Is je website gekoppeld aan Google Analytics? Wat regel je vóór 25 mei 2018 voor je website.
De termen AVG of GDPR kunnen je de afgelopen maanden niet ontgaan zijn. AVG staat voor Algemene Verordening Gegevensbescherming en de Engelstalige benaming GDPR staat voor General Data Protection Regulation.
Meer rechten voor personen, meer plichten voor ondernemingen
Deze nieuwe Europese privacy wet gaat op 25 mei 2018 in werking en ieder bedrijf krijgt hiermee te maken. Bedrijven en overheden verwerken grote hoeveelheden gegevens die te herleiden zijn tot personen. Heel kort komt het erop neer dat natuurlijke personen meer rechten krijgen en organisaties meer plichten om zorgvuldig met de persoonsgegevens om te gaan.Dit betekent dat bedrijven een privacy-administratie moeten bijhouden. Welke persoonsgegevens verwerken zij? Met welk doel? En hoe zijn die gegevens beveiligd?
Verplichtingen volgens de nieuwe wet als mkb-ondernemer
- Herzie je huidige privacy statement en je cookie beleid en plaats deze duidelijk op je website.
- Een SSL certificaat voor je website is nu echt een must en zorg dat je website onder de laatste versies van het CMS draait.
- Inventariseer welke data je verzamelt, van wie en met welk specifiek doel.
- Hoe wordt die data verwerkt en opgeslagen.
- Google Analytics anonimiseren; hier hebben we een apart puntje van gemaakt.
- Je hebt toestemming nodig van de personen van wie je gegevens verwerkt.
- Personen van wie je gegevens verwerkt, hebben het recht hun persoonsgegevens in te zien, aan te passen en te verwijderen.
- Zorg voor bewerkersovereenkomsten met alle bedrijven die voor jou persoonsgegevens verwerken.
Waaraan moet je voldoen per 25 mei?
Actiepunten welke je kunnen helpen gewoon in Jip & Janneke taal
1. Nieuwe privacy verklaring
Zorg voor een heldere privacy verklaring. Ben je aangesloten met je website bij een keurmerk? Vraag wat zij voor je kunnen betekenen. Bijvoorbeeld thuiswinkel.org heeft een handige Privacy Policy Generator voor leden.
In de nieuwe privacy verklaring beschrijf je het volgende:
- Bedrijfsgegevens
- Doeleinden (reden van de verwerking van de persoonsgegevens)
- Persoonsgegevens (welke persoonsgegevens verwerk je)
- Recht van toestemming
- Recht op inzage, aanpassing en verwijdering
- Beveiligingsmaatregelen
- Cookies
Actiepunt 1
Maak een nieuwe privacy verklaring in eenvoudig taalgebruik. Zorg ervoor dat je privacy verklaring goed te vinden is op je website. Maak hier een eigen pagina voor aan (of laat deze maken door je webdesigner). Plaats een link in de voettekst van je website maar ook op elke plaats waar je persoonsgegevens verzamelt.
Check waar je bij bent aangesloten en informeer of daar iets wordt geregeld in de vorm van een gedegen privacy verklaring.
Niet aangesloten bij een keurmerk? Kijk dan of je advies nodig hebt van bijvoorbeeld een jurist. Andere tip is de Privacy Zeker website. Een online tool waarmee jij als MKB ondernemer met hun hulp en advies op een simpele en betaalbare manier kunt voldoen aan de privacywetgeving.
2. Beveiliging website
Nog geen SSL Certificaat (https) voor je website? De privacy by design en privacy by default uitgangspunten van de AVG vereisen dat dergelijke gegevens versleuteld verzonden worden via https.
Zorg voor de meest recente beveiligingsupdates van de gebruikte software (o.a. CMS) en gebruikte plugins. Gegevens en opslag moeten optimaal beveiligd zijn.
Actiepunt 2
Als je nog geen https site hebt, ga dit doen of laat je website ontwerper dit doen. Zorg voor een SSL certificaat en maak op je website gebruik van https-encryptie.
