AVG en jouw website: privacy by design & privacy by default.

Foto van Merel

Geschreven door Merel Janssen

Privacy by design en privacy by default moesten wij wel behandelen in onze reeks over de Algemene Verordening Gegevensbescherming (AVG) en het beheer van websites. Dat zijn namelijk twee termen die met de invoering van de AVG een belangrijke rol moeten spelen bij alle beslissingen omtrent persoonsgegevens en dus ook als het gaat om het beheer van persoonsgegevens op websites. In deze blogpost vertellen we je graag meer over de betekenis van deze termen en wat wij zelf doen om privacy by design en privacy by default in onze werkzaamheden te standaardiseren. Daarnaast hebben we ook nog wat tips voor jou!

Privacy by design & privacy by default: wat betekent het eigenlijk?

Privacy by design en privacy by default lijken in vele opzichten op elkaar. Bij beide gaat het erom dat het uitgangspunt moet zijn om de privacy van de (eind)gebruiker zo veel mogelijk te waarborgen. En beide termen worden uitdrukkelijk genoemd in de nieuwe privacywet. Toch zijn er ook wat verschillen. Privacy by design heeft betrekking op het ontwerp van diensten en producten: tijdens het ontwerp moet er al zo veel mogelijk rekening gehouden worden met het waarborgen van de privacy van de gebruiker. Plaats je bijvoorbeeld wel of geen tracking cookies op je website? Bij privacy by default gaat het om de standaardinstellingen van diensten en producten. Dus als je bijvoorbeeld tracking cookies plaatst, hoe lang worden die dan bewaard?

Level Level en privacy

Privacy by design en privacy by default zijn twee uitgangspunten die Level Level al langer hanteert. Voor ons heeft de invoering van de AVG daarom vooral tot gevolg dat we deze uitgangspunten wat meer hebben aangescherpt. Hieronder een aantal voorbeelden.

Plugins

Het gebruik van plugins helpt ons bij het snel ontwikkelen van goede websites. De keuze voor de plugins is altijd gebaseerd op de behoeften en wensen van de klant. De klant bepaalt wat zij willen bereiken met hun website, wij zoeken daar de juiste plugin bij. Hierbij maken wij een afweging tussen de gegevens die een plugin verzamelt (al dan niet als deel van de functionaliteit) en daarmee dus de privacygevoeligheid van die plugin én de waarde die die specifieke plugin voor ons of de klant heeft. In het kader van privacy by design en privacy by default hebben wij onze interne werkprocessen aangescherpt, zodat we een heldere documentatie hebben van de privacygevoeligheid van de plugins per project.

Social Media knoppen

Bij het ontwerp van websites gaan wij uit van het beperken van privacygevoelige onderdelen. Zo zullen wij Social Media knoppen niet standaard opnemen in ons ontwerp. We krijgen echter vaak het verzoek Social Media knoppen te plaatsen op een website. Het lijkt namelijk zo handig als gebruikers direct de inhoud van de website kunnen delen op hun Facebook of Twitter. Hoewel wij dat wat betreft het gebruiksgemak enorm goed kunnen begrijpen, raden wij in het kader van de privacy toch af dit te doen. Het plaatsen van deze knoppen (zonder dat iemand ze actief gebruikt) heeft namelijk al effect op de gegevens die worden verzameld van de gebruiker. Als de wens blijft bestaan om Social Media knoppen op een website te plaatsen dan doen wij dat bij voorkeur op zo’n manier dat de gebruiker wordt doorverwezen naar een externe URL. Hierdoor heeft het inladen van deze functionaliteit geen invloed op de privacygevoeligheid van de website zelf.

Google Analytics

Veel van onze klanten gebruiken Google Analytics: een prima tool om webstatistieken bij te houden. Wij zorgen er altijd voor dat de standaardinstellingen zo privacyvriendelijk mogelijk zijn. Zo zullen wij bijvoorbeeld standaard instellen dat IP-adressen niet worden meegestuurd naar Google. Indien gewenst kunnen deze instellingen aangepast worden. Dit moet dan echter een specifieke wens van de klant zijn waarvoor geen alternatief mogelijk is.

Onze tips voor jouw website

Privacy by design en privacy by default zijn twee termen die niet alleen door ons omarmd moeten worden, maar zeker ook door jou als eigenaar van je eigen website. Er zijn namelijk behoorlijk wat stappen die je zelf kunt zetten door je content aan te passen.

Cookies

Zo kan je bijvoorbeeld kijken naar het plaatsen van cookies. Dit hebben we al uitgebreid beschreven in een andere blogpost. Wellicht dat je hier al een slag kunt slaan als het gaat om het waarborgen van privacy. Wij kunnen je hierbij adviseren en assisteren.

Formulieren

Als je een formulier op je website hebt staan, raden we je aan na te gaan of je alle gegevens die je daar vraagt ook echt nodig hebt voor het leveren van de dienst of het product (dataminimalisatie). Bij het invullen van een contactformulier kan het bijvoorbeeld de vraag zijn of het nodig is om een e-mailadres én een telefoonnummer te vragen. En bij een bestelformulier is het misschien wel leuk om te weten hoe oud iemand is, maar is het de vraag of deze informatie ook noodzakelijk is om de bestelling te voltooien. Daarnaast is het ook belangrijk na te gaan of de velden die je laat staan verplicht maakt of dat je de keuze voor het achterlaten van de gegevens bij de gebruiker laat.

Opt-in als standaard

Verder raden wij het automatisch aanvinken van vakjes (de gebruiker moet actief vinkje uitzetten) af. Onder de AVG geldt dat de gebruiker de keuze moet hebben persoonsgegevens achter te laten waarbij ‘nee, tenzij’ de standaard is: de gebruiker moet namelijk expliciet en actief toestemming geven voor de verwerking van zijn of haar gegevens. Daarnaast heeft de AVG tot gevolg dat op het moment dat gebruikers wel hun gegevens achterlaten, jij als verwerkingsverantwoordelijke ervoor moet zorgen dat de gegevens op een juiste manier opgeslagen worden, beveiligd zijn (pseudonimisering/anonimisering zijn hierbij opties) en dat je kunt aantonen dat iemand er daadwerkelijk zelf voor heeft gekozen de gegevens achter te laten.

Binnenkort meer

We hopen dat wij je met onze blogposts alvast wat op weg hebben kunnen helpen om ‘AVG-ready’ te worden. Natuurlijk is WordPress zelf ook bezig met updates om het zo makkelijk mogelijk te maken voor haar gebruikers om AVG compliant te zijn. Zoals het er nu uitziet zal WordPress bij de volgende update een aantal toffe features uitrollen waarmee het bijvoorbeeld makkelijker wordt aan het recht op vergetelheid (recht om vergeten te worden) te voldoen. Wij duiken hier natuurlijk weer vol in en zodra er meer over bekend is, laten we je dit weten. We’ll keep you posted!

Heb je naar aanleiding van dit artikel vragen over de AVG en je eigen website dan kan je altijd contact opnemen met ons. We denken graag mee!

Disclaimer: Wij adviseren en assisteren je graag als het gaat om het toepassen van de Algemene Verordening Gegevensbescherming (AVG) op je website en/of je webshop. Wij zijn geen juristen en ons advies is gebaseerd op onze eigen interpretatie van de AVG. Voor een gedegen juridisch advies raden wij je aan contact op te nemen met een gespecialiseerd jurist.

Vertel ons meer over je plannen en ambities!

We zijn klaar om jullie online uitdaging op te pakken.