Hij bestaat al sinds 24 mei 2016, maar treedt pas echt in werking op 28 mei 2018: de AVG, oftewel: Algemene Verordening Gegevensbescherming. Voor veel website eigenaren betekent dit dat er wijzigingen aan hun website gedaan moeten worden en in dit artikel geef ik antwoord op de belangrijkste vragen ten aanzien van deze gewijzigde wetgeving.
Waar gaat de AVG vooral over?
De nieuwe wetgeving richt zich op het beschermen van persoonsgegevens. Elke website die op de een of andere manier persoonsgegevens verwerkt, dient aan aan te geven op welk wijze deze gegevens worden verzameld, hoelang de gegevens worden bewaard en hoe deze zijn beveiligd. Dit dient op een begrijpelijke manier te worden beschreven in de privacyverklaring van je website. Worden er via je website gegevens verzonden, dan ben je dus verplicht om een uitgebreide privacy verklaring op je website te hebben.
Om welke persoonsgegevens gaat het?
De persoonsgegevens worden onderverdeeld in twee categorieën. In de eerste categorie vallen gegevens als naam, adres, woonplaats, geboortedatum, maar ook het IP-adres van je bezoeker. In de tweede categorie gaat het om gegevens die meer specifieke informatie geeft over de bezoeker, bijvoorbeeld de seksuele voorkeur of religie van bezoekers.
De tweede categorie wordt vooral gebruikt om bezoekersprofielen op te bouwen. Die profielen kunnen vervolgens worden gebruikt voor specifieke marketingdoeleinden.
Wanneer is er sprake van gegevensverwerking?
Hier is al sprake van als je een contactformulier op je website hebt. Hierbij moeten mensen meestal hun naam en e-mailadres invullen en daarmee worden persoonlijke gegevens digitaal verzonden. Maar er zijn meer functionaliteiten waarbij persoonlijke gegevens worden verstuurd. Sommigen zou je zomaar over het hoofd zien:
- Een like- of share button
Wanneer je de like button bij een artikel aanklikt of een blogpost deelt, wordt hierbij je IP-adres geregistreerd. Ook het IP-adres wordt gezien als een persoonsgegeven, aangezien je IP-adres kan worden herleid naar een specifieke locatie. - Een comment (reactie)
Bij het plaatsen van een comment, wordt het IP-adres geregistreerd en moet je vaak een e-mailadres opgeven. - Bezoekerstellers
Alle codes of extensies die gegevens over het bezoekersaantal verzamelen, worden gezien als gegevensverzamelaars. - Maar ook een forum, ledengedeelte, shoutbox, twitterfeeds, facebook like-box, webshop, bookingsmodule zijn voorbeelden van functionaliteiten waarbij gegevens worden verwerkt.
HUH?, Ik verzamel geen gegevens en doe er niets mee!
Heb je wel een contactformulier op je website hebt, maar gebruik je de gegevens die bij jou binnenkomen niet, dan ben je toch verplicht om een uitgebreide privacyverklaring op te stellen. Er worden immers gegevens via je website verstuurd.
Wanneer hoef je niets te doen?
Elke website die op de een of andere manier persoonsgegevens verwerkt, dient aan de nieuwe wetgeving te voldoen. Heb je bijvoorbeeld geen contactformulier, geen like-of share buttons, geen forum, geen webshop, geen bezoekersteller en vertoont je geen advertenties, hoef je jouw website niet aan te passen.
Waar moet mijn website uiteindelijk aan voldoen?
Je website zal in ieder geval voor 25 mei aan de volgende zaken moeten voldoen:
- Er wordt gebruik gemaakt van een beveiligde verbinding. Dit kun je regelen door een SSL-certificaat aan te schaffen.
- Je dient een uitgebreide cookieverklaring te hebben en een melding op je website waar bezoekers door middel van een handeling toestemming geven voor het plaatsen van cookies. Alleen een melding dat er cookies gebruikt worden, mag dus niet meer.
- Er dient een uitgebreide privacyverklaring op je website te staan waarin op simpele wijze wordt uitgelegd hoe je omgaat met de persoonsgegevens die via jouw website worden verzameld.
