Voldoet jouw website aan de AVG/GDPR privacywet?

Eric Hes

18 Mei 2018

De nieuwe Europese privacywet, in Nederland bekend als AVG, in het buitenland als GDPR, geldt vanaf 25 mei 2018. Vanaf die datum moet jouw website voldoen aan deze privacywet. Een goed zaak? Wij denken van wel, vooral na de incidenten met Facebook en Cambridge Analytica is duidelijk geworden dat heldere regelgeving op privacy gebied geen overbodige zaak is.

AVG algemene verordering gegevensbescherming

De nieuwe wet strekt verder dan alleen websites, webshops en apps, maar in dit artikel beperken we ons tot wat de nieuwe wet betekent voor jouw website. Voor de website gaat het dan met name over het gebruik van cookies, maar ook over de persoonsgegevens die je verzamelt uit bijvoorbeeld inschrijvingen voor nieuwsbrieven, online offerteaanvragen, bestellingen in jouw webshop, eigenlijk alle zaken waarbij je om persoonsgegevens vraagt.

Cookies

Cookies zijn kleine bestanden die door websites op de computer, tablet of smartphone van de bezoeker worden geplaatst. Deze bestanden kunnen informatie bevatten over het surfgedrag van de bezoeker, welk apparaat en welke browser men gebruikt, het unieke ip-adres van de internetverbinding van de gebruiker etc. Op basis van deze informatie kunnen bijvoorbeeld voorkeuren worden bewaard, denk hieraan aan het vinkje waarmee je kunt aangeven om de inloggegevens voor een webapplicatie op jouw computer te onthouden of de gekozen taal. Maar cookies worden ook gebruikt om op basis van je surfgedrag voor jouw relevante advertenties te kunnen tonen op andere websites en op sociale media.

Cookies melden

Het melden van cookies is al langere tijd verplicht, maar in de nieuwe AVG wet moet dit meer specifiek gebeuren en voor bepaalde typen cookies moet je de bezoeker expliciet om toestemming vragen voordat je deze cookies mag plaatsen. Dit moet je doen door middel van een cookiebanner of pop-up. Nadat men heeft gekozen wel of geen toestemming te geven moet deze keuze altijd weer aangepast kunnen worden, je moet daarvoor dus ergens (duidelijk vindbaar) een button of link plaatsen waarmee de cookie instellingen opgeroepen en aangepast kunnen worden.

Voor welke type cookies moet toestemming worden gevraagd?

  • Analytische cookies
    Deze cookies verstrekken de website aanbieder via analytics programma's informatie over het aantal bezoekers, welke pagina's worden bekeken, de regio van de bezoeker etc. Het meest gebruikte programma hiervoor is Google Analytics.
    Voor Google Analytics hoeft geen toestemming te worden gevraagd indien deze privacy-vriendelijk is ingesteld volgens de richtlijn van Autoriteit Persoonsgegevens.
    Klik hier voor deze richtlijn

  • Social Media cookies
    Jouw website plaatst dit type cookies indien de website één van de volgende toevoegingen/widgets bevat:
    • Share- of likebuttons voor bijvoorbeeld Twitter, Facebook, Instagram.
    • Berichtenfeed van bijvoorbeeld Twitter, Facebook, Instagram.
    • Embedded YouTube video's: een video die vanaf jouw website kan worden afgespeeld, maar die in werkelijkheid op YouTube staat.
      (Indien deze YouTube video's worden geplaatst met de "privacy enhanced mode", dan hoeft hiervoor geen toestemming worden gevraagd.)

  • Advertentie cookies
    Advertentie cookies worden gebruikt om bezoekers op basis van hun surfgedrag relevante advertenties te tonen op andere websites en sociale media. Je hebt vast wel eens gemerkt dat als je via internet heb gezocht naar een bepaald product, je vervolgens overal advertenties te zien krijgt met dit product. Dat is geen toeval, maar het werk van cookies. Dit type cookie stelt een bedrijf dus in staat om de marketing gericht en efficiënt in te zetten.

  • Overige tracking cookies
    Als je een live-chat van bijvoorbeeld Tawk.to, Zendesk of Facebook Messenger op je website gebruikt. Ook als je bijvoorbeeld een widget van derden op je website hebt voor bijvoorbeeld boekingen, het weerbericht etc. worden mogelijk tracking cookies geplaatst.

Voor welke type cookies hoeft geen toestemming worden gevraagd?

