De impact van de nieuwe privacy-wet (AVG) op uw website

Vanaf 25 mei 2018 is de nieuwe privacy-wet (Algemene Verordening Gegevensbescherming, AVG) van toepassing. Vanaf dan gelden dezelfde privacy-regels voor heel Europa. Er gaan nieuwe regels gelden voor het verwerken en bewerken van persoonsgegevens. Dit is ook van toepassing op uw website. Bijvoorbeeld als u een contactformulier heeft, Google Analytics gebruikt, en bij webshops. In dit artikel leggen uit we hoe de nieuwe privacy-wet werkt en waar u op moet letten met betrekking uw website.

“Wanneer u persoonsgegevens verzamelt (bijvoorbeeld via een contactformulier) zou uw website een SSL-certificaat moeten hebben”

Wat verandert er

De AVG is een stuk strenger dan de WBP en vereist dan ook meer aandacht. In essentie is het gelukkig vrijwel op alle facetten een ‘niet meer dan logische’-verordening, waarbij er enkel op papier komt te staan hoe men omgaat met ontvangen persoonsgegevens.

Webfactory zelf voldoet volledig aan de reeds bestaande en nieuwe eisen die gesteld worden aan hostingproviders en dataverwerkers. Wij hebben bijvoorbeeld ook dergelijke afspraken met onze datacentra die zelf volledig gecertificeerd zijn en dus voldoen aan bepaalde eisen. Verder werken we alleen samen met leveranciers die ook kunnen aantonen dat ze hun privacybescherming op orde hebben.

“Wij werken alleen samen met leveranciers die kunnen aantonen dat ze hun privacybescherming op orde hebben.”

Wat u moet doen

Feitelijk zou u voor een website waar u persoonsgegevens mee verzamelt (bijvoorbeeld een contactformulier) een SSL-certificaat moeten hebben. Dit kan het simpelste SSL-certificaat zijn. Daarnaast mag u bijvoorbeeld het e-mailadres dat u op zo’n manier verzamelt niet toevoegen aan uw nieuwsbrief bestand, tenzij dat dat expliciet vermeldt wordt bij het formulier. De AVG draait vooral om transparantie: als ik u mijn e-mailadres geef, wat doet u er dan mee? En kom ik niet voor verrassingen te staan?

Wat moet u in uw organistatie dan precies aanpassen om te voldoen aan de gestelde eisen? Dat is helemaal afhankelijk van wát u precies verzamelt.

Denk hierbij aan het aanstellen van een ‘functionaris voor de gegevensverwerking’ als u zich bezig houdt met bijzondere persoonsgegevens zoals gezondheid of geloofsovertuiging. Maar sowieso is het van belang om “passende technische en organisatorische maatregelen” te nemen om de bij u verzamelde en opgeslagen gegevens te beschermen. Denk hierbij dan niet alleen aan het tijdig (laten) installeren van WordPress security-patches en het met SSL certificaten beveiligen van websites en formulieren.

Maar, denk hierbij ook aan het up-to-date houden van de CMSen zelf zoals WordPress.

Tevens moet u voor alle gegevens die u verzamelt, vastleggen waarom dat u dat doet, hoe dat dat gebeurt, op welke manier ze beveiligd worden en voor hoe lang u deze bewaart. Van belang hierbij zijn drie kernwoorden die u kunnen helpen dit te bepalen: doel, grondslag en gegevens. Wat is het doel van het vragen van de gegevens, hoe verklaart u waarom u ze vraagt (kan het niet met minder?) en welke gegevens vraagt u specifiek. Al deze informatie legt u vast in de privacyverklaring en in een ‘register’.

Ten slotte gaat het in de AVG voornamelijk om het transparant zijn over wat en met wie je zaken doet. Leg dit dan ook vast in een privacyverklaring, waarin u bijvoorbeeld aangeeft dat u voor de hosting van uw website gebruik maakt van Webfactory als verwerker. Hierbij is het ook van belang dat u ook vermeldt dat u voor het registreren van domeinnamen, de persoonsgegevens van de klant door moet geven aan de registrerende partij. Voor .nl domeinnamen is dat bijvoorbeeld de SIDN, voor gTLDs is dat de ICANN. De klant gaat namelijk tijdens het afsluiten van de overeenkomst niet alleen akkoord met úw algemene voorwaarden, maar ook met die van de SIDN of een andere partij. Ja, dit is altijd al zo geweest, maar onder de AVG moet dit helderder worden gedocumenteerd.

“Leg, voor alle gegevens die u verzamelt, vast waarom dat u dat doet, hoe dat dat gebeurt, op welke manier ze beveiligd worden en voor hoe lang u deze bewaart.”

Wat doen wij?

Ook wij zijn druk bezig met aanpassingen in onze bedrijfsvoering om op 25 mei 2018 te voldoen aan de nieuwe wet. U kunt op korte termijn onder andere de volgende dingen van ons verwachten:

  • SSL-certificaat plaatsen. Het bekende slotje in de browser. Dit zorgt ervoor dat gegevens van het contactformulier veilig (encrypted) verzonden worden.
  • Privacy policy statement op de website
    Hierin beschrijven wij welke gegevens wij vragen, waarom, wat we er mee doen en hoe deze zijn beveiligd.
  • Cookiebalk plaatsen met een link naar een pagina met Privacyverklaring.
  • Plaatsen van een checkbox op het contactformulier waarmee de bezoeker akkoord gaat met de privacy voorwaarden, met daarbij een link naar de privacypagina.
  • WordPress plugins controleren, welke AVG proof zijn of aangepast dienen te worden.

“AVG-compliant zijn is ook belangrijk om hiermee het vertrouwen van je klanten te behouden.”

Meer weten?

Hoewel we zelf een goed beeld hebben van wat de nieuwe rechten en plichten voor onze bedrijfsvoering gaan worden, pretenderen wij geenszins de juiste organisatie te zijn om u van meer informatie te voorzien over hoe u een en ander voor en met uw klanten moet inregelen. We willen u dan ook adviseren om contact op te nemen met een juridisch onderlegd(e) persoon of organisatie voor meer in-depth informatie en antwoorden op uw vragen. Verder is er natuurlijk online ook veel informatie te vinden, bijvoorbeeld:

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving

https://hulpbijprivacy.nl/

https://ictrecht.nl/2017/05/24/voorbereiden-op-avg/

https://ictrecht.nl/factsheets/algemene-verordening-gegevensbescherming-verandert-er-echt/

https://ictrecht.nl/factsheets/het-register-van-verwerkingen-van-persoonsgegevens/

https://ictrecht.nl/factsheets/het-registreren-van-datalekken/

“Boetes tot 20 miljoen Euro of 4 procent van de jaarlijkse omzet kunnen worden opgelegd. Vandaar de grote aandacht in de media. ”