Jouw website en de AVG (ook wel GDPR)
Update (25 juni 2018): we hebben de passage over cookies en de alinea over de verwerkersovereenkomst geüpdatet. We hebben een link naar onze eigen cookieverklaring en privacyverklaring toegevoegd.
Of: is mijn website AVG-proof?
Het zal je niet zijn ontgaan: er komt een nieuwe privacywet aan. En snel ook: de wet gaat in op 25 mei. Hij geldt voor de hele Europese Unie. In Nederland noemen ‘m de AVG (Algemene verordening gegevensbescherming), in het Engels heet-ie: General Data Protection Regulation (GDPR).
En ja, ook jij krijgt ermee te maken. Ook als je kleine ondernemer of zzp’er bent!
We krijgen nu (het 2 voor 12 is) dan ook steeds vaker de vraag van onze klanten: is mijn website AVG-proof? In dit artikel geven we antwoord op die vraag en andere vragen die we krijgen over de AVG/GDPR.
Wil je de introductie overslaan?
- Hier beginnen de praktische tips
- Hier lees je wat wij al voor je regelen
- En hier wat je zelf kunt doen
Wat is de AVG?
De AVG gaat over privacy en dus over persoonsgegevens. De wet is bedoeld om de privacy van burgers in de EU beter te beschermen. De AVG verlangt onder meer dat je je klanten informeert over welke persoonsgegevens je van ze verzamelt en waarom je dat doet. Ook moet je bijvoorbeeld zorgen dat die gegevens veilig zijn. Dat heeft uiteraard ook gevolgen voor jouw bedrijf, bijvoorbeeld voor je administratie en meestal ook voor je website.
Je website en de AVG
Verwerk je persoonsgegevens via je website? Waarschijnlijk wel. Vrijwel alle websites die wij maken, hebben bijvoorbeeld een contactformulier, waarin wordt gevraagd om een naam, een e-mailadres en een telefoonnummer. Dat zijn allemaal persoonsgegevens.
Wat zijn persoonsgegevens?
Hetzelfde geldt voor het geslacht van iemand, zijn of haar adres, geboortedatum of -plaats, maar denk ook aan een bankrekeningnummer (voor je administratie) of een IP-adres. Het is niet zo dat je deze gegevens niet meer mag verzamelen, je moet het alleen duidelijk vermelden dat je dat doet en je moet er goede redenen voor hebben. Zo heb je een e-mailadres meestal nodig om met een klant te kunnen communiceren en dat is waarschijnlijk noodzakelijk voor de uitvoering van jullie overeenkomst.
Mag ik nog e-mailen?
Maar wat nou als iemand geen klant is, mag je hem dan nog wel mailen? Dat mag, als je daar expliciet toestemming voor hebt van diegene (meestal via een opt-in formulier). Vandaar dat je de afgelopen weken waarschijnlijk bent bestookt door bedrijven die graag nog even willen dat je die toestemming geeft.
Meer dan alleen je website
De AVG gaat dus over meer dan alleen je website. De wet heeft betrekking op je hele bedrijf. Wat doe je bijvoorbeeld aan marketing? Grote kans dat ook daar persoonsgegevens mee gemoeid zijn. En hierboven noemden we je administratie al: heeft jouw boekhouder bijvoorbeeld inzage in je facturen?
Meer informatie hierover vindt je op de website van de Autoriteit Persoonsgegevens, de instantie die toezicht houdt op de privacywet. Vind je het ingewikkeld of twijfel je over wat jij moet doen, schakel dan een goede jurist in.
Hoe word je website AVG-proof?
Wij beperken ons hier verder tot je website en e-mailen, want alleen die zaken regelen wij tenslotte voor je. Houd er rekening mee dat de meeste marketingzaken niet via je website verlopen: denk aan je e-mailmarketing (dat doe je bijvoorbeeld via MailChimp of ActiveCampaign).
