nowweb.nl

Jouw website en de AVG (ook wel GDPR)

Of: is mijn website AVG-proof?

Het zal je niet zijn ontgaan: er komt een nieuwe privacywet aan. En snel ook: de wet gaat in op 25 mei. Hij geldt voor de hele Europese Unie. In Nederland noemen ‘m de AVG (Algemene verordening gegevensbescherming), in het Engels heet-ie: General Data Protection Regulation (GDPR).

En ja, ook jij krijgt ermee te maken. Ook als je kleine ondernemer of zzp’er bent!

We krijgen nu (het 2 voor 12 is) dan ook steeds vaker de vraag van onze klanten: is mijn website AVG-proof? In dit artikel geven we antwoord op die vraag en andere vragen die we krijgen over de AVG/GDPR.

Wil je de introductie overslaan?

Of vraag direct een privacyverklaring op maat aan

Wat is de AVG?

De AVG gaat over privacy en dus over persoonsgegevens. De wet is bedoeld om de privacy van burgers in de EU beter te beschermen. De AVG verlangt onder meer dat je je klanten informeert over welke persoonsgegevens je van ze verzamelt en waarom je dat doet. Ook moet je bijvoorbeeld zorgen dat die gegevens veilig zijn. Dat heeft uiteraard ook gevolgen voor jouw bedrijf, bijvoorbeeld voor je administratie en meestal ook voor je website.

Je website en de AVG

Verwerk je persoonsgegevens via je website? Waarschijnlijk wel. Vrijwel alle websites die wij maken, hebben bijvoorbeeld een contactformulier, waarin wordt gevraagd om een naam, een e-mailadres en een telefoonnummer. Dat zijn allemaal persoonsgegevens.

Wat zijn persoonsgegevens?

Hetzelfde geldt voor het geslacht van iemand, zijn of haar adres, geboortedatum of -plaats, maar denk ook aan een bankrekeningnummer (voor je administratie) of een IP-adres. Het is niet zo dat je deze gegevens niet meer mag verzamelen, je moet het alleen duidelijk vermelden dat je dat doet en je moet er goede redenen voor hebben. Zo heb je een e-mailadres meestal nodig om met een klant te kunnen communiceren en dat is waarschijnlijk noodzakelijk voor de uitvoering van jullie overeenkomst.

Mag ik nog e-mailen?

Maar wat nou als iemand geen klant is, mag je hem dan nog wel mailen? Dat mag, als je daar expliciet toestemming voor hebt van diegene (meestal via een opt-in formulier). Vandaar dat je de afgelopen weken waarschijnlijk bent bestookt door bedrijven die graag nog even willen dat je die toestemming geeft.

Meer dan alleen je website

De AVG gaat dus over meer dan alleen je website. De wet heeft betrekking op je hele bedrijf. Wat doe je bijvoorbeeld aan marketing? Grote kans dat ook daar persoonsgegevens mee gemoeid zijn. En hierboven noemden we je administratie al: heeft jouw boekhouder bijvoorbeeld inzage in je facturen?

Meer informatie hierover vindt je op de website van de Autoriteit Persoonsgegevens, de instantie die toezicht houdt op de privacywet. Vind je het ingewikkeld of twijfel je over wat jij moet doen, schakel dan een goede jurist in.

Hoe word je website AVG-proof?

Wij beperken ons hier verder tot je website en e-mailen, want alleen die zaken regelen wij tenslotte voor je. Houd er rekening mee dat de meeste marketingzaken niet via je website verlopen: denk aan je e-mailmarketing (dat doe je bijvoorbeeld via MailChimp of ActiveCampaign).

We bespreken hieronder de belangrijkste zaken aan de hand van een aantal praktische tips. Die verdelen we om het je makkelijk te maken, in twee categorieën: 1) wat wij doen, 2) wat jij moet doen.

Hoe zit het met cookies?

Voor analytische cookies en functionele cookies hoef je geen toestemming te vragen. Voor tracking cookies dien je hier melding van de maken in je privacy statement.

Wat doet Nowweb.nl al voor je?

Tip: breng in kaart wat je website verzamelt (deel 1)

Je hebt het misschien niet in de gaten, maar ook met je website verzamel je bijna altijd persoonsgegevens. Heb je bijvoorbeeld een contactformulier? Dan vraag je daarin ongetwijfeld om persoonsgegevens, zoals een naam en een mailadres. Welke gegevens je verzamelt, met welk doel je dat doet (bijvoorbeeld: marketing) en op welke grond (bijvoorbeeld: toestemming), moet je vastleggen in je privacyverklaring (daar komen we zo op).

