Home » Blog » Regelgeving » Is jouw website of webshop AVG/GDPR-proof?

Is jouw website of webshop AVG/GDPR-proof?

AVG Privacyverklaring

Sinds 25 mei 2018 is de nieuwe AVG/GDPR wetgeving in gegaan. Naast allerlei administratieve richtlijnen waaraan je bedrijf moet voldoen betekent het ook dat je website of webshop aan deze wetgeving moet voldoen. In dit artikel zal ik je volledig informeren over wat er op je website of webshop moet worden aangepast of worden toegevoegd.

Wat houdt die AVG/GDPR wetgeving nu precies in?

Op Europees niveau is er afgesproken dat bedrijven meer verplichtingen krijgen wanneer het gaat over de privacy van consumenten. Daarnaast krijgen de consumenten zelf meer rechten wanneer het gaat over hun persoonsgegevens. Wanneer er niet aan deze regels gehouden wordt hebben alle Europese toezichthouders dezelfde bevoegdheden om een boete op te leggen.

Wat wordt er onder persoonsgegevens geschaard?

Persoonsgegevens zijn een ruim begrip. De meest voor de hand liggende gegevens zoals je woonadres, postcode, woonplaats, telefoonnummer en e-mailadres spreken misschien voor zich. Maar alles wat je online besteld, apps die je locaties bijhouden, je ipadres of hoe vaak je een bezoek brengt aan de lokale sportvereniging vallen hier ook onder.

Welke rechten heeft een consument dan nu?

Een consument heeft een aantal verschillende rechten. Hieronder zet ik er een aantal op een rijtje die te maken zullen hebben met je website of webshop.

Recht op informatie

Allereerst heeft de consument het recht op informatie. Dit is zo eenvoudig als het juist informeren van de consument over het gebruik van zijn of haar persoonsgegevens. Dit wordt dan ook meestal in een privacy statement beschreven. In dit document moet worden beschreven hoe lang gegevens worden bewaard. Ook zal er in het document een passage moeten worden opgenomen waarin duidelijk wordt vermeld dat een consument bij de Autoriteit Persoonsgegevens terecht kan. Worden de gegevens doorgestuurd naar landen buiten Europa? Dan moet dit ook expliciet in het document worden beschreven.

Recht op inzage en rectificatie

Daarnaast moet een consument de mogelijkheid hebben om zijn gegevens op te kunnen vragen en aan te kunnen passen. Heeft de consument ergens toestemming voor geven? Dan moet er ook gewezen worden op de mogelijkheid om deze toestemming in te trekken.

Recht op vergetelheid

Een consument moet vergeten kunnen worden. Dat betekent dat wanneer een consument dit aangeeft al zijn gegevens moeten worden verwijderd binnen de organisatie. Verder moet de consument worden gewezen op het recht om bezwaar te kunnen maken.

Recht op dataportabiliteit

Met dit recht wordt het eenvoudiger om bijvoorbeeld over te stappen van energiemaatschappij of zorgverzekeraar. Alle gegevens die al bekend zijn bij je huidige energiemaatschappij kun je dan eenvoudig over laten zetten naar de nieuwe zonder dat je daar het hele aanmeldproces opnieuw moet doorlopen. Alle gegevens die een organisatie over een consument verzameld heeft moet hij ook kunnen verstrekken aan de consument zelf. Het gaat dan voornamelijk over digitale gegevens, dus geen papieren dossiers.

Maar wat betekent dit alles nu voor je website/webshop?

Ik kan me voorstellen dat dit alles lastig om te vormen is naar wat het uiteindelijk allemaal voor consequenties heeft voor je website of webshop. Daarom heb ik hieronder een opsomming gemaakt met handelingen die verricht moeten worden op je website/webshop.

Privacy statement

Allereerst zal je een privacy statement moeten opstellen. Dit kun je door een jurist laten doen, maar er is online ook een tool te vinden die een standaard document voor je genereerd. Je moet deze natuurlijk naderhand wel nalopen of alles betrekking heeft op je bedrijf. Je kunt deze tool hier vinden. Wanneer je het document gereed hebt kun je deze als extra pagina publiceren op je website. Je kunt het beste in de footer van je website de link naar de privacy statement plaatsen. Dan kan iedere bezoeker van je website altijd op iedere pagina je privacy statement raadplegen.

