Op 25 mei 2018 wordt de General Data Protection Regulation (GDPR) van kracht. In Nederland noemen we die Algemene Verordening Gegevensbescherming (AVG)
Een aantal jaren geleden is er een start gemaakt met het beschermen van persoonsgegevens door het lanceren van de Wet bescherming persoonsgegevens (Wbp). Toentertijd kon er redelijk gemakkelijk geanticipeerd worden om te voldoen aan de gestelde eisen. Dit keer zijn boetes hoger en de aanpassingen ingrijpender. De Autoriteit Persoonsgegevens (AP) zal er streng op toezien dat ondernemers zich houden aan de nieuwe regels. Dit betekent dat ondernemers serieus actie moeten ondernemen. Wij verwachten dat de handhaving en controle anders gaat lopen dan met de Wet bescherming persoonsgegevens en adviseren al onze klanten de juiste aanpassingen te doen. Immers, het niet voldoen aan de AVG kan leiden tot forse boetes. Het helder inzicht geven in hoe je met de persoonsgegevens van je klanten omgaat, geeft bovendien vertrouwen en een professionele uitstraling.
Safira helpt met de AVG
De nieuwe privacywet is ingrijpend en heeft behoorlijk wat voeten in aarde. Omdat tijd voor jou als ondernemer schaars is, hebben wij bij Safira de AVG onder de loep genomen. We hebben goed gekeken naar wat mogelijke gevolgen zijn voor onze klanten, websites, webshops en online marketing. Op deze manier kunnen wij onze klanten bijstaan en gedegen advies geven over de te nemen stappen. Onderaan dit artikel kun je lezen wat we voor je kunnen doen.
Dit geldt toch niet voor mijn eenvoudige website?
Voordat je besluit niet verder te lezen omdat jij maar over een eenvoudige website beschikt: in onze voorbereidingen zijn wij tot de conclusie gekomen dat elke website minimaal een nieuwe privacyverklaring met een cookieverklaring nodig heeft. Daarnaast kwamen we ook tot de conclusie dat voor elke website er net weer even andere aanpassingen nodig zijn. Daarom maken we graag voor jouw specifieke situatie een plan van aanpak met de noodzakelijke stappen.
Hoe krijg ik mijn website of webshop AVG-proof?
De nieuwe AVG maakt het duidelijk: het is belangrijk bezoekers te informeren en hun toestemming te vragen over het verzamelen én gebruik van privacygevoelige informatie. Wat dit concreet betekent, hebben we hieronder beknopt beschreven.
- Privacyverklaring: Zorg voor een duidelijke privacyverklaring in de footer van je website. Leg in de privacyverklaring uit welke persoonsgegevens jij verzamelt, hoelang je ze bewaart en op welke grondslag je deze gebruikt. Daarnaast vermeld je de rechten van betrokkenen, zoals inzage, correctie en verwijdering en in sommige gevallen ook het recht op dataportabiliteit. Natuurlijk vermeld je je contactgegevens: waar en hoe mensen met je in contact kunnen komen. Bewaar persoonsgegevens niet langer dan noodzakelijk voor het doel van de verwerking van deze gegevens en geef aan welke beveiligingsmaatregelen je hebt genomen.
- Inventariseer welke cookies je gebruikt en of je een cookiemelder nodig hebt. Vaak is het mogelijk om met wat aanpassingen een cookiemelder te voorkomen. Hierover hebben wij een blog geschreven. Let op: je hebt altijd een up-to-date cookieverklaring nodig, waarin je laat zien welke cookies je gebruikt, met welk doel en hoelang je ze bewaart. Juridisch ben je correct bezig, wanneer bezoekers een keuze hebben in het type cookies dat ze willen accepteren en daarnaast deze keuze later ook nog eens kunnen aanpassen.
- Op nagenoeg elke website meten we met Google Analytics de bezoekersstatistieken. Je kan Google Analytics privacyvriendelijk instellen. Hiermee waarborg je niet alleen de privacy van je bezoekers, maar kun je ook een cookiemelding voorkomen. Deze optie is niet voor iedereen mogelijk en je hebt hiermee beperkte functionaliteiten. Wij helpen je graag hiermee. We voeren de instellingen door, zoals geadviseerd door de Autoriteit Persoonsgegevens.
- Gebruik jij Mailchimp of een ander mailprogramma voor je nieuwsbrieven? Dan moet je kunnen aantonen dat geabonneerden zich hebben ingeschreven volgens de opt-in methode. Daarnaast moet elke nieuwsbrief beschikken over een uitschrijf-link. Betalende klanten mag je wel zonder een opt-in mailen over de producten en diensten die ze bij je afnemen. Mailchimp is een partij die buiten de EU is gevestigd, hiervoor gelden aanvullende regels (zie punt 7).