- Je dient met derde partijen een verwerkersovereenkomst af te sluiten. Derde partijen zijn bijvoorbeeld je hostingpartij of het mannetje dat het onderhoud van je website verzorgt.
Waar kan ik die verklaringen downloaden?
Helaas is het niet zo eenvoudig. Beide verklaringen moeten specifieke informatie bevatten over je website, wie er achter de website zit en eventuele derde partijen. Het is dus niet mogelijk om een kant-en-klare tekst te downloaden en die vervolgens even snel aanpassen. Immers, de wijze waarop wordt omgegaan met persoonsgegevens zal voor iedereen anders zijn.
Wat als ik Google Analytics gebruik?
Ook dan moet je website beschikken over een privacy- en cookieverklaring. Google Analytics verzamelt, verwerkt en bewaart namelijk gegevens over je bezoekers en gebruikt cookies om dit te kunnen doen.
Waar kan ik die verklaringen downloaden?
Helaas is het niet zo eenvoudig. Beide verklaringen moeten specifieke informatie bevatten over je website, wie er achter de website zit en eventuele derde partijen. Het is dus niet mogelijk om een kant-en-klare tekst te downloaden en die vervolgens even snel aanpassen. Immers, de wijze waarop wordt omgegaan met persoonsgegevens zal voor iedereen anders zijn.
Kan WEBSE die verklaring niet even regelen?
Ja dat kan en tot 31 mei doe ik dat tegen een gereduceerd tarief van 99 euro- per website. Heb je meer websites dan is een kortingsstaffel mogelijk. Webwinkels kunnen geen gebruik maken van de aanbieding en betalen 149 euro. Wie voor 10 mei de aanvraag verstuurt, is voor 25 mei verzekerd van een website die helemaal voldoet aan de nieuwe regelgeving.
Tot besluit
Inmiddels zijn er al heel wat vragen van klanten binnengekomen en die heb ik samen met een kort antwoord hieronder even op een rijtje gezet:
Klopt het dat mensen akkoord moeten gaan privacyverklaring?
NEE, dat klopt niet. Voor de privacyverklaring is nooit toestemming vereist. Het is een wettelijk verplichte tekst waarin je uitleg geeft over hoe je omgaat met de verwerking van persoonsgegevens. Vergelijk het met de algemene voorwaarden van een webwinkel. Die staan vast en daar ga je mee akkoord of niet.
Mag ik mensen die iets downloaden automatisch inschrijven voor mijn nieuwsbrief?
Nee, dat mag niet meer. Je moet duidelijk aangeven wat er gebeurd als mensen hun gegevens achterlaten. Wil je ze toch inschrijven tijdens het downloadproces, dan moet je dat nadrukkelijk vermelden. Ook iemand die iets aankoopt in je webwinkel, mag je niet zomaar inschrijven voor je nieuwsbrief zonder dat je dit tijdens het bestel- of afrekenproces duidelijk aangeeft.
Hoe kom ik aan een verwerkersovereenkomst?
Die ontvang je als het goed is van bijvoorbeeld je hostingbedrijf of kun je downloaden in bijvoorbeeld je account van Google Analytics. Maak een overzicht van alle derde partijen waar je via jouw website gebruik van maakt en zorg ervoor dat je die in ieder geval even benader met de vraag hoe zij dit aanpakken.
Wat gebeurd er als mijn website niet voldoet aan de nieuwe AVG-wetgeving?
In dat geval riskeer je een boete die kan oplopen tot 4% van je jaarlijke omzet met een maximum van 20 miljoen euro. Prima reden om dit dus op tijd te regelen!
Komt er ook een cursus of workshop over het schrijven van een privacy- of cookieverklaring?
Nee, daar zijn op dit moment geen concrete plannen voor.
Moet de privacyverklaring overal op mijn website zichtbaar zijn?
Dat staat niet zo in de wet, maar mag wel zo worden geïnterpreteerd. De wetgever schrijft voor dat de privacyverklaring in begrijpelijke taal en gemakkelijk toegankelijk moet zijn. Het beste is dus om een link naar de privacyverklaring onderaan je website te plaatsen.
Heb je zelf een vraag of wil je dat ik jouw website AVG-proof maak, neem dan contact met mij op via michel@webse.nl of het contactformulier op deze pagina.