Krijg tot wel €1.000,- vergoed voor een Online Marketing Training met de subsidie van STAP-budget! Op=Op. Lees meer

Expertise

Wat betekent de nieuwe privacywet (AVG) voor jouw website?

Olav Wolters - Opleidingsadviseur // Eigenaar bij Succesfactor

Olav Wolters

Opleidingsadviseur // Eigenaar

Wat betekent de nieuwe privacywet (AVG) voor jouw website? - Succesfactor

Nog twee maanden en dan moet iedere ondernemer, groot of klein, haar werkzaamheden hebben afgestemd op de nieuwe privacywetgeving van de Europese Unie: de Algemene Verordening Gegevensbescherming (AVG). Ben je druk bezig met wijzigingen doorvoeren, of moet je nog beginnen? Lees dan snel verder en kijk of jouw website aan alle eisen voldoet.

De AVG, wat houdt het in?

Het doel van de nieuwe privacywet is om de bescherming van persoonsgegevens in de hele Europese Unie gelijk te trekken. De AVG is voornamelijk in werking gesteld om burgers in bescherming te nemen en ze meer zeggenschap te geven over hun eigen gegevens. Het moet duidelijk zijn waar gegevens voor gebruikt worden en hoe lang deze bewaard worden. Daarnaast moet een klant te allen tijde inzage kunnen krijgen in zijn eigen opgeslagen data.

Van organisaties wordt verwacht dat ze voldoen aan de verantwoordingsplicht. Ze moeten  kunnen aantonen dat de juiste technische en organisatorische maatregelen zijn genomen om te voldoen aan de AVG. Dit is van essentieel belang, want Brussel heeft al bekendgemaakt dat er strenge controles zullen plaatsvinden. Boetes kunnen oplopen tot maar liefst 20 miljoen euro!

Gevolgen voor online persoonsgegevens

Een dergelijke aanpassing in de wet heeft natuurlijk aardig wat gevolgen voor websites en de manier waarop bezoekers benaderd worden. Organisaties zullen transparanter moeten zijn in hun gegevensverwerking. Het moet duidelijk zijn waarom een bezoeker van een website gevraagd wordt naar bijvoorbeeld z’n naam, e-mailadres, leeftijd of ander persoonlijk gegeven. Gebruikers mogen dit namelijk op elk moment desgevraagd inzien, of laten verwijderen.

Daarnaast moet de gebruiker altijd om toestemming worden gevraagd als je iets met zijn gegevens wil doen. Bijvoorbeeld voor het ontvangen van een nieuwsbrief. Een checkbox voor de maandelijkse nieuwsbrief staat nu vaak al aangevinkt, maar vanaf 25 mei mag dat niet meer. De gebruiker moet vanaf dan zelf expliciet toestemming geven dat jij gebruik mag maken van zijn gegevens.

Een ander belangrijk punt is de beveiliging van de gegevens. Je moet kunnen aantonen dat er geschikte maatregelen zijn genomen om een datalek te voorkomen. Als organisatie ben je verantwoordelijk en moet je vertrouwelijkheid, beschikbaarheid en integriteit kunnen garanderen. Mocht er toch een datalek ontstaan, dan moeten de Autoriteit Persoonsgegevens en de betrokken gebruikers daar binnen 72 uur over worden geïnformeerd.

Handige tips voor jouw website

Heb je nog geen aanpassingen gemaakt op je website, of weet je niet zeker of je de juiste wijzigen hebt gedaan om te voldoen aan de AVG? We geven hieronder een paar handige tips om jouw website in orde te maken.

Inventariseer de persoonsgegevens

Breng voor jezelf in kaart welke gegevens je momenteel verwerkt en kijk daarbij naar de volgende punten:

  • Op welke manier verzamel je de gegevens? Gebruik je bijvoorbeeld contactformulieren of e-mailmarketing widgets?
  • Bepaal per persoonsgegeven wat de reden is voor het verzamelen ervan. Wat doe je met de gegevens?
  • Hoe lang bewaar je de gegevens? Het moet namelijk te rechtvaardigen zijn dat gegevens bewaard worden.
  • Welke externe groepen hebben toegang tot de gegevens? Denk aan een marketingbureau of je webbouwer. Zorg dat je goede afspraken met ze maakt en die vastlegt in een verwerkersovereenkomst.
  • Gebruik je plugins die gegevens van je bezoekers verwerken? Zoals Google Analytics of Google Tag Manager.

