10 mei 2018

EUveiligheid

 

Wat is AVG?

Vanaf 25 mei gaat de nieuwe wetgeving bescherming persoonsgegevens van start. Dat heeft grote gevolgen voor veel organisaties, overheidsinstellingen en ondernemers. Ook als je een website hebt voor jouw bedrijf of vereniging, dan gaan er voor je een aantal dingen veranderen. Dit artikel is bedoeld om jou bij de veranderingen van jouw website te helpen. Met behulp van deze checklist kan je jouw website zo goed mogelijk voorbereiden op de eisen vanuit de AVG(Algemene verordening gegevensbescherming). Wij zijn geen juristen, wat betekent dat aan dit artikel zelf geen rechten kunnen worden ontleend.

 

Waarom moet je je eraan houden? En wat zijn de gevolgen

De bescherming van de persoonsgegevens die bedrijven verzamelen is uiteraard belangrijk. Met ingang van de nieuwe wet kan bij niet naleving daarvan de boetes flink oplopen. Boetes rondom van de AVG kunnen variëren tussen de 4% van de jaarlijkse omzet en zelfs oplopen tot €20 miljoen. Let op: ook als je een kleine organisatie bent, moet je je aan de nieuwe wet houden. De AVG is niet beperkt tot grote multinationals.

Een boete kan al worden opgelegd doordat je niet kunt aantonen dat je je aan de wet houdt. De verantwoordelijkheid ligt dus bij de organisaties zelf om aan te tonen dat ze er alles aan doen om de persoonsgegevens te waarborgen.

 

Welke aanpassingen moet je zelf doorvoeren in je website?

Er zijn een aantal dingen die je alvast op je eigen website kunt regelen. Met de onderstaande implementaties kom je al een heel eind met het AVG-proof maken van je website. Ook al lijkt je website nog zo simpel, er kunnen elementen in je site zitten die maken dat je aanpassingen moet doorvoeren. Denk aan de volgende aspecten:


Google Analytics of andere statistieken

GoogelAnalyticsVerzamel je statistieken op je website, bijvoorbeeld door het gebruiken van Google Analytics, dan moet je dit melden aan je bezoekers. Met de zogenaamde cookie-meldingsbar of pop-up dien je je bezoekers expliciet te vragen akkoord met het gebruik van cookies op de website.

Wanneer je Google Analytics gebruikt, moet je aantonen dat je een overeenkomst met Google bent afgesloten. Deze overeenkomst kan je makkelijk binnen Google Analytics zelf afsluiten. Zo snel je inlogt in Google Analytics, zal je aanwijzingen krijgen hoe je dit doet.


Heb je een contactformulier? Publiceer dan een privacyverklaring


Een groot deel van de websites maakt gebruik van een contactformulier. Met behulp van een contactformulier kan je gegevens van je bezoekers verzamelen. Gebruik je een dergelijk contactformulier op jouw website, laat dan aan de bezoekers weten wat je met de gegevens doet. Ga ook na waar alle informatie wordt opgeslagen. Veelal zal jij een mailtje in jouw mailbox krijgen, maar het kan ook dat de informatie in de website zelf of in een database wordt opgeslagen. Let erop dat je geen onnodige informatie via het contactformulier vraagt en alleen dus die informatie opslaat die je echt nodig hebt. Beschrijf eventueel ook waarom je informatie nodig hebt en vraag om toestemming om de gegevens op te slaan of te verwerken.
Mocht je bezoekers hebben die jonger zijn dan 16 jaar, geef dan aan dat zij toestemming moeten krijgen van een ouderlijk gezag voordat ze gegevens op je website achterlaten.
Al deze informatie kan je vermelden bovenaan het formulier of in een privacyverklaring. De link naar deze privacyverklaring moet goed vindbaar zijn en in de privacyverklaring moet je aangeven welke gegevens je verzamelt en opslaat. Let erop dat er voor 25 mei een privacyverklaring op je website moet staan. Dit is wettelijk verplicht. In deze verklaring geef je aan welke gegevens je verzamelt en waarom. Daarnaast vermeld je in de privacyverklaring je bedrijfsgegevens, en de doeleinden voor het verwerken van de persoonsgegevens. Tevens vraag je in de privacyverklaring om toestemming, geef je aan dat gebruikers recht hebben op inzage en beschrijf je hoe je je website en de gegevens beveiligd. Ook vermeld je hier nogmaals dat je gebruik maakt van cookies. Een voorbeeld van een privacyverklaring kan eenvoudig gegenereerd worden via: https://veiliginternetten.nl/privacyverklaring.

Gebruik je noreply@ adressen?


Verstuur je mails vanuit je website met een zogenaamde noreply@, dan mag dat niet meer. Als je nu iemand emailt, moet de persoon jou terug kunnen mailen.

 

webshop

Heb je een webshop?


