AVG en jouw website: onze tips om jouw website ‘AVG-ready’ te maken.
Wat is nu eigenlijk het effect van de invoering van de Algemene Verordening Gegevensbescherming (AVG) op het beheer van websites? In deze vraag hebben wij ons de afgelopen maanden flink verdiept. We delen de kennis die we hebben opgedaan graag met jou in een reeks artikelen. In deze eerste blogpost maken we inzichtelijk wat je zoal kunt doen om je website ‘AVG-ready’ te maken. We hebben hiervoor de belangrijkste principes uit de AVG vertaald naar een aantal praktische tips.
Heb je specifieke vragen over je eigen website? Neem dan contact met ons op. We denken graag met je mee!
Wat staat er nu eigenlijk in de AVG?
De AVG is een enorme lap tekst, vol met juridisch ingewikkelde taal. Om wat duidelijker te maken waar wij onze tips op gebaseerd hebben, lichten we hieronder een aantal belangrijke principes uit de AVG toe.
Verwerkingen van persoonsgegevens
In de AVG wordt uitgelegd op welke wijze er moet worden omgegaan met het verwerken van persoonsgegevens. Volgens de definities van persoonsgegevens en verwerkingen in de AVG (Artikel 4) valt alles wat je doet met informatie die kan leiden tot de identificatie van een natuurlijk persoon onder deze wet. Met de invoering van de AVG moet er dus niet alleen zorgvuldig worden omgegaan met gegevens zoals namen en adressen, maar zeker ook met IP-adressen en zelfs met cookies.
Rechten betrokkenen
In het kort versterkt de wet de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Zo heeft de betrokkene het recht op transparante informatie. Dit slaat zowel op de informatie die gegeven moet worden over de gegevensverwerking (doel verwerking, bewaartermijn gegevens) als de informatie die gegeven moet worden over de rechten van de betrokkene. Met de invoering van de AVG heeft de betrokkene recht op:
- informatie over de gegevensverwerking;
- dataportabiliteit: persoonsgegevens over kunnen dragen;
- vergetelheid: vergeten worden;
- inzage: gegevens in mogen zien;
- rectificatie en aanvulling: gegevens mogen wijzigen;
- beperking van verwerking: minder gegevens laten verwerken;
- met betrekking tot geautomatiseerde besluitvorming en profilering: recht op een menselijke blik bij besluiten;
- bezwaar maken tegen gegevensverwerking.
Transparantie
Transparantie is ook een belangrijk principe uit de AVG: de informatie over de gegevensverwerking en de communicatie hierover moet in eenvoudige en duidelijke taal geschreven worden én ook nog eens eenvoudig toegankelijk zijn. Hierbij gaat het er dan met name om dat betrokkenen geïnformeerd worden over de identiteit van de verwerkingsverantwoordelijke en het doel van de verwerking.
Privacy by design en privacy by default
Privacy by design en privacy by default zijn twee AVG-termen die toegepast moeten worden bij het ontwikkelen van producten en diensten. Als het gaat om privacy by design is bijvoorbeeld dataminimalisatie een belangrijk gevolg van de AVG. De AVG benadrukt namelijk dat bij het verwerken van persoonsgegevens alleen de echt noodzakelijke gegevens verzameld dienen te worden. Je moet voor alle verwerkingen van persoonsgegevens een duidelijke reden hebben. Heb je die niet? Dan moet je jezelf afvragen waarom je die data eigenlijk verzameld. Bij privacy by default gaat het er met name om dat je ervoor zorgt dat de standaardinstellingen van je product of dienst zo privacy-vriendelijk mogelijk zijn.
Deze twee termen kunnen een behoorlijke invloed hebben op de keuzes bij het ontwerpen en ontwikkelen van websites. Daarom besteden we hier meer aandacht aan in een aparte blogpost in deze reeks.
Toestemming en rechtvaardiging
In de AVG wordt duidelijk uitgelegd dat voor het verwerken van persoonsgegevens altijd toestemming van de betrokkene vereist is, of dat er sprake moet zijn van een andere gerechtvaardigde grondslag. Daar is bijvoorbeeld sprake van op het moment dat er gegevens worden verzameld ter voorkoming van fraude of als onderdeel van een overeenkomst. In bijna alle gevallen is er echter expliciet toestemming nodig van de betrokkene dat volgens artikel 4, lid 11, het volgende inhoudt:
“Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.”
Hierbij moet altijd helder zijn waar de betrokkene toestemming voor geeft. Daarnaast heeft de betrokkene altijd het recht om de toestemming weer in te trekken en moet hij of zij hiervan op de hoogte gesteld worden nog voor er toestemming gegeven wordt. Tevens mogen de gegevens niet verwerkt worden voor andere doeleinden dan waarvoor de betrokkene toestemming heeft gegeven.
