Maak jouw website GDPR-proof

25 mei gaat de GDPR (General Data Protection Regulation) van kracht. In Nederland staat deze beter bekend als AVG (Algemene Verordening Gegevensbescherming). Niet alleen wordt de regelgeving rondom de AVG strenger, ook het naleven ervan.

Binnen de nieuwe AVG moet je eigenlijk altijd vier vragen in je achterhoofd houden:

1. Welke persoonsgegevens sla ik op?
2. Hoe gebruik ik deze persoonsgegevens?
3. Waar sla ik deze persoonsgegevens op en wie kan er bij?
4. Zijn de verzamelde persoonsgegevens ook wel daadwerkelijk nodig?

Het is belangrijk om te weten wat er nou precies wordt verstaan onder persoonsgegevens. De Wbp meldt het volgende:

“De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.” (https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/wat-zijn-persoonsgegevens )

Zodra je als organisatie met de extra gevoelige persoonsgegevens te maken krijgt, worden er extra eisen gesteld hoe je hiermee moet omgaan.

1. Aanstellen DPO (Data Protection Officer)

Met de komst van de AVG is het voor bepaalde bedrijven verplicht om een DPO aan te stellen. De DPO houdt controle op het toepassen en naleven van de Wet Bescherming Persoonsgegevens. De verplichte aanstelling geldt voor:

• Overheidsdiensten, uitgezonderd gerechten
• Organisaties die op grote schaal persoonsgegevens verwerken

Bij bepaling of er sprake is van ‘grootschalige verwerking’ moeten vier factoren worden meegenomen:

1. Het aantal betrokkenen (cijfers of een percentage);
2. De hoeveelheid gegevens en/of de hoeveelheid verschillende gegevens die wordt verwerkt;
3. De duur of permanentie van de gegevensverwerking;
4. De geografische reikwijdte van de verwerking.

Voorbeelden van situaties waarbij men spreekt over grootschalig verwerking:

• Verwerken van patiënten data door ziekenhuizen;
• Verzamelen van reisdata van burgers op de bus;
• Verwerken van klanten data door een verzekeraar of bank;
• Verwerken van persoonlijke data voor behavioural advertising.

2. Controleer of bestaande data correct is verkregen

De eerste belangrijke stap is om te kijken naar de huidige verkregen data. Je moet namelijk kunnen aantonen hoe deze zijn verkregen en waarvoor mensen precies toestemming hebben gegeven. Er is een verschil tussen opt-ins in de checkout of een opt-in via een nieuwsbrief pop-up. Kun je niet aantonen hoe ze hebt verkregen, dan zal je deze mensen moeten vragen voor een nieuwe opt-in. Krijg je deze niet, dan zal je ze niet meer mogen mailen. Klanten met een factuurrelatie zijn echter een uitzondering. Zij mogen wel zonder actieve opt-in gemaild worden over soortgelijke producten of diensten.

3. In kaart brengen gegevens en verwerken in privacyverklaring

Onder de AVG moeten organisaties kunnen aantonen dat zij zich aan de privacywetgeving houden. In veel gevallen is het verplicht om een ‘verwerkingenregister’ bij te houden. In dit register moet staan:

• Wat voor persoonsgegevens je verwerkt;
• Waarom je deze persoonsgegevens verwerkt;
• Wat de bron is;
• Welke partijen betrokken zijn;
• Of de gegevens buiten de EU terechtkomen;
• wat de bewaartermijn is;
• Verwijderen en aanpassen van gegevens.

Daarnaast moet je aantonen dat je persoonsgegevens verwerkt met een rechtmatige grondslag, bijvoorbeeld toestemming of omdat de verwerking nodig is om een (verkoop)overeenkomst uit te voeren.

Bovenstaande vragen kunnen als leidraad worden gehanteerd om een privacyverklaring op te stellen. Een voorbeeld van een privacyverklaring, is de privacyverklaring van Microsoft.  Hier krijg je een goed beeld.

Wil je meer op weg geholpen worden met een checklist en met een paar stappen een privacyverklaring opstellen? Bekijk dan deze privacyverklaring generator.

3. Versleuteling gegevens (SSL)

Verwerk je persoonsgegevens, dan is het verplicht om op je website een SSL-certificaat te hebben. Een SSL-certificaat zorgt ervoor dat dataverkeer tussen de website en de bezoeker wordt gecodeerd.

