6 stappen om je website AVG proof te maken

Alle ondernemers moeten voldoen aan de AVG wetgeving. In deze wet worden persoonsgegevens beter beschermd en dat heeft gevolgen voor je website.

Let op: Ik heb deze tips verzameld, omdat ik veel AVG vragen krijg van klanten die een website door Grab a Web hebben laten bouwen. Ik ben geen jurist dus geef alleen een paar PRAKTISCH TIPS en GEEN JURIDISCH ADVIES. De verantwoordelijkheid voor een AVG-proof website ligt bij jou als ondernemer en niet bij Grab a Web. Win bij twijfel altijd juridisch advies in. Neem contact met ons op wanneer je hulp nodig hebt bij het aanpassen van je website.

Stap 1 – Stel een Privacyverklaring op

Eén van de belangrijkste onderdelen van de AVG is je privacy policy. Je zult op je website een privacy verklaring moeten plaatsen waarin je jouw bezoekers informeert over wat je met hun persoonsgegevens doet. Leg in begrijpelijke taal uit welke persoonsgegevens je voor welk doel verwerkt en hoe mensen hun rechten kunnen uitoefenen. Geef kort aan wie de verantwoordelijke organisatie is, hoe die te bereiken is en welke gegevensverwerkingen de meeste impact hebben op de betrokken personen.

ACTIE: Je kunt deze tool gebruiken om er één te genereren, maar er zijn uiteraard ook heel veel andere aanbieders te vinden op internet. Zo heb ik mijn verklaring op laten stellen door Veilig Doen.

Zorg dat je privacyverklaring goed vindbaar is, door:

Stap 2 – Loop je webformulieren na

De meeste bedrijven vragen om persoonlijke gegevens in hun contactformulier(en), hierdoor krijg je automatisch te maken met de AVG Privacywetgeving.

De AVG gaat er vanuit dat je niet meer gegevens vraagt dan je strikt nodig hebt. In het geval van een contactformulier heb je een telefoonnummer of e-mailadres nodig om contact op te kunnen nemen, maar bijvoorbeeld geen geboortedatum of geslacht. Ook moet je in je privacyverklaring uitleggen wat je gaat doen met de gegevens die je verzamelt en hoe ze worden verwerkt.

ACTIE: Pas je formulieren aan waar nodig:

  • Vraag alleen om gegevens die je echt nodig hebt
  • Maak duidelijk waarvoor het formulier is bedoeld
    voorbeelden: inschrijven nieuwsbrief, offerte aanvragen, online solliciteren .. etc
  • Sla contactformulieren niet op in je database (Contact form 7 doet dit so-wie-so niet en bij formidable kan je dit handmatig instellen) of vermeld het opslaan in je privacyverklaring
  • Voeg een zin toe aan je contactformulieren
    bijvoorbeeld: De persoonsgegevens worden alleen gebruikt voor het gevraagde contact. Lees de privacyverklaring voor meer informatie.
  • Ga zorgvuldig om met het mailaccount waar de formulieren op binnenkomen
  • Zorg dat je website is beveiligd met een SSL certificaat (stap 6)

Als je formulier één helder doel heeft waarvoor je de persoonsgegevens gebruikt, dan is het niet nodig om met een checkbox toestemming te vragen om deze gegevens te mogen verwerken.

Stap 3 – Anomiseer Google Analytics

Meet je het bezoekersgedrag van je website met Google Analytics? Dan plaatst je website ‘Tracking cookies’ en dat mag niet zomaar. Het mag wel wanneer je de gegevens van de bezoekers in Google Analytics anoniem maakt. Dat is goed nieuws, want op deze manier hoef je niet om toestemming te vragen en loop je ook geen bezoekersstatistieken mis.

ACTIE: Anonimiseer je Google Analytics. Volg deze stappen.

Stap 4 – Zorg voor een goed cookiebeleid

Er zijn 3 soorten cookies die het surfgedrag van websitebezoekers volgen, namelijk:

  1. Functionele cookies vallen buiten de cookiewet
    Hiervoor hoeft geen toestemming te worden gevraagd en eigenlijk hoeven deze ook niet te worden beschreven in de cookieverklaring. Je mag deze cookies inzetten als de site anders niet goed doet wat hij moet doen. Denk hierbij aan: een winkelwagentje, een login onthouden of het onthouden van cookievoorkeuren
  2. Analytische cookies mogen beperkt (zie stap 3).
    Je mag ook cookies inzetten die je helpen je website te verbeteren. Zulke cookies mogen geen of maar weinig gevolgen hebben voor de privacy van bezoekers.
  3. Marketing cookies (tracking-cookies) mogen alleen met cookiemelding
    Zijn cookies niet nodig voor een goede werking van de site? Of leveren ze risico op voor de privacy van bezoekers? Dan is een cookiemelding verplicht. Denk hier aan: Facebook pixel, hotjar, livechat etc.

