In 4 stappen voldoet jouw website aan de AVG

Gepost op 13 april 2018 door Erik Gosker

/blogOnlangs publiceerden wij een samenvatting over de AVG op onze website. Niet voor marketingdoeleinden, maar om klanten die vragen hebben naar te kunnen verwijzen. Dit is de samenvatting van de samenvatting: heel concreet wat jij moet doen om jouw website klaar te maken voor de AVG.

Om te voldoen aan de nieuwe privacy-richtlijnen, raden we aan het volgende aan te (laten) passen op jouw website:
    
1. Privacyverklaring
Scherp je privacyverklaring aan, of voeg deze toe als je die nog niet hebt. Bij voorkeur in Jip en Janneke-taal, zodat de bezoeker van jouw website het ook snapt. Informeer over welke gegevens jij verzamelt en met welk doel. Geef aan welke informatie jij verzamelt, waarom jij dit doet, op welke manier en hoe de bezoeker deze kan wijzigen (of laten verwijderen).
Bezoekers moeten de privacyverklaring eenvoudig kunnen vinden. Wij raden aan een sneltoets in de footer (onderkant van jouw website) te plaatsen en er naar te verwijzen zodra je gegevens verzamelt. Bij een contactformulier, nieuwsbriefmodule of in een webshop bijvoorbeeld.

Een bedrijf dat een helder, uitgebreid en goedwerkende privacyverklaring heeft is IKEA >

2. Cookiemelding
De cookiemelding is alleen verplicht als er niet functionele cookies worden bewaard. Wat voor cookies? Niet functionele. Ik leg het je uit:

Functionele cookies:
Dit zijn cookies die ervoor zorgen dat je website goed functioneert (inlog-doeleinden, lettergrootte, taalvoorkeuren, winkelmandjes). Deze cookies worden niet gebruikt om bezoekers te identificeren, maar om de website zo goed mogelijk te laten werken voor de bezoeker. Voor deze cookies is een cookiemelding niet verplicht.

Niet functionele cookies:
Stuur jij advertenties via Google of Facebook naar bezoekers van jouw website? Dan is een cookiemelding wel verplicht. Bijvoorbeeld bij remarketing. Jij slaat gegevens op met als doel om bezoekers later te verleiden tot een aankoop. Ook zonder deze cookies werkt jouw website prima.

Google Analytics
Cookies die je plaatst om het online gedrag te analyseren zijn ook niet functioneel. Deze cookies zijn niet strikt noodzakelijk. Google Analytics valt hier ook onder. Waarschijnlijk moet je dus een cookiemelding toevoegen, want op vrijwel elke website die wordt gemaakt draait Google Analytics. 

3. Google Analytics

Een cookie melding lijkt niet nodig als Google Analytics de enige niet functionele cookie is. Je moet dan wel onderstaande 3 stappen doorlopen:

  1. Sluit een verwerkersovereenkomst af met Google
  2. Zet het delen van gegevens met Google uit
  3. En vraag aan jouw webbouwer om het laatste kwartet van de ip-adressen te maskeren

Het AP (Autoriteit Persoonsgegevens) heeft deze stappen heel duidelijk uitgelegd >

In de cookiemelding kun je natuurlijk al je creativiteit kwijt. Maak een cookie-melding die aansluit bij jouw doelgroep. Een bekend voorbeeld hiervan is de cookiemelding op de website van Dumpert > Hij is overdreven, maar maakt wel duidelijk welke mogelijkheden er zijn.

4. Formulieren
Op vrijwel iedere website is een contactformulier, maar vaak ook de mogelijkheid tot aanmelden voor een nieuwsbrief. Wat verandert er door de nieuwe wet- en regelgeving? Per eind mei 2018 moet je twee nieuwe onderdelen bij het formulier opnemen:

  1. Een exacte beschrijving van het onderwerp van je nieuwsbrief.
  2. De frequentie waarmee je deze nieuwsbrieven wilt gaan versturen. 

Daarnaast moet je kunnen aantonen dat iemand zichzelf heeft aangemeld voor de nieuwsbrief. 

Kortom: leg jij duidelijk vast waar de ontvanger ja tegen zegt? 