4.Persoonsgegevens kunnen inzien, wijzigen of verwijderen

Vaak hebben mensen een account in een website of webshop al een gedeelte waarin ze hun gegevens zelf kunnen inzien en wijzigen. Hetzelfde zal moeten gebeuren voor e-mailvoorkeuren. Daarbij moeten mensen zich specifiek kunnen afmelden voor dataprofilering.

5. Cookiemelding

Een cookiemelding is al langer verplicht. Deze wordt echter uitgebreid met voorkeuren, statistieken en marketing. Een cookiemelding kan via en pop-up of balk onderaan of bovenaan de website getoond worden. Wanneer heb je een cookiemelding nog meer nodig op je website?

Voorkeuren: Voorkeurscookies zorgen ervoor dat een website informatie kan onthouden die van invloed is op het gedrag en de vormgeving van de website. Denk aan voorkeurstaal of regio waar je woont.

Statistieken: Statistische cookies helpen eigenaren van websites begrijpen hoe bezoekers hun website gebruiken.

Marketing: Marketingcookies worden gebruikt om bezoekers te volgen wanneer ze verschillende websites bezoeken. Bijvoorbeeld via AdWords, Facebook, e-mail of Hotjar.

In de GDPR wordt echter niet specifiek gesproken over het gebruik van cookies. Hier is een nieuwe wet voor in de maak genaamd ‘ePrivacy Verordening’. Deze gaat hoogstwaarschijnlijk een einde maken aan de cookiemeldingen. Bezoekers zullen zelf moeten instellen welke cookies geplaatst mogen worden. Het is echter tot die tijd aan te raden om een goede cookiemelding te plaatsen. 

6. Databeveiligingsbeleid en meldplicht datalekken

 Stel een databeveiligingsbeleid op en denk aan de volgende onderdelen:

• Toegangscontrole, met gebruik van sterke wachtwoorden;
• Logging van handelingen rondom de persoonsgegevens;
• Fysieke maatregelen voor toegangsbeveiliging;
• Encryptie van bestanden met persoonsgegevens;
• Steekproefsgewijze controle op naleving van het beleid;
• Beheer van kopieën en back-ups;
• Beveiliging van netwerkverbindingen.

De meldplicht van datalekken blijft bestaan binnen de AVG. Je dient een register bij te houden van alle datalekken. Afhankelijk van het lek dient de verantwoordelijke te bepalen of het lek gemeld moet worden aan de toezichthouder. Dit zal binnen 72 uur dienen te gebeuren. Houdt het lek waarschijnlijk een hoog risico in voor de personen waar de gegevens betrekking op hebben? Dan moeten zij ook van de lek op de hoogte worden gesteld.

7. Vraag alleen data die je nodig hebt

Zodra de AVG van kracht wordt is het onnodig verwerken van gegevens niet meer toegestaan. Dit wordt ook wel ‘dataminimalisatie’ genoemd. De AVG introduceert twee nieuwe verplichtingen:

Privacy by design: Privacy by design doelt op het feit dat al in een vroeg stadium zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens af te dwingen. Let bij de ontwikkeling van producten of diensten dan ook op privacy.

Privacy by default: Privacy by default is eigenlijk een onderdeel van Privacy by design. Het omvat dat persoonsgegevens niet standaard openbaar zichtbaar zijn. Een goed voorbeeld is een profiel op social media. Standaard mogen persoonsgegevens niet worden getoond. Alleen als de gebruiker daar actief voor kiest. Ook bij nieuwsbrieven dien je je actief aan te melden voor een nieuwsbrief.

8. Up-to-date website

Als website-eigenaar ben je verantwoordelijk voor de veiligheid van de website. Zorg dan ook dat je website altijd 100% up-to-date is. In het geval je gebruik maakt van open source systemen zoals WordPress, komt dit neer op het updaten van plugins, WordPress en thema’s. Deze taken kun je overdragen aan MM via een onderhoudscontract. Wij dragen dan zorg aan een up-to-date website.

9. Verwerkersovereenkomsten met betrokken partijen

Een van de lastigere punten van de aanstaande AVG. In de huidige bestaat dit punt ook al alleen zal met de komst van de AVG strenger worden gecontroleerd en zullen er enkele verplichte onderdelen bijkomen.