Zorg ervoor dat de software van je website altijd onder de laatste versies draait. Dus je website zelf maar ook al de gekoppelde plug-ins. A-merkwaardig heeft hiervoor website onderhoudscontracten; zelf geen omkijken (meer) naar een veilige website.
3. Inventarisatie
Op het moment dat gebruikers persoonsgegevens achterlaten op je website, bijvoorbeeld met het inschrijven van een nieuwsbrief, moet het duidelijk zijn waarom je die gegevens nodig hebt en hoe je ze gaat gebruiken.
Verwijs bij het verzamelen van persoonsgegevens naar de privacyverklaring van jouw website of onderneming.
Actiepunt 3
Beschrijf duidelijk waarvoor iemand zich inschrijft. Hoe vaak verstuur je iets? En zorg ervoor dat iemand zich makkelijk weer uit kan schrijven (opt-out).
Deze opt-out moet een duidelijke en bevestigende actie zijn. Verwijs bij elke opt-in met een link naar de privacyverklaring.
Een opt-in is waar de eigenaar van een e-mailadres expliciet en aantoonbaar toestemming geeft voor het ontvangen van e-mail van een bepaalde mailinglist. Een opt-out daarentegen is het tegenovergestelde: dit is de uitschrijfmogelijkheid.
4. Verwerking en opslag data
Breng in kaart waar welke data wordt opgeslagen. Ga alle soorten opslag en procedures na.
Door gegevens centraal in de cloud of op eigen servers op te slaan, deze te versleutelen en de juiste toegangsrechten in applicaties en apps aan gebruikers toe te kennen, blijft de data ontoegankelijk voor onbevoegden.
Lokale opslag kan het beste helemaal voorkomen worden en anders moet ook die data encrypted zijn. Denk aan externe schijven, usb-sticks, maar ook aan verzending via bijvoorbeeld e-mail.
Apparatuur zoals computers, tablets en smartphones, moet daarnaast voorzien zijn van een toegangscode of een andere beveiligingsmethode. Bij verlies of diefstal moet een apparaat op afstand gewist kunnen worden. Mobiele applicaties zijn het veiligst als data op een centrale locatie benaderd wordt en niet lokaal is opgeslagen.
Actiepunt 4
Documenteer waar welke data opgeslagen wordt.
Verbeter eventueel de opslag van de data. Denk hierbij aan centrale en niet lokale data opslag. Zorg voor toegangscodes of een andere beveiligingsmethode voor alle apparaten.
Bepaal ook hoe lang persoonsdata bewaard moet worden (niet langer dan noodzakelijk) en beschrijf dit in je privacy verklaring. Maak het ook technisch mogelijk om deze data na deze termijn te verwijderen.
Ook hier weer de tip zoals genoemd in Actiepunt 1: Privacy Zeker website.
5. Google Analytics anonimiseren
Breng in kaart waar welke data wordt opgeslagen. Ga alle soorten opslag en procedures na.
Door gegevens centraal in de cloud of op eigen servers op te slaan, deze te versleutelen en de juiste toegangsrechten in applicaties en apps aan gebruikers toe te kennen, blijft de data ontoegankelijk voor onbevoegden.
Lokale opslag kan het beste helemaal voorkomen worden en anders moet ook die data encrypted zijn. Denk aan externe schijven, usb-sticks, maar ook aan verzending via bijvoorbeeld e-mail.
Apparatuur zoals computers, tablets en smartphones, moet daarnaast voorzien zijn van een toegangscode of een andere beveiligingsmethode. Bij verlies of diefstal moet een apparaat op afstand gewist kunnen worden. Mobiele applicaties zijn het veiligst als data op een centrale locatie benaderd wordt en niet lokaal is opgeslagen.
Actiepunt 5
Het is niet heel moeilijk om Google Analytics te laten voldoen aan de nieuwe wetgeving. Via deze link: Autoriteit Persoonsgegevens (pdf) kun je de handleiding inzien. Als je hierbij hulp nodig hebt, vraag het je website bouwer.
Wat je wel mist als je het bovenstaande uitgevoerd hebt, is bijvoorbeeld de mogelijkheid van remarketing. Wil je deze wel (blijven) gebruiken, dan ben je verplicht de bezoeker te vragen om de cookies van jouw website te accepteren.
