AVG-privacywet – waar sta jij na 25 mei?
Is jouw website klaar voor de AVG-privacywet?
De AVG-privacywet wordt 25 mei 2018 van kracht. Een wet die als doel heeft persoonsgegevens beter te beschermen en jou als website-eigenaar verplicht de zorg voor privacy en persoonlijke gegevens serieus te nemen. Lees wat de AVG-privacywet voor jouw website betekent en wat je moet doen om aan de regels te voldoen!
Europese wet Algemene verordening gegevensbescherming
Waarschijnlijk heb je – na het bekende Facebook-debacle waarin duidelijk werd dat er lang wel heel makkelijk werd omgegaan met persoonlijke gegevens – net als ik talloze mailtjes in je mailbox zien verschijnen van bedrijven die je wijzen op hun privacyverklaring. Je kunt ook nauwelijks meer een website openen zonder een cookiemelding prominent in beeld te krijgen.
Dat is niet per se zo omdat deze bedrijven ineens beseffen dat het belangrijk is jou te laten weten welke privacy-gevoelige gegevens ze van je verzamelen, en voor welk doel, maar omdat ze moeten. Vanaf 25 mei 2018 wordt de Europese wet Algemene Verordening Gegevensbescherming (AVG) namelijk van kracht. Een wet die als doel heeft persoonlijke gegevens beter te beschermen.
Eigenlijk is het niks nieuws. De Wet bescherming persoonsgegevens (Wbp), waarin staat dat persoonlijke gegevens alleen in overeenstemming met de wet en op een zorgvuldige manier mogen worden verwerkt, bestaat al sinds 1 september 2001. Met de AVG-privacywet krijgen burgers echter meer zeggenschap over wat er gebeurt met hun persoonlijke gegevens. De AVG zorgt er bovendien voor dat in elk Europees land dezelfde regels gelden op het gebied van databescherming.
Er wordt met deze regelgeving hopelijk een einde gemaakt aan bijvoorbeeld de ellendige praktijken van bedrijven die de ene spam-mailing na de andere versturen naar ontvangers die in een ver verleden een keertje hun gegevens hebben achtergelaten. Of erger: jouw persoonlijke gegevens doorverkopen zonder dat je dit weet.
Hype of boete
Houdt een bedrijf, organisatie, mkb’er of zzp’er zich na 25 mei 2018 niet aan de verordening, dan kan de Autoriteit Persoonsgegevens boetes opleggen. Je ziet fikse boetebedragen voorbijkomen, er wordt zelfs gesproken over 20 miljoen euro, maar als lokale ondernemer hoef je daar natuurlijk niet bang voor te zijn. Er hangt echt geen miljoenenclaim boven je hoofd omdat je een contactformulier op je website hebt staan.
Al is de hype rondom de AVG-privacywet lichtelijk overdreven, toch is het belangrijk een moment stil te staan bij wat deze AVG-privacywet voor jou als website-eigenaar betekent. Bij contactformulieren, nieuwsbrieven, registratiemogelijkheden of gebruik van Google Analytics worden er namelijk persoonsgegevens opgeslagen en heb je, linksom of rechtsom, te maken met deze privacy-wetgeving.
Wat betekent de AVG-privacywet voor je website?
In het kort komt het erop neer dat je geacht wordt verantwoord met gegevens om te gaan. Het is belangrijk om na te gaan hoeveel gegevens je verzamelt en met welk doel je deze gegevens opslaat. Door het lezen én toepassen van onderstaande tips kom je al een aardig eind in de goede richting om te voldoen aan de AVG-privacywet. Wil je precies weten wat de nieuwe wet inhoudt, verwijs ik je graag door naar de website Autoriteit Persoonsgegevens.
6 tips om te voldoen aan de AVG-privacywet
1. Zorg voor een veilige website
Je website heeft een SSL-certificaat nodig en privacy-gevoelige gegevens moeten versleuteld worden verzonden via https. In de blog 3 redenen waarom je website een groen slotje nodig heeft lees je hier meer over. Het is uitermate belangrijk dat je website voorzien is van de meest recente beveiligingsupdates. Ik raad iedere website-eigenaar aan een onderhoudscontract af te sluiten waarin o.a. een update-beleid wordt afgesproken.