Administratieve verplichtingen
Ook krijgen organisaties die persoonsgegevens verwerken, meer (administratieve) verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Dit betekent dat organisaties een actief beleid moeten voeren en maatregelen moeten treffen waaruit blijkt dat de AVG wordt nageleefd. Er moet bijvoorbeeld worden bijgehouden wanneer persoonsgegevens verzameld zijn en wie toestemming heeft verleend voor het verwerken van gegevens (bv. door het bijhouden van een log). Deze administratie is met het oog op het recht op dataportabiliteit, inzage, rectificatie en vergetelheid ook nog eens belangrijk om efficiënt te kunnen reageren op verzoeken op dat gebied.
“Indien de verwerking plaatsvindt op grond van toestemming van de betrokkene, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking.”
Invoering ePrivacy Verordening
Naast de AVG wordt binnenkort ook de ePrivacy Verordening ingevoerd. Deze verordening gaat in op de privacy eisen die gesteld worden aan online communicatie(middelen). Ik hoor je al denken: nog een wet?! Ja zeker! Zoals wij het nu inschatten, gaat het invoeren van deze wet het een en ander echter alleen maar verhelderen. Waar de AVG nog impliciet iets zegt over bijvoorbeeld het plaatsen van cookies, zal de ePrivacy Verordening dit een stuk explicieter doen. Wanneer de ePrivacy Verordening wordt ingevoerd is nog niet helder. Wel ligt er op dit moment een voorstel voor deze wet. Uit dit voorstel blijkt dat er wordt teruggevallen op de basisprincipes uit de AVG, waarbij vooral Artikel 7 (voorwaarden voor toestemming voor verwerking) een belangrijk uitgangspunt vormt.
Onze tips om jou op weg te helpen
Wij hebben bovenstaande verwerkt tot een praktische lijst vol tips die je kunt gebruiken om na te gaan welke acties je kunt ondernemen om je website ‘AVG-ready’ en ook al een beetje ‘ePrivacy-ready’ te maken. We beloven hiermee geen 100% compliance aan deze wetten, maar hopen wel dat het je helpt in ieder geval een aantal grote stappen te zetten.
- Zorg ervoor dat de AVG (en de ePrivacy Verordening) ‘leeft’ in je organisatie en maak je werknemers ervan bewust dat de AVG ook invloed heeft op het beheer van jullie website (zowel instellingen als content).
- Documenteer alle beslissingen die je neemt op het gebied van het verwerken van persoonsgegevens via jouw website.
- Maak gebruik van ‘opt-in’ bij het aanbieden van keuzes aan de bezoekers van je website. Dit is bijvoorbeeld van toepassing bij diverse formulieren: ‘Ja, ik ga akkoord met de Algemene Voorwaarden’ of ‘ Ja, ik ga akkoord met het plaatsen van cookies’. Zorg ervoor dat dit vakje niet standaard aangevinkt staat (opt-out), maar dat een bezoeker expliciet toestemming geeft door het zelf aan te vinken (opt-in). Je kunt er ook voor kiezen een expliciete keuze aan te bieden: ‘Ja’ vs. ‘Nee’.
- Ga na welke cookies je op je website plaatst. Denk hierbij ook aan cookies van derden die bijvoorbeeld geplaatst worden doordat je YouTube video’s op je website inlaadt. Ga vervolgens na of je alle cookies wilt plaatsen. Als je analytische cookies plaatst en deze deelt met derden en/of als je tracking cookies plaatst, zet dan een cookiebanner in die dergelijke cookies pas toestaat na akkoord van de bezoeker. In het kader van de transparantie (en de ‘basistoegang tot […] de digitale economie’ zoals in het ePrivacy wetsvoorstel staat) raden wij het inzetten van een cookiewall waarmee de website geblokkeerd wordt af. Ga je voor een cookiebanner? Onderzoek dan of deze AVG compliant is. Dit betekent onder andere dat je moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor het plaatsen van de cookies. Er zijn tools die dit voor jou bij kunnen houden. We adviseren je daar graag over. In een andere blogpost in deze reeks gaan we dieper in op de gevolgen van de AVG op het plaatsen van cookies.
- Heb je Social Media knoppen op je website staan? Zorg ervoor dat deze verwijzen naar een externe URL en niet worden ‘ingeladen’ op je website zelf. Hiermee voorkom je het plaatsen van (onnodige) tracking cookies op jouw website.
- Bevat je website Social Media meetpixels zoals de Facebook Pixel of andere pixels die tracking als doeleinde hebben en zijn deze nodig, zorg er dan voor dat deze enkel geladen worden wanneer de bezoeker de toestemming voor heeft gegeven. En zet bij voorkeur geen Social Media pixel in.
- Verstuur je een nieuwsbrief? To be safe: zorg ervoor dat je zeker weet dat je expliciet toestemming hebt van iedereen uit je mailinglijst voor het toesturen van de nieuwsbrief. In de AVG wordt direct marketing als een uitzondering genoemd op het moeten verkrijgen van toestemming. Je kunt nagaan of dit voor jou geldt door de AVG erop na te slaan (o.a. pagina L 119/9, punt 47 en pagina L 119/13, punt 70). Let op: in alle gevallen moet iemand bezwaar kunnen maken tegen het gebruik van zijn of haar gegevens voor het genoemde doel.