Beheer je een webshop? Dan krijg je hopelijk ook bestellingen binnen. En in die bestellingen zitten weer persoonsgegevens. Wees je ervan bewust hoe en waar je die gegevens bewaard. Overigens is het zo dat op het moment dat je een webshop hebt, of dat je formulieren of nieuwsbrief-aanmeldingen opslaat via je website, je een zogenaamde SSL certificaat nodig hebt. Hiermee verandert ook de url van je website van http:// naar https://. Een SSL certificaat kan je veelal via je hostingpartij verkrijgen. Soms is dit betaalt, in andere gevallen is het gratis.

Vraag je mensen zich aan te melden voor een nieuwsbrief?


Wil je graag dat mensen zich kunnen opgeven voor een nieuwsbrief? En heb je daar een handig formulier voor op je website, dan moet je mensen expliciet hiervoor om toestemming vragen. Heb je een standaard formulier met een aparte checkbox voor de nieuwsbrief, dan moeten mensen die zelf aanvinken en mag je dat niet al voor hen doen.

Je moet ook kunnen aantonen hoe je aan de emailadressen van personen bent gekomen en ook waarvoor mensen toestemming hebben gegeven. Dit geldt ook als je persoonsgegevens van mensen hebt verzameld die bijvoorbeeld een bestelling bij je hebben gedaan.

Heb je redacteuren of andere gebruikers in je website
Beheren naast jou nog andere mensen de website? Ga allereerst na waarom ze een beheerder zijn in de website. Leg ook de reden vast waarom dat zo is. Dit kan in een AVG-beleidsstuk. Verwijder ook de accounts die niet relevant zijn of niet worden gebruikt. Laat tevens zien hoe goed de wachtwoorden zijn beveiligd en of het hier om zogenaamde moeilijk te raden wachtwoorden gaat.


Maak een verwerkingsregister


Wil je zeker zijn dat je echt alle punten hebt gecontroleerd rondom de AVG, maak dan een verwerkingsregister in Excel en loop na van wie je waar gegevens verzamelt en wie dit verwerkt. Handig is om te kijken naar de verschillende doelgroepen. In het overzicht kan je meteen zien van wie je eventueel gegevens verzamelt die niet relevant zijn. Wees in die gevallen verstandig en verwijder die gegevens uit je website.


Geef aan waar je je back-ups opslaat


Maak je zelf back-ups van je website, noteer waar je die opslaat en wat je ermee doet. Een back-up is een kopie van je website en om die reden bevatten die ook persoonsgegevens. Wees dus voorzichtig met de kopieën en vraag je af hoe ze worden beveiligd.


Plugins of Extensions


Wanneer je gebruik maakt van een open source systeem om je website te laten maken, bijvoorbeeld Joomla of Wordpress, dan kan het zijn dat je gebruik maakt van extensions of plugins. Dit zijn onderdelen in je website die meer mogelijkheden bieden, dan de standaard elementen die met de software is meegeleverd. Door middel van plugins of extensions, kan je bijvoorbeeld prachtige slideshows maken, portfolio’s en andere elementen aan je website toevoegen. Een aantal van deze plugins of extensions kunnen ook gegevens verzamelen. Handig is daarom de site na te lopen en na te gaan om welke plugins dit gaan en waar de gegevens vervolgens worden opgeslagen. Het kan bijvoorbeeld ook zijn dat je een extension op je website hebt, die informatie doorstuurt naar een andere dienst buiten jouw eigen website. Denk bijvoorbeeld aan MailChimp. Veel Wordpress websites gebruiken ook de plugin Akismet. Deze plugin beschermt je website tegen spam. Ga na of de plugin ook gegevens verzamelt.
Mocht het onduidelijk zijn waarom sommige plugins gegevens verzamelen of hoe ze er vervolgens mee omgaan, dan kan je er beter voor zorgen dat je de plugin verwijderd en op zoek gaat naar een nieuwe plugin die wel aan de eisen voldoet. Houdt er daarnaast ook rekening mee dat sommige plugins in landen worden ontwikkeld, die buiten de nieuwe AVG-wetgeving vallen.


Beveilig je website


Maak ten slotte een overzicht van hoe jij je website beschermt. Dit is wel een lastige, want een website helemaal waterdicht maken is moeilijk en tegelijkertijd is het nog niet duidelijk wat de autoriteiten verwachten. Je kunt bijvoorbeeld aangeven dat je je website met grote regelmaat update en plugins gebruikt als Wordfence. Let er wel op dat ook deze laatste plugin op zichzelf weer gegevens verzamelt, zoals IP-adressen.

Geef ook aan dat je een complex wachtwoord-beleid hanteert voor elke gebruiker op je website. En beschrijf hoelang je informatie (backups of adressen) bewaart en waarom.

