Wat moet je doen voor de AVG als je een website hebt?

Heb je al een SSL-certificaat?

Een SSL certificaat zorgt ervoor dat alle gegevens die van en naar de bezoeker van je website gestuurd worden versleuteld zijn. Ook als een kwaadwillende deze gegevens onderschept zijn ze niet leesbaar. Verder geeft Google websites met een SSL-certificaat bonuspunten die de vindbaarheid van je website ten goede komt en geven browsers een melding dat je site onveilig is als je geen SSL-certificaat hebt. Als je een (contact)formulier op je website hebt staan waarin je vraagt om persoonsgegevens is onder de nieuwe privacywet een SSL certificaat zelfs verplicht.

Informatie over SSL certificaat

Contactformulieren

Als je een contactformulier op je website hebt staan zul je vanaf 25 mei aan de volgende regels moeten voldoen.

1. Je bent verplicht om een SSL-certificaat op je website te gebruiken. Websitebezoekers versturen persoonsgegevens naar je toe en dat dient op een veilige manier te gebeuren.
2. Je bent verplicht in je privacyverklaring te omschrijven welke gegevens je opslaat, voor welk doel en hoe lang deze bewaard zullen blijven. Verder moet je bezoekers informeren over hoe ze verwerkte persoonsgegevens kunnen opvragen, hoe ze die kunnen (laten) aanpassen of (laten) verwijderen.
3. Gegevens moeten zo veilig mogelijk opgeslagen worden. Wij zorgen voor een adequate beveiliging van de servers waarop je website draait, je bent zelf verantwoordelijk voor de beveiliging van je website, mailbox, etc.

Privacyverklaring

Het is verplicht om een privacyverklaring te plaatsen op je website als je persoonsgegevens verzamelt. Voor de definitie van persoonsgegevens verwijzen we je naar de uitleg over persoonsgegevens van Autoriteit Persoonsgegevens. In de privacyverklaring vermeld je welke gegevens je van je bezoekers opslaat, waarom je dat doet, hoe je de gegevens opslaat en voor hoe lang.

Bekijk de privacyverklaring van Just Host

Heb je een webshop? Raadpleeg de voorbeeld Privacy Policy van WebwinkelKeur.

Google Analytics

We krijgen veel vragen over Google Analytics. Verzamel je nu wel of niet persoonsgegevens als je webstatistieken van Google Analytics gebruikt? Op zich wel: Google Analytics verwerkt de IP-adressen van bezoekers, en dat zijn persoonsgegevens. Wel kun je de instellingen in Google Analytics zo aanpassen dat je via de webstatistieken geen persoonsgegevens meer opslaat.

Check hiervoor de Handleiding privacyvriendelijk instellen van Google Analytics .

Wil je de IP-adressen toch opslaan? Dan zul je daarvoor toestemming aan je websitebezoekers moeten vragen. Als ze die toestemming niet geven, dan mag je Google Analytics niet gebruiken zonder deze te anonimiseren.

YouTube

Als je een video van YouTube op je website zet dan worden hierdoor ook gegevens van je bezoekers bijgehouden. Dit mag voortaan alleen nog nadat je toestemming hebt gevraagd. Je kunt een YouTube video ook embedden in de ‘Privacymodus’. Dat doe je als volgt:

Op de YouTube pagina van de betreffende video kies je voor ‘Delen’ en daarna voor ‘Insluiten’

Bij Opties voor insluiten kies je voor Privacymodus inschakelen. (zie bijgaande afbeelding)

Als je de privacymodus niet wilt inschakelen dan moet je dit vermelden in je privacyverklaring en zul je aan bezoekers toestemming moeten vragen.

Social media

Heb je op je website, onder bijvoorbeeld blogberichten, de mogelijkheid om items te delen op social media? Dan moet je daar voortaan ook melding van maken en toestemming voor vragen. Deze sharebuttons houden bij wie erop geklikt heeft en dat mag alleen als er vooraf toestemming is gegeven. Dus ook hiervoor moet je eerst toestemming vragen en in je privacyverklaring vermelden welke gegevens er worden opgeslagen en door wie.

Advertenties op Facebook of Google

Als je adverteert op Facebook of Google gebruik je vermoedelijk de Facebook Pixel en/of Google Adwords tag op je website. Deze mag je niet meer zonder toestemming gebruiken. Je moet dus in je privacyverklaring vermelden welke gegevens je verzamelt en toestemming vragen aan de websitebezoeker. Als een bezoeker geen toestemming geeft mag je geen gebruikersgegevens opslaan.

Verwerkersovereenkomst

Vanaf 25 mei 2018 ben je verplicht om een verwerkersovereenkomst af te sluiten met alle partijen die persoonsgegevens van jou / jouw bedrijf verwerken. Dat geldt ook voor klanten van Just Host. Normaal gesproken zul je zo’n verwerkersovereenkomst zelf aan een dergelijke partij moeten aanbieden. In ons geval bieden we je een verwerkersovereenkomst aan vanuit het klantenpanel. Wij verwerken tenslotte persoonsgegevens van onze klanten en bovendien slaan we (op onze servers) gegevens op van bezoekers van jouw website(s).

Cookie Instellingen WordPress

Bij deze nog een WordPress tip, aangezien velen met WordPress werken. Er zijn allerlei plugins waarmee je bezoekers van je website kunt vragen om akkoord voor het plaatsen van cookies of het instellen van de cookie voorkeuren. Een goed voorbeeld is plugin GDPR Cookie Compliance. Installeren -> Activeren -> kleuren instellen en Engelse teksten even naar Nederlandse vertalen en je bent al bijna klaar.

En verder

Je vindt hierboven alleen maar zaken die samenhangen met je website. De AVG omvat uiteraard nog veel meer dan deze onderdelen. Er zullen meer aandachtspunten zijn met betrekking tot gegevensverwerking (je e-mailboxen, externe diensten als Dropbox & OneDrive, boekhoudsystemen, externe agendasystemen, projectsystemen etc). En denk ook aan de beveiliging, zowel digitaal (platforms, je computer(s)) als fysiek (papier, kaartenbakken).