- De opslag en verwerking van persoonsgegevens moet veilig georganiseerd worden. In het geval van een website doe je dit met een SSL-certificaat. Heeft jouw website een formulier? Dan verwerk je persoonsgegevens en is een SSL-certificaat verplicht. Meer lezen? We hebben hierover een uitgebreid blog geschreven.
- De verzamelde persoonsgegevens kunnen vaak ingezien worden door andere partijen. Dit noem je verwerkers. Wij als webbouwer, Google Analytics, Mailchimp of een hostingprovider zijn hier goede voorbeelden van. Het is verplicht om met deze partijen een verwerkersovereenkomst af te sluiten. De verantwoordelijkheid hiervoor ligt bij de verwerkingsverantwoordelijke en dat ben jij als eigenaar van de website. In een verwerkersovereenkomst leg je vast welke persoonsgegevens verwerkt worden, welke veiligheidsmaatregelen er getroffen moeten worden, of er subverwerkers ingeschakeld mogen worden, hoe om te gaan met datalekken en de mogelijkheid om audits uit te voeren. Sommige bedrijven hebben al documenten op laten stellen, waardoor het gemakkelijk schakelen is met deze partijen. Voor de overige partijen geldt dat dit punt maatwerk is. Er dienen duidelijke en specifieke afspraken met elke partij gemaakt te worden.
- Het is verboden om persoonsgegevens met bedrijven buiten de EU te delen. Alleen als de gebruiker hier toestemming voor geeft en er een Europees-model overeenkomst is afgesloten, mag je dit doen (denk hierbij aan Mailchimp). Zorg er daarom voor dat je Mailchimp op de juiste manier is ingesteld en je de overeenkomst hebt geregeld.
Hoe kan Safira mij helpen om te voldoen aan de nieuwe Privacywet?
De regels van de AVG zijn complex en ingrijpend. Safira helpt jou graag om aan de nieuwe wetgeving te voldoen.
Hieronder vind je een aantal diensten, waarbij wij jou kunnen helpen:
- Maatwerk analyse: We analyseren jouw situatie en bekijken hierbij wat er voor jou van toepassing is. We stellen een plan van aanpak op en geven een begroting van de kosten. Op basis van dit plan kan er stapsgewijs gewerkt worden richting een AVG-proof website.
- Privacyverklaring: Het opstellen van een maatwerk privacyverklaring. We plaatsen deze tevens op jouw website en verwijzen hier intern naar op de juiste plekken (zoals contactformulieren).
- Cookiemelding + Cookieverklaring: Afhankelijk van jouw situatie kunnen wij een cookiemelding en cookieverklaring plaatsen op jouw website. Onze oplossing voldoet aan de eisen volgens de AVG. Cookies worden maandelijks gescand en bijgehouden; zo is jouw cookiemelding alsook de cookieverklaring, altijd up-to-date. Het kan noodzakelijk zijn dat we extra code moeten plaatsen om te voorkomen dat er cookies geplaatst worden, voordat de bezoekers toestemming hebben gegeven.
- Google Analytics: Afhankelijk van hoe jij Google Analytics op jouw website gebruikt, kunnen wij Google Analytics privacyvriendelijk instellen. Hierdoor is het mogelijk dat je een cookiemelding kunt voorkomen. – Dit geldt tevens voor diensten zoals Mailchimp, Social media en Hotjar.
- SSL Certificaat: Heb jij nog geen SSL-certificaat (Https://) op je website of webshop? Dan vragen wij deze voor je aan en implementeren het op jouw website.
- Verwerkersovereenkomst: Wij bieden een standaard verwerkersovereenkomst aan, wat jou veel werk uit handen neemt.
Wil je dat wij je gaan helpen om jouw website AVG-proof te maken? Mail ons dan op avg@safira.nl. Door middel van een (maatwerk) inventarisatie maken we een plan van aanpak met daarbij behorende begroting.
Disclaimer:
De nieuwe privacywetgeving is complexe, juridische materie. Safira is van nature een webdeveloper en heeft geen ambities om jurist te worden. Toch willen wij onze klanten bijstaan, adviseren en helpen waar mogelijk. Om deze reden hebben wij de materie inhoudelijk goed bestudeerd. Wij denken jou als klant een gedegen advies en ondersteuning te kunnen bieden. Wil je 100% risicovrij en AVG-proof zijn, dan adviseren wij om een jurist in te schakelen.