ACTIE:

  • Controleer eerst welke cookies je website plaatst! Check het hier
  • Vermeld je cookies in je privacy verklaring.
  • Stel een cookieverklaring op en plaatst deze op je website. Ik heb hiervoor gebruik gemaakt van rocketlawyer, maar er zijn uiteraard heel veel andere aanbieders te vinden op internet.
  • Plaatst een cookiemelding, wanneer je niet-functionele cookies verzameld. Dit mag totdat de nieuwe ePrivacy Verordening van kracht wordt een simpele alles-in-1 cookiemelding zijn die puur ter kennisgeving van de bezoeker dient.

Er gaat veel veranderen wanneer de nieuwe ePrivacy Verordening van kracht wordt, maar de verwachting is dat de ePV pas in 2019 kan worden ingevoerd.

Stap 5 – Bekijk je mailbestand en inschrijfformulieren

Nieuwsbriefinschrijvingen die gekoppeld zijn aan gratis downloads, zoals ebooks, whitepapers of webinars mogen niet langer. De AVG vermeldt namelijk dat je inschrijvingen niet op deze manier mag afdwingen. Je zal de webbezoeker de mogelijkheid moeten geven om alleen het gratis product te ontvangen, zonder dat ze zich hoeven in te schrijven voor de nieuwsbrief. Het is daarom handig om de voordelen van de nieuwsbrief op te sommen bij je checkbox, zie onderstaand voorbeeld.

De al aangevinkte vinkjes bij een formulier zoals ‘Ja, ik wil de nieuwsbrief ontvangen’ zijn ook uit den boze. De bezoeker moet actief gevraagd worden of hij/zij zich wil aanmelden, verder moet het hierbij duidelijk zijn waar de gegevens worden opgeslagen (bijvoorbeeld mailchimp). Dit kan worden opgenomen in de privacyverklaring, zodat deze informatie niet prominent op je website aanwezig is.

Onder de AVG moet een ontvanger expliciet toestemming geven voor het krijgen van nieuwsbrieven of andere commerciële mailings. Wanneer je al een bestaand e-mailbestand hebt, waarover je twijfels hebt of alle e-mailadressen in dit bestand op een wijze zijn verzameld die GDPR-compliant zijn, is het verstandig om deze te updaten. Je kan in dit geval een heractivatiemailing sturen, waarin je vraagt of de ontvanger de mailing wil blijven ontvangen. De mail moet een even prominente ‘Ja’ als ‘Nee’ knop bevatten. Geen reactie voor 25 mei geldt ook als een ‘Nee’.

Gebruik je mailchimp? Bekijk de GPDR tools

ACTIE: Check je inschrijfformulier en bedenk of het nodig is om een heractiveringsmail te sturen.

Stap 6 – Voeg een SSL Certificaat toe

Het internet bestaat uit een heleboel computers die berichten verzenden, ontvangen en doorgeven. Tijdens dat doorgeven is het theoretisch mogelijk om berichten te onderscheppen of manipuleren. In de AVG wet staat dat het verplicht is om het verzenden van persoonsgegevens via internet te beveiligen.

Wanneer je een melding in je browser ziet die aangeeft dat je website ‘niet veilig’ is betekend dit meestal dat je website een formulier heeft zonder een versleutelde SSL-verbinding.

SSL leidt het verkeer van en naar je website over een veilige, versleutelde HTTPS-verbinding. Hiermee voorkom je dat gegevens van bezoekers (denk aan formulieren) worden onderschept. Daarnaast brengt het ook andere voordelen met zich mee. Een website met SSL scoort hoger in Google, vertoont geen veiligheidswaarschuwingen en voldoet aan de AVG.

ACTIE: Controleer of je SSL certificaat actief is, dat is het geval wanneer:
→ De URL van de website begint met https://
→ Er een slotje getoond in de adresbalk van je internetbrowser

Nog geen SSL certificaat?

  • Wordt je website door Grab a Web gehost? Dan kunnen wij dit voor je regelen, informeer naar de mogelijkheden/kosten.
  • Wordt je website elders gehost? Dan dien je contact op te nemen met je provider.

Een contactformulier moet beveiligd worden met een SSL-certificaat. Bij het verzenden van mail via je ‘gewone’ e-mailadres (info@bedrijfsnaam.nl) ligt dat anders. Op het moment dat men daar op klikt, opent zich een nieuw venster naar bijvoorbeeld Outlook of Gmail (de cliënt). De websitebezoeker stuurt de mail dan niet via je website maar via deze cliënt, dus in dat geval is de cliënt verantwoordelijk voor de beveiliging van de persoonsgegevens.

Heb je naar aanleiding van dit artikel toch nog vragen of zorgen, check dan de website van de Autoriteit Persoonsgegevens.