Verwerkersovereenkomsten

Als website of webshop eigenaar ben jij verantwoordelijk voor de gegevens die binnen de applicatie worden verzameld. Hoogstwaarschijnlijk werk je samen met een internetbureau en een hosting partij. Deze beide partijen kunnen je gegevens inzien. Het is dan van belang dat je met deze partijen een verwerkersovereenkomst hebt. Deze kun je door een jurist laten opstellen. Maar meestal hebben deze partijen een blauwdruk van een overeenkomst en kun je deze bij hen opvragen en ondertekenen. Let wel op wat er precies in deze overeenkomsten wordt beschreven!

Uitgebreide cookie-melding

Omdat een bezoeker van je website volledig geïnformeerd dient te worden over zijn persoonsgegevens, moet je de bezoeker volledig inzage geven over welke cookies er worden geplaatst en gebruikt. Daarbij moet hij deze ook kunnen accepteren of afwijzen. Cookies die nodig zijn om de website technisch goed te laten functioneren mogen wel altijd geplaatst worden. Wanneer je als website of webshop gebruik maakt van diverse tracking- of marketingtools kan het een flinke klus zijn om alle cookies in kaart te brengen. De cookies dienen ook nog eens door de bezoeker te kunnen worden aangepast.

Daarom adviseer ik de cookie-melding van cookiebot.com. Zij scannen dagelijks je website of webshop op cookies die worden gebruikt. Je kunt deze dan via Cookiebot categoriseren. Nadat de cookie-melding op je website of webshop is geïnstalleerd krijgt de bezoeker de optie om alle cookies of maar een gedeelte ervan te accepteren of af te wijzen. Cookiebot genereert automatisch een pagina met een overzicht van alle gebruikte cookies. Op deze pagina kan een bezoeker achteraf ook nog zijn cookievoorkeuren aanpassen mocht hij dat willen.

Anonimiseren tracking-tools

Trackingtools zoals bijvoorbeeld Google Analytics slaan de ip-adressen van je bezoekers op. Dit kun je laten anonimiseren. Google kan je dan nog steeds van de juiste informatie voorzien maar weet dan niet meer precies wel ip-adres er voor een bepaalde actie heeft gezorgd. In de praktijk wordt de laatste getal reeks van het ip adres niet meer opgeslagen. Er zijn diverse blog artikelen online te vinden waarin wordt uitgelegd hoe je dit zelf kunt doen. Uiteraard kunnen wij dit ook voor je doen.

Gegevens delen uitschakelen

Sommige tracking-tools, waaronder Google Analytics, verzamelen gegevens om deze te gebruiken voor benchmarks of andere doeleinden. Dit mag niet meer onder de nieuwe wetgeving van bezoekers van je website. Je zult deze optie bij al je tracking-tools dus uit moeten schakelen.

SSL-certificaat

Wanneer er persoonsgegevens worden verstuurd via bijvoorbeeld een formulier op je website of webshop dan moet dit over een beveiligde verbinding worden gedaan. Dit houdt in dat er een SSL-certificaat over de website of webshop geplaatst dient te worden. Dit kun je bij je internetbureau of hostingpartij aanvragen. Wij kunnen dit uiteraard ook voor je uitvoeren mocht dit nodig zijn.

Contactformulieren, nieuwsbrieven accounts enz.

Wanneer je op je website of webshop contactformulieren of formulieren voor andere doeleinden hebt. Dan moet je je voortaan afvragen of deze formulieren alleen de broodnodige informatie vragen van de bezoeker. In de AVG/GDPR-wetgeving staat namelijk dat er enkel gegevens mogen worden verzameld die ook daadwerkelijk nodig zijn. Voor een contact formulier zijn bijvoorbeeld niet altijd adresgegevens van de bezoeker nodig. Daarnaast moet er bij deze formulieren een vinkje komen te staan waarmee de bezoeker aangeeft dat hij akkoord gaat met de privacy statement.

Zo controleer je je website/webshop

Nu dat je al deze informatie hebt ontvangen kun je dus checken of je website AVG/GDPR-proof is. Stel jezelf dus de volgende vragen:

  1. Staat er een privacy statement op mijn website/webshop?
  2. Heb ik met alle betrokken partijen een verwerkersovereenkomst?
  3. Heb ik een uitgebreide cookie-melding op de website/webshop zitten?
  4. Worden alle gegevens van mijn tracking-tools geanonimiseerd opgeslagen?
  5. Is bij alle tracking-tools de optie gegevens delen uitgeschakeld?
  6. Heb ik een SSL-certificaat over mijn website/webshop zitten?
  7. Zijn al mijn formulier voorzien van een vinkje voor het accepteren van de privacy statement en vraag ik hier zo min mogelijk gegevens van de bezoeker?