 

Veilgheid


Datalekken


Meld datalekken. Wanneer er dan toch informatie op straat komt te liggen, dan ben je verplicht dit binnen 72 uur aan de autoriteit persoonsgegevens en de betrokken personen te informeren. Leg dus vast welke stappen je moet nemen en wie je moet contacten. Dit is met name belangrijk wanneer je bijvoorbeeld een backup van een website maakt.

 

Waar moet ik nog meer aan denken?

Alleen zelf aanpassingen aan je website doen is dus niet voldoende. Maar waar moet je nog meer aan denken? En bij wie moet je bijvoorbeeld controleren of zij ook een AVG-beleid hebben? Hieronder maken we een opsomming van waar je nog meer aan kunt denken:

contract

Vraag informatie op bij de hostingpartij


De hostingpartij kan bij sommige gegevens op jouw website komen. Bespreek met je hostingpartij of zij back-ups maken en waar ze die opslaan of op welke andere wijze zij de persoonsgegevens beschermen.

Maak afspraken met je redactieleden


Beheer je de website met meerdere personen? Maak dan ook afspraken met hen en verwerk dit eventueel in het verwerkingsregister.


Ga in gesprek met de websitebouwer


Ook je websitebouwer heeft toegang tot jouw website. Kijk welke verwerkingsrechten deze heeft en leg eventueel vast wat hij of zij met de gegevens mag doen. Kijk ook of de websitebouwer zelf databases van de website opslaat en maak afspraken hierover.


Plugins


Gebruik je plugins of extensions op de website, dan zijn die vaak ontwikkeld door zogenaamde derde partijen. Bekijk of zij toegang hebben tot die persoonsgegevens. Bijvoorbeeld als contactformulieren zijn gemaakt door een dergelijke partij, is het goed om na te gaan wat zij kunnen doen met de gegevens die je daarmee verzamelt.


Maak afspraken met overige partijen


Naast de bovenstaande partijen zijn er nog een aantal andere partijen, zoals Google Analytics en MailChimp wiens algemene voorwaarden je goed moet bestuderen.


AVG offline


In dit artikel beschrijven we met name de aanpassingen die jij aan jouw website kan doen. De AVG zelf is uitgebreider en beperkt zich niet tot jouw website. Houd er rekening mee dat er naast het online gedeelte ook andere onderdelen in je bedrijf moeten transformeren om aan de AVG te doen en dat er naast de bovengenoemde partijen bijvoorbeeld ook afspraken moeten worden gemaakt met salaris-of administratiekantoren.

 

Onze checklist op een rijtje

Wil je er zeker van zijn dat je de meeste aanpassingen hebt gerealiseerd? Gebruik dan deze checklist.

Wat moet je zelf in je website aanpassen?

 

☐ Maak je gebruik van Google Analytics of andere statistieken?

☐  Maak gebruik van een cookie-meldingsbar of pop-up.

☐ Heb je een contactformulier?

☐ Vermeld wat je gaat doen met de informatie in een privacyverklaring op je website.

☐ Geef aan dat bezoekers jonger dan 16 jaar toestemming van een ouderlijk gezag nodig
hebben.

☐ Gebruik je noreply@ emails?

☐ Verwijder deze uit je systeem en vervang ze met een info@ of een ander emailadres.

☐ Heb je een webshop?

☐ Vraag een SSL certificaat aan.

☐ Kunnen mensen zich aanmelden voor een nieuwsbrief? Of maak je gebruik van een
nieuwsbrief?

☐ Laat zien hoe je aan de gegevens bent gekomen.

☐ Werken er meerdere mensen in je website als redacteur of in een andere rol?

☐ Leg vast waarom ze toegang hebben tot de website en verwijder accounts van personen die geen toegang horen te hebben.

☐ Maak je back-ups van je website?

☐ Leg uit hoe je de back-up beveiligd in een AVG-beleid.

☐ Maak je gebruik van Plugins of Extentions?

☐ Controleer of deze plugins persoonsgegevens verzamelen? Kijk of zij een AVG-beleid
hebben en vervang anders de plugins met een andere plugin.

☐ Heb je een website?
☐ Leg vast hoe je de website beveiligd. Zorg voor updates, en leg vast wat je wachtwoord-
beleid is.

 

Waar moet je nog meer aan denken?


☐ Maak afspraken met je hosting partij. 

☐ Maak afspraken met de personen die in je website kunnen werken.
☐ Maak afspraken met je websitebouwer.
☐ Controleer de plugins die je gebruikt en maak afspraken met de developers.
☐ Maak afspraken met overige partijen denk aan:
☐ Google Analytics.
☐ MailChimp

 

Hulp nodig bij jouw AVG? Wij kijken graag mee.

Vraag een vrijblijvend gesprek onder genot van een koffie aan.

 

 

 

 

 

 

Cookies make it easier for us to provide you with our services. With the usage of our services you permit us to use cookies.