  • Functionele cookies
    Dit zijn cookies om bepaalde functies op de website goed te kunnen laten werken, bijvoorbeeld om bepaalde gebruikersinstellingen te "onthouden".

Alle cookies melden in een Privacyverklaring

Naast de plicht dat je voor bepaalde typen cookies toestemming moet vragen door middel van een cookiebanner of pop-up, dien je alle gebruikte cookies te melden in een privacyverklaring op je website. Dit geldt ook voor de cookies waarvoor geen toestemming nodig is.
Deze verklaring van de gebruikte cookies moet altijd up-to-date zijn, bij wijzigingen aan je website is het dus altijd verstandig om na te lopen welke cookies worden gebruikt. Voor elke cookie moet je beschrijven voor welk doel deze wordt gebruikt en hoelang ze worden bewaard.

Verklaring over het bewaren van persoonsgegevens

Indien via de website tevens persoonsgegevens worden verzameld en bewaard, bijvoorbeeld:

  • inschrijven voor een nieuwsbrief
  • een dienst met abonnementen
  • een webshop of andere bestellingen via de website
  • offerte- en andere aanvragen
  • boekingen
  • donaties
  • alle overige functies waarbij persoonsgegevens worden verzameld

Dan moet in de privacyverklaring worden vermeld welke persoonsgegevens precies worden bewaard, voor welke doeleinden en voor hoe lang deze gegevens worden bewaard. Tevens moet aangegeven worden dat men het recht heeft deze persoonsgegevens te laten verwijderen en op welke manier men dit verzoek kan indienen. Raadpleeg voor de complete en gedetailleerde richtlijnen hiervoor de website van Autoriteit Persoonsgegevens of een juridisch adviseur.

Een generator voor een Privacyverklaring op maat kun je eventueel vinden op:

https://veiliginternetten.nl/privacyverklaring-generator-start

Los van de website dien je overigens ook andere bewaarde persoonsgegevens binnen je organisatie te melden in een privacyverklaring, bijvoorbeeld de gegevens in je facturatie software.

autoriteit persoonsgegevens

Kans op boetes

Als je na 25 mei 2018 niet voldoet aan de AVG/GDPR privacywet dan loop je de kans een boete te krijgen van Autoriteit Persoonsgegevens, de handhavende instantie voor Nederland. Hoe groot de kans op een boete is kunnen wij niet zeggen, maar dat is ons inziens ook niet relevant. Wij zijn van mening dat je je als organisatie aan de wet moet houden, ongeacht de hoogte van een eventuele boete en kans daarop. Ook voor de reputatie van je organisatie is het goed om (potentiële) klanten te kunnen laten zien dat je privacy serieus neemt.

Disclaimer

De AVG/GDPR privacywet is complex. Om klanten te ondersteunen bij het toepassen van de nieuwe wet hebben wij onderzoek gedaan naar hoe deze geïmplementeerd moet worden in websites en apps. Wij van Hestec zijn echter ontwikkelaars en geen juristen en kunnen daarom geen garantie bieden dat je met onze aanbevelingen 100% aan de AVG/GDPR privacywet voldoet. Wil je wel deze garantie, dan adviseren wij een juridisch adviseur te raadplegen.

Bronnen

Autoriteit Persoonsgegevens : https://autoriteitpersoonsgegevens.nl
Autoriteit Consument & Markt (ACM): https://www.acm.nl
Veiliginternetten.nl : https://veiliginternetten.nl
Vakblad Rendement.nl : https://www.rendement.nl

Andere blogs die je wellicht interessant vindt

welk cms moet ik kiezen

Welk CMS moet ik kiezen?

Vorige week werden wij benaderd door een startend bedrijf. Men wilde een WordPress website, de vraag was of wij deze konden leveren.

silverstripe conferentie

De Europese SilverStripe conferentie 2017

Op 13 en 14 oktober werd op Malta de jaarlijkse SilverStripe conferentie gehouden onder de naam StripeCon EU (www.stripecon.eu). Ik was de gelukkige om daar namens Hestec bij aanwezig te zijn.

Google mobile

Nieuw Google beleid: Niet mobiel? Niet gevonden!

Het is zover, sinds 21 april telt uw website niet meer mee indien deze nog steeds niet mobielvriendelijk is! De mobielvriendelijkheid van websites is sinds 21 april een rankingsfactor in...

Met HTTPS beter vindbaar in Google?