We bespreken hieronder de belangrijkste zaken aan de hand van een aantal praktische tips. Die verdelen we om het je makkelijk te maken, in twee categorieën: 1) wat wij doen, 2) wat jij moet doen.
Hoe zit het met cookies?
Update 25 juni 2018 – In het kielzog van de AVG kregen we de afgelopen maand ook veel vragen over cookies. Laten we om te beginnen een misverstand uit de wereld helpen: de cookiewet is (nog) niet veranderd! De nieuwe Europese privacywetgeving, de AVG of GDPR, vervangt sinds 25 mei 2018 de oude Nederlandse Wbp (Wet bescherming persoonsgegevens). Onze cookie-wetgeving is echter al in 2012 aangepast (een wijziging in de Telecomwet). Kortom, de regels die nu gelden voor het gebruik van cookies in je website, zijn al 6 jaar van kracht.
Natuurlijk is de AVG een goede aanleiding om opnieuw stil te staan bij de cookies die jouw website plaatst. Je moet je klanten en websitebezoekers ook hierover immers gedetailleerd informeren in je privacy- en/of cookieverklaring.
Overigens zijn er wel ook plannen voor een nieuwe Europese cookiewet, de ePrivacy Verordening. De verwachting is dat deze niet voor 2019 van kracht wordt.
Alleen melden of toestemming vragen?
Kort samengevat: voor het plaatsen van functionele cookies en (anonieme) analytische cookies hoef je geen toestemming te vragen. Je moet wel melden dat je deze cookies gebruikt. Voor tracking cookies moet je wel expliciet toestemming vragen. Wij gebruiken voor jouw websites alleen functionele cookies en analytische cookies, we hebben Google Analytics zo ingesteld dat er alleen anonieme gegevens worden verzameld. We gebruiken dus geen tracking cookies (tenzij je ons daar zelf specifiek om gevraagd hebt).
Ook wordt er al een cookiemelding getoond aan bezoekers die voor het eerst op je website komen, waarin zij worden geïnformeerd over het gebruik van functionele en analytische cookies. Wil je ook een cookieverklaring in je website laten opnemen? Dat kan! Je kunt zelf een pagina aanmaken of een pdf uploaden. Of ons vragen je daarbij te helpen. Heb je nog geen tekst voor de cookieverklaring? Wij hebben daar een algemene tekst voor die je kunt gebruiken. Wil je dat? Stuur ons dan een e-mail.
Tot slot, we hebben ook onze eigen cookieverklaring geüpdatet.
Wat doet Nowweb.nl al voor je?
Tip: breng in kaart wat je website verzamelt (deel 1)
Je hebt het misschien niet in de gaten, maar ook met je website verzamel je bijna altijd persoonsgegevens. Heb je bijvoorbeeld een contactformulier? Dan vraag je daarin ongetwijfeld om persoonsgegevens, zoals een naam en een mailadres. Welke gegevens je verzamelt, met welk doel je dat doet (bijvoorbeeld: marketing) en op welke grond (bijvoorbeeld: toestemming), moet je vastleggen in je privacyverklaring (daar komen we zo op).
De gegevens uit de formulieren op je website worden opgeslagen in de beheeromgeving (WordPress). We hebben WordPress zo ingesteld dat er geen gegevens worden gedeeld met de (makers van) WordPress, ook niet anoniem. Datzelfde geldt voor WooCommerce – de plug-in die we gebruiken voor de webshops die we maken. Voor WP Forms, onze formulier plug-in. En voor WPML, de plug-in die we gebruiken voor meertalige websites.
Tip: sluit een overeenkomst met Google Analytics
Als wij je website voor je hebben gemaakt, dan hebben we ook een stukje code van Google Analytics in je website geplaatst. Zo kunnen we voor je bijhouden hoeveel bezoekers er op je website komen, hoe lang ze blijven en welke pagina’s ze bezoeken. Omdat Google daarmee, namens jou, persoonsgegevens verwerkt, moet je een verwerkersovereenkomst met Google hebben. Gelukkig heeft Google het jou (en ons) gemakkelijk gemaakt. Die overeenkomst kun je regelen via een vinkje en een button in de beheeromgeving van Google Analytics. En wij hebben al voor je op de knop gedrukt. Dat scheelt weer.