De gegevens uit de formulieren op je website worden opgeslagen in de beheeromgeving (WordPress). We hebben WordPress zo ingesteld dat er geen gegevens worden gedeeld met de (makers van) WordPress, ook niet anoniem. Datzelfde geldt voor WooCommerce – de plug-in die we gebruiken voor de webshops die we maken. Voor WP Forms, onze formulier plug-in. En voor WPML, de plug-in die we gebruiken voor meertalige websites.

Tip: sluit een overeenkomst met Google Analytics

Als wij je website voor je hebben gemaakt, dan hebben we ook een stukje code van Google Analytics in je website geplaatst. Zo kunnen we voor je bijhouden hoeveel bezoekers er op je website komen, hoe lang ze blijven en welke pagina’s ze bezoeken. Omdat Google daarmee, namens jou, persoonsgegevens verwerkt, moet je een verwerkersovereenkomst met Google hebben. Gelukkig heeft Google het jou (en ons) gemakkelijk gemaakt. Die overeenkomst kun je regelen via een vinkje en een button in de beheeromgeving van Google Analytics. En wij hebben al voor je op de knop gedrukt. Dat scheelt weer.

Tip: sluit een verwerkersovereenkomst af (dus ook met ons)

Ook met andere bedrijven die persoonsgegevens verwerken namens jou moet je zo’n verwerkersovereenkomst afsluiten. Met Nowweb.nl bijvoorbeeld. Want omdat wij je website hebben gemaakt, hebben we natuurlijk toegang tot het CMS van je website, en daarmee (in principe) ook tot de ingevulde formulieren (en de persoonsgegevens daarin). Daarnaast hebben we waarschijnlijk ook een mailbox voor je geregeld. Nog een reden voor zo’n overeenkomst.

Op moment zijn we samen met onze jurist bezig om zo’n verwerkersovereenkomst op te stellen, zodat jij dat niet hoeft te doen. Die gaan we – gratis – aanbieden aan onze klanten. Houd deze pagina en je mail in de gaten voor meer informatie hierover!

Tip: zorg voor een SSL-certificaat (https)

Ook veiligheid is een belangrijk onderwerp in de AVG. Je moet kunnen aantonen dat je de persoonsgegevens die je verwerkt goed beveiligt. Dus ook de gegevens in je website. Dat doe je bijvoorbeeld door een beveiligde verbinding aan te bieden: daarom hebben al onze websites standaard een SSL-certificaat. Je kunt dit herkennen aan de s in https:// voor je domeinnaam. Kortom, weer een vinkje op je AVG-to-do-list.

Tip: zorg voor goede beveiliging

Naast dat het SSL-certificaat hebben we ook een goede security-tool geïnstalleerd voor al onze website. En we onderhouden jouw website voor je, bijvoorbeeld door WordPress en alle plug-ins up-to-date te houden. Zo doen we ons best om het hackers zo moeilijk mogelijk te maken om toegang tot je website te krijgen.

Wat moet ik zelf doen?

Tip: breng in kaart wat je website verzamelt (deel 2)

In sommige gevallen verzamel je nog meer gegevens via je website. Bijvoorbeeld omdat je ons hebt gevraagd een stukje code van een externe tool in je website te plaatsen. Denk aan een chat-functie voor bezoekers van je website, een afsprakentool voor bezoekers of een pixel van bijvoorbeeld Facebook of LinkedIn. Welke tools jij gebruikt, weet je zelf natuurlijk het beste. Regel indien nodig een verwerkersoverenkomst met deze partijen.

Heb je een webshop? Dan maak je bovendien gebruik van de diensten van Mollie.com. En mogelijk van die van SendCloud.

Tip: zorgt dat je e-mailt via SSL

Ook voor de e-mail bieden we de mogelijkheid om via een beveiligde SSL-verbinding te mailen. Gebruik je alleen de webmail? Dan zit je sowieso goed. Heb je je mail ook in bijvoorbeeld Outlook, op je telefoon of op een tablet geïnstalleerd? Check dan of je wel mailt via SSL, in onze handleiding vind je hier meer informatie over.

Tip: zorg voor een goede privacyverklaring

Je had het vast al door (want het woord is al een paar keer gevallen): laat een goede privacyverklaring op stellen. Op maat, dus specifiek voor jouw bedrijf! Het moet nu eenmaal volgens de  nieuwe privacywet. Bovendien is het natuurlijk wel zo netjes naar je klanten en de bezoekers van je website toe.

Laat onze juriste een privacyverklaring op maat opstellen

Tip: check de formulieren op je website

Kijk nog eens met een frisse blik naar je contact-, offerte- of nieuwsbriefformulieren. Welke informatie vraag je allemaal? En heb je al die informatie ook echt nodig? Of kunnen je sommige vragen ook in een later stadium stellen. Bijkomend voordeel is dat korte formulier doorgaans beter converteren!

Tot slot

De Autoriteit Persoonsgegevens heeft een handige infographic gemaakt over de AVG.