* Klanten van A-merkwaardig met een website onderhoudscontract hoeven zich geen zorgen te maken over actiepunt 5. Voor al deze websites is een verwerkersovereenkomst met Google reeds geregeld en alle punten uit de Autoriteit Persoonsgegevens zijn reeds ingesteld voor de betreffende websites.
6. Toestemming
Je hebt toestemming nodig van de personen waarvan je gegevens verwerkt. Die toestemming verkrijg je doordat personen zich inschrijven voor o.a. je nieuwsbrief of door een contactformulier in te vullen.
Persoonsgegevens bewaar je niet langer dan noodzakelijk voor het doel van de verwerking. Je kunt deze termijn wel rekken onder het mom van ‘statistische doeleinden’. Bijvoorbeeld als je gegevens gebruikt voor de opbouw van statistieken of onderzoek. Maar ook hier weer; zet het in je privacy verklaring.
Tot op heden is dit nog niet helder in kaart gebracht. Volg de berichtgeving over dit onderwerp dus goed.
Actiepunt 6
Zet in je privacy verklaring van wie je gegevens verwerkt en waarom. Hebben ze (opnieuw) toestemming gegeven om zichzelf in te schrijven op bijvoorbeeld jouw nieuwsbrief? Documenteer dit duidelijk. Glashelder zijn is nu van belang.
Beter is om jouw iedereen uit jouw waardevolle email adressenlijst opnieuw te benaderen met het verzoek om zich opnieuw in te schrijven voor je nieuwsbrieven.
Oef, mijn nieuwsbrief adressenbestand slinkt!
Jazeker, zeer waarschijnlijk krimpt jouw waardevolle e-mail adressenlijst en dramatisch ook. Maar daarentegen hou je wel de waardevolle geïnteresseerden over. En door goede contacten op te bouwen en vertrouwen, kun je je bestand ook weer laten groeien.
En ja we snappen het dilema heel goed, wij hebben deze nieuwe wet niet verzonnen maar proberen het positief te benaderen. Kwaliteit, daar draait alles om! Kwaliteit met websites maken, de inhoud van de websites, SEO en nu dus ook met deze nieuwe wet.
7. Recht om vergeten te worden
Natuurlijke personen krijgen met de invoering van de AVG, naast het recht op inzage, ook ‘het recht om vergeten te worden’. Dus deze personen mogen alle informatie die van hen verzameld wordt, opvragen. Bij een eerste verzoek om gegevens te verwijderen dient hier dan ook gevolg aan gegeven te worden.
Zo eenvoudig mogelijk moeten aangemaakte accounts in te zien, aan te passen of te verwijderen zijn. Iemand die een account bij een website heeft, kan wellicht al een aantal gegevens zelf inzien/wijzigen.
Zoals bijvoorbeeld bij een email nieuwsbrief als MailChimp, hier kunnen de e-mail voorkeuren gewijzigd worden, dit staat in de footer van de nieuwsbrief. Met moet zich ook specifiek af kunnen melden voor data profilering. Data profilering is het opdelen van de doelgroep in groepen met als doel een nog specifieker boodschap voor te leggen. Een boodschap welke waarschijnlijk eerder tot conversie leidt.
In de privacyverklaring moet daarom ook staan hoe iemand zijn of haar gegevens kan wijzigen of verwijderen.
Actiepunt 7
Zorg ervoor dat het mogelijk is om dit door te voeren in jouw nieuwsbrief software. Ga dit na bij de leverancier van het pakket.
Vraag na bij het bedrijf welke jouw website gemaakt heeft, welke gegevens dit bedrijf heeft over jouw klanten. Waarschijnlijk dezelfde gegevens welke jij uit je website kunt halen. Wat dan dus wel van belang is, hoe gaat je website maker ermee om (zie ook actiepunt 8).
Persoonlijk vinden wij dit een lastig punt. Iemand verwijderen uit de bestanden is geen probleem. Inzage in wat er opgeslagen is op lokale computers wordt wel wat complexer. Vaak zijn dit Excel of Word bestanden van bedrijven welke op meerdere plaatsen/bestanden opgeslagen worden.