Tip: sluit een verwerkersovereenkomst af (dus ook met ons)
Ook met andere bedrijven die persoonsgegevens verwerken namens jou moet je zo’n verwerkersovereenkomst afsluiten. Met Nowweb.nl bijvoorbeeld. Want omdat wij je website hebben gemaakt, hebben we natuurlijk toegang tot het CMS van je website, en daarmee (in principe) ook tot de ingevulde formulieren (en de persoonsgegevens daarin). Daarnaast hebben we waarschijnlijk ook een mailbox voor je geregeld. Nog een reden voor zo’n overeenkomst.
Update 25 juni 2018 – Wil je een verwerkersovereenkomst met Nowweb.nl sluiten. Dat kan. Je kunt je verwerkersovereenkomst naar ons e-mailen.
Tip: zorg voor een SSL-certificaat (https)
Ook veiligheid is een belangrijk onderwerp in de AVG. Je moet kunnen aantonen dat je de persoonsgegevens die je verwerkt goed beveiligt. Dus ook de gegevens in je website. Dat doe je bijvoorbeeld door een beveiligde verbinding aan te bieden: daarom hebben al onze websites standaard een SSL-certificaat. Je kunt dit herkennen aan de s in https:// voor je domeinnaam. Kortom, weer een vinkje op je AVG-to-do-list.
Tip: zorg voor goede beveiliging
Naast dat het SSL-certificaat hebben we ook een goede security-tool geïnstalleerd voor al onze website. En we onderhouden jouw website voor je, bijvoorbeeld door WordPress en alle plug-ins up-to-date te houden. Zo doen we ons best om het hackers zo moeilijk mogelijk te maken om toegang tot je website te krijgen.
Wat moet ik zelf doen?
Tip: breng in kaart wat je website verzamelt (deel 2)
In sommige gevallen verzamel je nog meer gegevens via je website. Bijvoorbeeld omdat je ons hebt gevraagd een stukje code van een externe tool in je website te plaatsen. Denk aan een chat-functie voor bezoekers van je website, een afsprakentool voor bezoekers of een pixel van bijvoorbeeld Facebook of LinkedIn. Welke tools jij gebruikt, weet je zelf natuurlijk het beste. Regel indien nodig een verwerkersoverenkomst met deze partijen.
Heb je een webshop? Dan maak je bovendien gebruik van de diensten van Mollie.com. En mogelijk van die van SendCloud.
Tip: zorgt dat je e-mailt via SSL
Ook voor de e-mail bieden we de mogelijkheid om via een beveiligde SSL-verbinding te mailen. Gebruik je alleen de webmail? Dan zit je sowieso goed. Heb je je mail ook in bijvoorbeeld Outlook, op je telefoon of op een tablet geïnstalleerd? Check dan of je wel mailt via SSL, in onze handleiding vind je hier meer informatie over.
Tip: zorg voor een goede privacyverklaring
Je had het vast al door (want het woord is al een paar keer gevallen): laat een goede privacyverklaring op stellen. Op maat, dus specifiek voor jouw bedrijf! Het moet nu eenmaal volgens de nieuwe privacywet. Bovendien is het natuurlijk wel zo netjes naar je klanten en de bezoekers van je website toe.
Tip: check de formulieren op je website
Kijk nog eens met een frisse blik naar je contact-, offerte- of nieuwsbriefformulieren. Welke informatie vraag je allemaal? En heb je al die informatie ook echt nodig? Of kunnen je sommige vragen ook in een later stadium stellen. Bijkomend voordeel is dat korte formulier doorgaans beter converteren!