Verzamel alleen relevante persoonsgegevens

Voor de AVG is het van belang dat je kan rechtvaardigen waarom jij de gegevens verzamelt die je verzamelt. Je mag geen persoonsgegevens vergaren zonder het doel ervan aan te kunnen geven. Beschik je momenteel over gegevens van gebruikers die je niet kan rechtvaardigen? Verwijder die dan.

Je moet goed bepalen welke gegevens je waarvoor nodig hebt. Nog belangrijker is dat je  dat je dit goed kan verantwoorden tegenover je gebruiker, zodat je ook daadwerkelijk de toestemming krijgt om die gegevens te verzamelen en te verwerken.

Vraag altijd om expliciete toestemming

De gebruiker van je website moet jou per onderdeel expliciete toestemming geven. Wil je iemands kledingmaat weten om diegene persoonlijke aanbiedingen te sturen? Dan zul je de gebruiker specifiek toestemming moeten vragen om die gegevens te mogen gebruiken voor dat doeleinde. Datzelfde geldt voor een maandelijkse nieuwsbrief. De gebruiker moet altijd de keuze krijgen om zelf aan te geven dat hij de brief wil ontvangen. Daarnaast moet duidelijk aangegeven zijn waarover en hoe vaak de nieuwsbrief wordt verstuurd en of de gegevens ook aan derden worden verstrekt, zoals bijvoorbeeld een plugin als MailChimp.

Als je je huidige klantenbestand niet op de juiste manier om toestemming hebt gevraagd, voor bijvoorbeeld je nieuwsbrief, moet je dit alsnog voor 25 mei doen!

Ook voor het gebruik van cookies dien je per onderdeel toestemming te vragen. Je kunt hierbij denken aan cookies die meten wat het klikgedrag van iemand is, hoe lang iemand een advertentie bekijkt of cookies die gelinkt zijn aan social media. Functionele cookies die nodig zijn om de website goed te laten werken en cookies die anonieme gebruikersgegevens verzamelen mogen nog wel zonder toestemming worden gebruikt.

Je kunt je voorstellen dat een cookiewall nu ook een stuk uitgebreider wordt met meerdere opties. De gebruiker moet namelijk zelf per cookie aan kunnen vinken of hij toestemming geeft. Je zult daarom duidelijk moeten aangeven welke cookies je gebruikt en met welk doeleinde, zodat je bezoekers ook het nut ervan inzien.

Stel een duidelijke privacyverklaring op

Onder de AVG is het verplicht om je klanten schriftelijk te informeren wat je met hun persoonsgegevens doet. Een online privacyverklaring is de meest handige manier om daaraan te voldoen, zodat deze altijd door je gebruikers is in te zien. De Autoriteit Persoonsgegevens noemt alle punten die je in je verklaring duidelijk dient op te nemen. Op die manier ben je er zeker van dat jouw privacyverklaring voldoet aan de eisen van de AVG.

Maak wijzigingen in je Analytics-account

Omdat Google Analytics nauwelijks nog is weg te denken uit een goede online marketingstrategie, wil je dat natuurlijk blijven gebruiken. Je zult daarvoor wel enkele aanpassingen moeten doorvoeren, omdat je anders om veel expliciete toestemmingen moet vragen. Omdat de tool je verzamelde gegevens verwerkt, moet je ten eerste een verwerkersovereenkomst met Google afsluiten. Ten tweede moet je het delen van gegevens uitzetten in je Analytics-account. Ook kun je in Analytics de IP-adressen van je bezoekers anonimiseren, zodat je daar geen toestemming meer voor hoeft te vragen. Vergeet niet om je gebruikers in je privacyverklaring duidelijk te informeren over het gebruik van Analytics.

Geen stress

Bang dat je het niet redt om alle wijzigingen door te voeren voor het de 25e van mei is? Wees gerust, er zullen niet meteen forse boetes worden uitgedeeld als je website niet meteen aan de eisen voldoet. Alvorens er met boetes wordt gestrooid zullen er eerst waarschuwingen worden gegeven, zodat je altijd de tijd hebt om de juiste aanpassingen door te voeren.