- Geef je bezoekers transparant en duidelijk informatie over de verwerking van persoonsgegevens. Wij raden je aan dat te doen door middel van een privacyverklaring die eenvoudig toegankelijk is via je website. Door middel van je privacyverklaring kan je de bezoekers van je website op een transparante en eenvoudige wijze informeren over: het feit dat persoonsgegevens verwerkt worden (verzameld, geraadpleegd of anderszins), welke persoonsgegevens verwerkt worden, wat er met de gegevens gedaan wordt, met welk doel de gegevens verwerkt worden, of gegevens met derden worden gedeeld en wie de verwerkingsverantwoordelijke is. Denk hierbij ook aan de verzamelde gegevens via cookies. Ook kunnen bezoekers geïnformeerd worden over eventuele risico’s, regels en waarborgen van het verwerken van de persoonsgegevens en kunnen zij gewezen worden op hun rechten en de manier waarop zij deze rechten kunnen uitvoeren. Voor meer duidelijkheid over wat er in een privacyverklaring kan staan verwijzen we je graag naar de AVG pagina L 119/7, punt 39 en naar Artikel 12 uit de AVG.
- Pas dataminimalisatie toe. Ga bij de formulieren op je website na in hoeverre het nodig is alle gevraagde gegevens ook daadwerkelijk te ontvangen. Heb je ze nodig? Leg dat dan in je privacyverklaring uit.
- Ga na wat je als bewaartermijn wilt aanhouden voor de diverse persoonsgegevens die je opslaat. En bedenk hoe je ze na die bewaartermijn veilig verwijderd. Leg dit uit in je privacyverklaring.
- Ga na of de standaardinstellingen voor je website nu zo privacyvriendelijk mogelijk zijn. Heb je Google Analytics op je website? Zorg er dan voor dat je bijvoorbeeld geen volledige IP-adressen meer opslaat en deelt met Google. Onderzoek ook of de gegevens zo veel mogelijk geanonimiseerd en versleuteld worden opgeslagen.
- Bedenk op welke manier je de persoonsgegevens die je verzameld via je website zo goed mogelijk kunt beveiligen en maak een procedure in het geval van datalekken. Denk hierbij aan wie er toegang tot de persoonsgegevens heeft binnen het bedrijf. Is toegang voor iedereen noodzakelijk? Maar ga ook na of externen eventueel toegang hebben tot de gegevens. Heb je uitdraaien van databases? Zorg dan dat die achter slot en grendel staan. Worden er gegevens opgeslagen op werklaptops die mee naar huis gaan? Spreek dan met elkaar af op welke manier je de gegevens versleuteld. Etc.
- Zorg ervoor dat je documenteert dat betrokkenen expliciet toestemming hebben gegeven voor het verwerken van hun persoonsgegevens. Houd hier bijvoorbeeld een log voor bij. Dit geldt o.a. voor formulieren, voor het accepteren van Algemene Voorwaarden, maar ook voor het toestaan van cookies.
- Tot slot: sluit een verwerkersovereenkomst af met derden die voor jou gegevens verwerken. Hiervan is al sprake als derden enkel toegang hebben tot de gegevens. Voor een dergelijke verwerkersovereenkomst zijn zowel de verwerkingsverantwoordelijke (eigenaar website) als de verwerker (derde die toegang heeft) verantwoordelijk. Hebben wij toegang tot gegevens die via jouw website worden verzameld? Dan ontvang je van ons een verwerkersovereenkomst ter ondertekening.
Nog een extra tip
Wij hebben ons de afgelopen maanden flink verdiept in de AVG. Wat opvalt is dat er onwijs veel te vinden is online, maar dat veel van de blogs, artikelen en websites elkaar tegenspreken. Wij raden je daarom aan zelf altijd kritisch te kijken naar de bron van de informatie en om na te gaan of de gegeven informatie wel klopt met wat er daadwerkelijk in de AVG staat. Alles wat er op internet geschreven is, is ten slotte enkel een interpretatie van een persoon van een wettekst die nogal ingewikkeld is. Zo ook deze tekst. Een bron die wat ons betreft een goede basis vormt voor je eigen onderzoek naar de AVG is de website van de Autoriteit Persoonsgegevens. Als je je nou echt verder wilt verdiepen in de ePrivacy verordening of de AVG dan kan je het wetsvoorstel(ePrivacy), de Nederlandse wet (AVG) of de Europese versie (GDPR) er natuurlijk ook nog op naslaan.
Disclaimer: Wij adviseren en assisteren je graag als het gaat om het toepassen van de Algemene Verordening Gegevensbescherming (AVG) op je website en/of je webshop. Wij zijn geen juristen en ons advies is gebaseerd op onze eigen interpretatie van de AVG. Voor een gedegen juridisch advies raden wij je aan contact op te nemen met een gespecialiseerd jurist.
Vertel ons meer over je plannen en ambities!
We zijn klaar om jullie online uitdaging op te pakken.