Advies is dus om dit centraal op te slaan zodat wijzigingen/ verwijderingen eenvoudig zijn aan te brengen.
8. Bewerkersovereenkomsten
Je hebt een bewerkersovereenkomst (DPA – data processing agreement) nodig met alle partijen die toegang hebben tot de persoonsgegevens die jij verzamelt.
Je hebt dus overeenkomsten nodig welke je afsluit met partijen als MailChimp, je hostingbedrijf, je webdesign bureau (programmeur), Google Analytics etc.
Deze overeenkomst biedt garantie dat de bescherming van de rechten van personen worden gewaarborgd. Ontstaan er problemen dan is de verwerker hiervoor verantwoordelijk en aansprakelijk.
Actiepunt 8
Maak een lijst van alle partijen waarmee je samenwerkt voor wat betreft verwerking van persoonsgegevens. Check hoe dit nu geregeld is bij die partners. Grote kans dat de betreffende partij zo’n overeenkomst heeft liggen. Is dit niet het geval, zorg dan voor een bewerkersovereenkomst.
Een verwerker is een partij aan wie de gegevensverwerking is uitbesteed. Je moet als ondernemer jezelf ervan vergewissen dat de data die gebruikt wordt veilig is. AVG is weliswaar ingewikkelde materie, maar gebruik ook je gezond verstand: heb ik deze data echt nodig? En mag ik deze data zomaar gebruiken of moet ik om toestemming vragen?
Meer over bewerkingsovereenkomsten lees je ook op de website Justitia.
Meldplicht datalekken
Je hebt meldplicht bij datalekken. Deze datalekken moeten binnen 72 uur gemeld worden. Eveneens moet je alle betrokkenen informeren en je moet de meldingen in het eigen datalekregister zetten. Het melden van een datalek doe je bij het Meldloket datalekken AP.
Hoe groot is de pakkans als je de regels overtreedt
Het APG is vanaf 25 mei verplicht om álle klachten van individuen over privacy in behandeling te nemen. Er hoeft maar één iemand te klagen over jouw bedrijf/organisatie en dat is reden genoeg om gecontroleerd te kunnen worden.
Verder zullen ze steekproefsgewijs controles doen bij organisaties en bedrijven. Belangrijk is de vraag of de beveiliging op orde is. De controles zullen risico gestuurd zijn. Bij deze controle is basaal:
- De databoekhouding: werk je databoekhouding bij, net zoals je je financiële boekhouding bijhoudt.
- De functionaris voor de gegevensbescherming: als een bedrijf een FG moet hebben, wie is de FG*?
* Sommige organisaties zijn verplicht om een functionaris gegevensbescherming (FG) aan te stellen. Deze verplichting geldt voor overheidsorganisaties en organisaties als kerntaak hebben het op grote schaal volgen of observeren van personen. Meer informatie hierover vind je op de website van het AP.
Waarschijnlijk zal de APG nu nog te weinig capaciteit hebben om alle klachten te controleren en zullen ze zich vooral richten op bedrijven waar meerdere klachten over binnenkomen. Maar ja, wil jij het risico lopen?
Is er ook nog wat leuks te melden wat betreft het AVG?
Net als met het hebben van een website gaat het niet altijd om de hoeveelheid kliks welke je krijgt. Het gaat om relevante kliks van echt geïnteresseerden. Dit levert je meer op dan de kwantitatieve hoeveelheid.
Zo ook wat betreft het AVG. Je kunt nu investeren in kwalitatief contact met een gerichte doelgroep/klant. Met een transparante communicatie zul je gerichter en ook persoonlijker communiceren wat waarschijnlijk meer oplevert. In ieder geval de waardering van je klanten 😉
Daarnaast wekt het vertrouwen op bij je (potentiële) klanten als jij je zaken omtrent de nieuwe Privacy Wet goed geregeld hebt. Niet alleen voor de wet maar ook omdat jij het zelf belangrijk vindt dat het duidelijk is dat je er alles aan doet om zeer vertrouwelijk met de gegevens van je klanten omgaat.
Voor de complete informatie over de AVG kijk op de website van Autoriteit Persoonsgegevens.
