Meer weten?

Heb je vragen over AVG/GDPR?
Neem gerust contact met ons op!    

 +31 78 68 11 501

 online@lucrasoft.nl

 

De impact van AVG/GDPR op je website, -shop & apps

De nieuwe wetgeving omtrent privacy, bekend onder de afkortingen AVG of GDPR is al een tijdje actief, maar wordt vanaf 25 mei ook gehandhaafd. De Autoriteit Persoonsgegevens gaat er vanaf dat moment op toezien dat de wet wordt nageleefd en kan bij overtreding boetes uitdelen tot 20 miljoen euro of 4% van je (wereldwijde) omzet.

In deze blog zetten wij uiteen wat er voor je online middelen, zoals je website, -shop en apps, gaat veranderen en hoe je kunt voldoen aan de nieuwe regelgeving.

 

De kern

Het uitgangspunt van de AVG is dat persoonsgegevens niet zonder meer verwerkt en beheerd mogen worden door bedrijven. Dit komt erop neer dat je niet zomaar gegevens van (potentiële) klanten mag opslaan: klanten moeten expliciet toestemming geven voor het bewaren van gegevens en hebben het recht om in te zien wat je opgeslagen hebt en het recht om ‘vergeten’ te worden.

Elk bedrijf verwerkt, al dan niet bewust, persoonsgegevens. Zo zijn namen, adressen en telefoonnummers van personeelsleden en klanten bijvoorbeeld persoonsgegevens, maar ook een IP-adres (het unieke internetadres van een computer) en een e-mailadres vallen hieronder.

 

Checken en actie ondernemen

Om aan de nieuwe wetgeving te voldoen, moeten de volgende onderdelen geregeld zijn voor al je online middelen.

 

Privacy statement

Bezoekers moeten op elke pagina kunnen klikken op de privacy statement van de website. Deze pagina moet leesbaar zijn voor de gemiddelde gebruiker en tenminste de volgende elementen omvatten:

  1. Contactgegevens van je bedrijf;
  2. Welke data wordt bewaard (bijv. invulformulieren, maar ook Google Analytics);
  3. De redenen waarom deze data verzameld wordt (bijv. adresgegevens om orders te versturen);
  4. Hoe lang data bewaard blijft;
  5. Met wie data eventueel gedeeld wordt;
  6. Waarborgen voor data buiten de EU;
  7. Uitleg hoe klanten data kunnen inzien, wijzigen en verwijderen.

Tip! Wij raden aan om stap 7 in eerste instantie handmatig te doen via jullie systemen. De data die in de browser over de bezoeker is opgeslagen, kan geautomatiseerd verwijderd worden. Bijvoorbeeld met een melding zoals “Wil je je gegevens opvragen, verwijderen of porteren, neem dan contact op via info@jewebiste.nl. Wij leveren deze dan binnen 28 dagen aan.” Lopen deze aanvragen uit de hand, dan is er altijd de mogelijkheid om dit proces te automatiseren.  

Tip! Een privacy statement kan je ook laten opstellen, als je deze nog niet hebt. Je kunt privacy statements bijvoorbeeld laten schrijven via https://www.eenvoudigrecht.nl/privacy-statement/.

 

Documentatieplicht

Als bedrijf moet je aan de Autoriteit Persoonsgegevens kunnen bewijzen dat je je aan de regels houdt. Deze link bevat hier meer informatie over.

We raden je aan communicatie over dit onderwerp te bewaren, zodat je, in geval van controle, kunt laten zien dat je hier bewust mee bezig bent geweest.

Tip! Houd iets bij waarmee je aan kan tonen welke seminars je bezocht hebt, waar informatie ingewonnen is en wat je in je organisatie geregeld hebt, om aan te tonen dat je dit onderwerp serieus genomen hebt. Documenteer bijvoorbeeld dat je dit gelezen hebt!

 

Verwerkersovereenkomst

Met alle bedrijven waar je data mee deelt, in welke vorm dan ook, moet een verwerkersovereenkomst getekend worden (lees hier wat deze moet bevatten). Denk hierbij aan partijen zoals Google (vanwege Analytics), maar ook de partij die je website host (zoals Lucrasoft Online).