5. Verwerkingsovereenkomst opstellen
Naast aanpassingen die je moet laten doorvoeren op de website (of andere applicatie) is jouw webbouwer verwerkingsverantwoordelijke om persoonsgegevens te verwerken, daarom heb je een verwerkingsovereenkomst nodig. In de oude wet (Wet bescherming persoonsgegevens (WBP)) wordt dit de bewerkersovereenkomst genoemd. 

De verwerkingsovereenkomst is de overeenkomst waarin wordt vastgelegd hoe jouw leverancier met jullie persoonsgegevens moet omgaan. Het is daarom jullie verantwoordelijkheid dat deze overeenkomst er komt. Op het internet zijn tal van voorbeelden te vinden die jij kunt aanpassen naar een gewenst contract voor jouw organisatie. Is er sprake van grootschalig opslaan van persoonlijke gegevens, dan raden wij aan om met een jurist in gesprek te gaan. Zij kunnen adviseren of een overeenkomst voldoet aan wet- en regelgeving.

Over het algemeen zijn onderstaande onderwerpen in de meeste verwerkingsovereenkomsten terug te vinden: 

  • Welke instructies geven jullie ons mee om de gegevens te verwerken?
  • De notitie dat Motivo de persoonsgegevens niet voor eigen doeleinden mag gebruiken, maar alleen om uitvoering te geven aan de gegeven instructies.
  • Geheimhouding. Ons wordt een geheimhoudingsplicht opgelegd. Ook al is dit genoemd in de algemene voorwaarden van Motivo, het is raadzaam dit ook te benoemen in de verwerkersovereenkomst. 
  • Beveiligingsmaatregelen.Jullie vragen ons om passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beveiligen tegen verlies en misbruik. Desgewenst kunnen wij jullie informeren hoe wij dit momenteel doen, zodat jullie kunnen controleren of dit voldoet aan jullie wensen.
  • Inschakelen van derden en onderaannemers. Wij maken bijvoorbeeld gebruik van derden om jullie data op te slaan en toegankelijk te maken. Deze partijen worden benoemd in de overeenkomst, zodat wij toestemming van jullie hebben om de gegevens te delen. In de overeenkomst wordt vastgelegd of, en onder welke voorwaarden, Motivo subbewerkers mag inschakelen.
  • Als opdrachtgever wil je misschien kunnen controleren of Motivo zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de verwerkersovereenkomst kun je hier met ons nadere afspraken over maken.
  • Aansprakelijkheid. De wet bepaalt dat jouw organisatie kan worden aangesproken als iemand schade lijdt doordat de AVG niet wordt nageleefd. Het is verstandig in de bewerkersovereenkomst heldere afspraken te maken over deze verdeling.

Als je nog geen verwerkingsovereenkomst hebt dan kun je op internet tal van voorbeelden vinden. Zo heeft Actiz, brancheorganisatie voor zorgaanbieders, een concept verwerkingsovereenkomst voor de zorg gemaakt. Slim Googelen en je vindt vast ook een voorbeeld voor jouw bedrijf.

Tijd om schoon te maken?
Door de komst van de AVG is dit hét moment om jouw website op te schonen. Bepaal wat voor nieuwsbrief jij wilt sturen en hoe vaak. Waarom wil jouw publiek de nieuwsbrief blijven ontvangen? Houdt daarnaast jouw doelgroep weer scherp voor ogen: waarom bewaar jij hun gegevens? Hoe spreek jij en aan op jouw website?

Zowel voor de privacystatement, de cookiemelding als de nieuwsbrief geldt: dit kun je heel creatief doen, zodat jouw boodschap naadloos aansluit op jouw doelgroep. Wij zijn er vooral om de techniek te regelen, maar ook tekstueel denken we graag mee hoor!

Kortom: dit moet jij jouw webbouwer vragen om te doen:

  1. Een privacyverklaring toevoegen aan de website
  2. Een cookiemelding toevoegen aan de website (als er sprake is van niet functionele cookies)
  3. Een verwerkingsovereenkomst ondertekenen
  4. De aanmelding voor de e-mailnieuwsbrief aanpassen

 

Lees meer van onze blogs of meld je aan voor onze nieuwsbrief:

×
Motivo

Neem contact op