Een verwerkersovereenkomst is een overeenkomst die je als website-eigenaar afsluit met partijen die jouw persoonsgegevens gebruiken. Te denken valt aan Google (Analytics), Facebook (Remarketing), Mailchimp, hostingbedrijf en webbouwer. Een verwerkersovereenkomst biedt garanties dat de bescherming van de rechten van personen wordt gewaarborgd. Mochten er zich problemen voordoen, dan kan de verwerker hier verantwoordelijk voor zijn en aansprakelijk.

Wat leg je vast in een verwerkersovereenkomst?

In een verwerkersovereenkomst leg je o.a. vast de naam en gegevens van de verwerkers, waar persoonsgegevens voor mogen gebruikt, welke maatregelen je treft ten aanzien van beveiliging, of de verwerker subverwerkers mag inschakelen en de termijn van het bewaren van de gegevens. Een ander belangrijk punt is de omschrijving hoe partijen omgaan met datalekken of schade door het niet nakomen van afspraken. Een voorbeeld van een verwerkersovereenkomst kan je al op de goede weg brengen.

10. Contactformulieren

Heb je een formulier op de website waarbij bezoekers zich bijvoorbeeld kunnen aanmelden voor de nieuwsbrief? Zorg er dan voor dat er een checkbox wordt geplaats met opt-in en vul deze aan met een zin die omschrijft dat je gegevens mag verwerken en link naar de privacyverklaring. Voor overige formulieren is het plaatsen van een zin die aangeeft dat je gegevens mag verwerken en link ook hier naar de privacyverklaring.

Verplicht in bepaalde gevallen

1. Een Data Privacy Impact Assessment (DPIA)

Zodra er wordt gewerkt met persoonsgegevens met een vergroot privacy risico, dan is een DPIA verplicht. Dit is aan de orde zodra een organisatie:

• Op grote schaal bijzondere persoonsgegevens verwerkt;
• Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

2. Verwerkingsregister

Het bijhouden van verwerkingsactiviteiten is verplicht voor bedrijven die of risicovolle persoonsgegevens verwerken of bedrijven met meer dan 250 werknemers. Het verwerkingsregister van de verantwoordelijke bevat de volgende gegevens:

• Naam en contactgegevens van de verantwoordelijke(n), eventuele verwerker(s) en Data Protection Officer;
• De verwerkingsdoeleinden;
• Beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
• De categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt;
• Eventuele doorgifte aan derde landen of internationale organisaties;
• Beoogde termijnen waarbinnen de gegevens moeten worden gewist;
• Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Bekijk hier een voorbeeld van een verwerkingsregister.

Takeaways voor website-eigenaren

Inventariseren

Hosting

• Je hostingpartij heeft in principe toegang tot alle gegevens van je website. Het is daarom verplicht om verwerkersovereenkomst op te stellen. Hier vind je een voorbeeld van een verwerkersovereenkomst.
• Waar en hoe worden backups opgeslagen van je website?

Plugins
Ga naar welke plugins er op je website worden gebruikt en bekijk per plugin of ze persoonsgegevens verzamelen. Te denken valt aan plugins zoals contactformulieren, E-commerce (WooCommerce), backup plugins, statistieken, logging en plugins voor koppelingen met externe diensten.

Diensten buiten EU
Gebruik je diensten buiten de EU die gegevens van je website kunnen inzien? Ga dan na of deze partijen voldoen aan de AVG.

Duur
Ga na hoelang je persoonsgegevens bewaard en of deze tijd te rechtvaardigen is. Bewaar in ieder geval geen persoonsgegevens langer dan nodig is.

Legitimeren
Van de gegevens die je verzamelt moet je kunnen aantonen/legitimeren waarom je deze bewaart. Binnen de nieuwe AVG mag dit als het aan tenminste een van de volgende voorwaarden voldoet:

• Omdat dit is afgesproken in een overeenkomst;
• Omdat de wet van je vereist om dit vast te leggen;
• Omdat je expliciet toestemming hebt gekregen om dit te doen;
• Omdat het verzamelen te rechtvaardigen is.

Schrijf uit waarom je denkt dat het te rechtvaardigen is en laat het controleren door een jurist.

Dit is geen juridisch artikel en hieraan kunnen geen rechten worden ontleend. Wil je juridisch advies? Neem dan eens contact op met onze juridische partner ‘Boels Zanders’.