2. Maak een heldere privacyverklaring
Maak een heldere privacyverklaring en plaats die op je website. Deze moet in begrijpelijke taal geschreven zijn. Heb je een website waar bezoekers hun gegevens achter kunnen laten, bijvoorbeeld voor het plaatsen van een bestelling, geef in de privacyverklaring dan aan waarom je die gegevens nodig hebt en wat je er mee doet. De overheid schiet je te hulp in het geval je nog op zoek bent naar een goede privacyverklaring. Na het invullen van de gevraagde informatie wordt er een verklaring gegenereerd die voldoet aan de nieuwe regels van de AVG. Ga naar: privacyverklaring generator.
3. Maak gegevens voor jezelf overzichtelijk
Maak voor jezelf overzichtelijk waar en welke data worden opgeslagen. Het gaat om alle persoonsgegevens die je verwerkt als bedrijf. Ga na met welk doel je deze gegevens gebruikt én registreer waar deze gegevens vandaan komen en met wie je ze allemaal deelt.
4. Geef het doel aan van formulieren
Wil je dat de bezoeker zich inschrijft voor iets? Zorg er dan voor dat het duidelijk is waar iemand zich voor inschrijft. Verwijs naar je privacyverklaring en geef aan hoe iemand zich weer kan uitschrijven. Het vakje op je website: ‘Ja, ik wil aanbiedingen ontvangen’, mag je niet meer vooraf aanvinken. Geef duidelijk op de pagina aan wat het doel is van een formulier dat je gebruikt. Toestemming vragen om persoonsgegevens te gebruiken die je via een contactformulier ontvangt, is niet nodig. De toestemming volgt uit de aard van het formulier. Wat je wel moet doen is in je privacyverklaring vermelden wat je met deze gegevens gaat doen en hoelang deze bewaard worden.
5. Zorg voor een correcte cookiemelding
Voorzie de bezoekers van je website van informatie over de soorten cookies die er zijn. ‘Functionele cookies’ zijn noodzakelijk om de website goed te laten werken. Ze zorgen er bijvoorbeeld voor dat je ingelogd kunt blijven op een website of dat de inhoud van een winkelwagen bewaard wordt. Maak je gebruik van ‘niet-functionele cookies’, dan moet je in je cookiemelding toestemming vragen, uitleggen waarom je ze gebruikt en wat je ermee doet. Deze cookies voor bijvoorbeeld het gebruik van social media-knoppen zijn namelijk niet nodig voor het goed laten functioneren van de website.
6. Maak Google Analytics privacyvriendelijk
Google Analytics wordt gebruikt om eigenaren van websites een beeld te geven van onder andere het aantal bezoekers dat ze krijgen en de pagina’s die het meest bezocht worden. Het is niet nodig toestemming te vragen voor het plaatsen van analytische cookies, zolang er geen persoonsgegevens worden verzameld of IP-adressen worden opgeslagen en de cookies alleen worden gebruikt ten behoeve van statistische analyses. Hoe je Google Analytics instelt om geen toestemming te hoeven vragen, vind je in de handleiding privacyvriendelijk instellen Google Analytics die de Authoriteit Persoonsgegevens beschikbaar heeft gesteld.
Hulp
Kom je er zelf niet uit? Laat mij het voor je doen! Ik ben geen jurist maar ik kan wel je website of webshop analyseren en een cookieverklaring opstellen of je privacyverklaring aanpassen op basis van de standaardteksten van ICT recht, een juridisch adviesbureau voor ICT-, internet- en privacyrecht. Deze juridische teksten voldoen prima en zijn ‘vrij’ te gebruiken.
Gezond verstand
Het is altijd goed om zaken in perspectief te plaatsen. Volgens de site Netcraft zijn er wereldwijd zo’n 1,8 miljard websites actief. De kans is klein dat je in Nederland als eigenaar van een kleine website door de Autoriteit Persoonsgegevens of een andere officiële instantie op de vingers wordt getikt. Maar de kans blijft aanwezig. Of je uiteindelijk wil voldoen aan de AVG, blijft dan ook een keuze die je zelf moet maken.
Het is belangrijk dat iedereen de zorg voor privacy en persoonlijke gegevens serieus neemt. De bewustwording van de AVG-privacywet gaat hier hopelijk voor zorgen. Net als de grote jongens zoals Facebook moet je er als website-eigenaar voor zorgen dat je de privacywetgeving naleeft en technologie gebruikt die veilig is. Boetes of niet, je wil niet dat jouw bedrijf of organisatie bekend komt te staan als een partij die zijn zaakjes niet op orde heeft. En zo moeilijk is het niet. Uiteindelijk komt het er bij de AVG-privacywet vooral op aan je gezonde verstand te gebruiken.