 

Data Protection Impact Assessment

Verwerk je veel data of privacygevoelige data, dan moet er wellicht een DPIA (Data Protection Impact Assessment) worden uitgevoerd. Dit komt neer op een overzicht van alle verwerkingen en het doel daarvan. Hier staat tenminste het volgende in:

  • Zijn alle verwerkingen nodig?
  • Is er toestemming van de consument en wat zijn de privacy risico’s?
  • Een overzicht van hoe risico’s worden aangepakt (bijv. waarborgen en veiligheidsmaatregelen).

 

Leeftijd

Wordt je product en/of dienst gebruikt door gebruikers jonger dan 16 jaar, dan moet er toestemming gegeven worden door iemand met ouderlijk gezag. Dit is iets wat je mee kunt nemen in de algemene voorwaarden en/of privacy statement.

 

Het gebruik van analytics en tracking cookies

Vrijwel alle websites maken gebruik van een tool om bezoekersgedrag bij te houden. Het analyseren kan en mag nog steeds, maar in eerste instantie alleen anoniem. Als je dit inregelt via de stappen hieronder, is een cookiebalk met melding niet nodig. Wanneer je meer informatie bij wilt houden, moet hier expliciet toestemming voor worden gegeven en moet er een cookiebalk geplaatst worden.  

Voor het analyseren van bezoekersgedrag is Google Analytics het bekendste voorbeeld.  Daarom geven we hiervoor de te doorlopen stappen*:

  • Teken de verwerkersovereenkomst. Dit kan via de website van Google.
  • Verwerk IP-adressen anoniem
  • Zet ‘Gegevens delen met Google’ uit:
    • Anoniem delen met Google en andere Google-producten.
    • De mogelijkheid tot technische ondersteuning moet uitgezet worden.
    • Toegang voor (Google-)accountspecialisten moet uitgezet worden.
  • Informeer de bezoeker over het gebruik. Meld o.a. dat:
    • Google Analytics cookies gebruikt.
    • Er een verwerkersovereenkomst is afgesloten.
    • De gegevens anoniem worden verwerkt.
    • ‘Gegevens delen’ is uitgeschakeld.
    • Er geen gebruik wordt gemaakt van andere Google-diensten in combinatie met Google Analytics-cookies.

Download de handleiding van de Autoriteit Persoonsgegevens, waarin dit proces stap voor stap wordt uitgelegd.

Mogelijk maakt je website gebruik van andere processen en/of tools waar een cookiebalk voor getoond moet worden. Dit verschilt per organisatie en per website. Neem contact op met je websitebouwer om je hierover te laten voorlichten.

*Maak je gebruik van andere tools (Hotjar, Piwik, etc.), neem dan contact met ons op wanneer ondersteuning gewenst is.

 

E-mailmarketing en marketing automation

Werk je met nieuwsbrieven en/of marketing automation, dan moet hier expliciet toestemming voor worden gegeven én moet worden bijhouden wanneer deze toestemming is gegeven. Houd er rekening mee dat:

  • Het duidelijk moet zijn waar de gebruiker toestemming voor geeft.
  • Vakjes voor het verlenen van toestemming niet standaard aangevinkt mogen staan.

Doorgaans heeft een marketing-automationpakket een script uit op je website dat de gebruiker volgt op persoonsniveau en een score bijhoudt voor verdere sales/opvolging. Dit geldt ook voor het aanvragen van een whitepaper, waaraan een automatische mailflow gekoppeld is of waarna bijvoorbeeld telefonisch contact opgenomen wordt. Dit dient expliciet vermeld te worden bij het geven van toestemming.

Datalekken

Gaat er onverhoopt iets mis en ontstaat er een datalek, dan moet dit binnen 72 uur gemeld worden.

Zie de beslisboom op om te kijken of je melding moet doen.

 

Klanten Lucrasoft Online

De benodigde maatregelen kunnen verschillen per organisatie en website/-shop/app. Wij werken op dit moment samen met onze relaties om per applicatie aan de wetgeving te voldoen. Heb je een webapplicatie bij ons en heb je nog niets ontvangen, dan ontvang je binnenkort een maatwerkvoorstel. Werk je nog niet met ons samen, maar wil je wel een vrijblijvend advies, neem dan contact met ons op.

 

 

Terug

© Lucrasoft ICT Groep 2017 | De Zelling 8 Hendrik Ido Ambacht | Disclaimer | Leveringsvoorwaarden