerd wordt om het product te kopen.
Vanaf 25 mei kunnen gebruikers van het internet via hun browserinstellingen bepalen of zij cookies willen toestaan. Het plaatsen van functionele cookies is gewoon toegestaan. Het plaatsen van analytische cookies is ook toegestaan, mits er aan bepaalde voorwaarden wordt gedaan. Het is voor websites dan alleen nog een kunst om ervoor te zorgen dat privacygevoelige cookies geaccepteerd worden, in dit geval tracking cookies. Zonder tracking cookies wordt het erg lastig om Remarketing toe te passen. Hierdoor ontstaat het risico dat online ondernemingen veel conversies mis zullen lopen.
HOE KAN IK MIJN ONLINE ONDERNEMING AAN DE NIEUWE AVG LATEN VOLDOEN?
Om u te helpen hieraan te voldoen, hebben wij een korte actieplan opgesteld dat aangeeft welke acties u moet ondernemen voor uw online onderneming. Hiermee verhelpt u de basisprincipes van de AVG. Echter, doordat iedere onderneming anders is, hebben wij – naast een korte actieplan – een speciale maatwerkplan. Hierbij onderzoeken we uw gehele online onderneming en komen vervolgens met concrete actiepunten om deze te laten voldoen aan de nieuwe regeling.
Belangrijk: Dit schrijven is gebaseerd op onze eigen interpretatie van de nieuwe AVG-wetgeving en hierom niet bedoeld om juridische beslissingen op te baseren.
AVG standaardactiepunten
- Privacy Policy
De meeste Privacy Policy’s voldoen niet aan de huidige eisen van de AVG. Deze dient volledig aangepast worden aan deze nieuwe eisen. Geplaatst op de contactpagina en in de footer.
- Aan cookie eisen voldoen en cookiemelding toevoegen
Cookies kunnen worden opgedeeld in verschillende soorten cookies. Iedere soort cookie heeft een andere doeleinde en heeft daardoor eigen toestemmingseisen. Bovendien dienen bezoekers hiervan een melding te krijgen en dit eventueel toestemming te verlenen. Op het moment dat hier niet aan voldaan wordt, bestaat de kans dat u veel bezoekersstatistieken misloopt.
- Aan cookie eisen voldoen en cookiemelding toevoegen
Cookies kunnen worden opgedeeld in verschillende soorten cookies. Iedere soort cookie heeft een andere doeleinde en heeft daardoor eigen toestemmingseisen. Bovendien dienen bezoekers hiervan een melding te krijgen en dit eventueel toestemming te verlenen. Op het moment dat hier niet aan voldaan wordt, bestaat de kans dat u veel bezoekersstatistieken misloopt.
- SSL-Certificaat
Voor het veilig versturen van informatie via de website. Websites die invulvelden bevatten en wachtwoorden of betalingsgegevens verzamelen, worden als ‘niet-veilig’ gemarkeerd in Google Chrome wanneer geen SSL-certificaat is ingesteld.
AVG check op maat – prijs op aanvraag
- Alle AVG standaard actiepunten
- Formulieren
Bij formulieren mag u uitsluitend gegevens opvragen die noodzakelijk zijn voor het doel. (bijvoorbeeld het aangeven wat u met gegevens gaat doen).
- Opties om de data van gebruikers te exporteren
Klanten hebben de mogelijkheid ten allen tijde hun gegevens in te zien.
- Opties voor de klant om hun account te verwijderen
Klanten mogen ten allen tijde hun account verwijderen.
- Cookies (geavanceerd) voor Remarketing
Maakt u gebruik van Remarketing? Tracking-cookies mogen niet zonder toestemming geplaatst worden bij de bezoeker. Hiervoor dien je toestemming te vragen. Wij geven advies om dit voor de gebruiker zo aantrekkelijk mogelijk te maken toestemming te verlenen.
- Beveiliging en opslag van persoonsgegevens
Bij de bewaring van persoonsgegevens komt nog veel meer kijken, zoals de bewaartermijn van persoonsgegevens, verwerkersovereenkomst, beveiliging van software, toegangsbeleid persoonsgegevens, datalekbeleid enzovoort. Wij geven advies wat voor u van toepassing is en hoe u dit kunt verwerken.