Stappenplan: zo maak je je website AVG proof
Is het de hoogste tijd om de privacy op je (WordPress) website aan te pakken en zie jij door de bomen het bos niet meer? Is jouw website niet heel complex maar wil je zonder te veel poespas toch voldoen aan de AVG? Dit hoeft zeker niet ingewikkeld te zijn. Met deze stappenplan maak je jouw website volledig AVG proof!
Website AVG Proof maken?Zo doe je dat!
Wat heb je nodig, welke stappen onderneem je
Disclaimer: om als ondernemer volledig te voldoen aan de AVG heb je nog meer nodig dan alleen een AVG conformen website, zoals bijvoorbeeld een verwerkingsregister & bewerkersovereenkomsten (met derden partijen of als jij degene bent die gegevens verwerkt). In deze blog bespreek alleen specifiek wat je voor jouw website nodig hebt.
Privacyverklaring
Als ondernemer had je wellicht vóór de AVG al een privacyverklaring en wordt deze nu alleen wat uitgebreider. Of misschien had je er tot nu toe nog helemaal niet bij stilgestaan… een privacyverklaring is in elk geval noodzakelijk op je website. Belangrijk is dat het in in begrijpelijke schrijftaal is opgesteld. De privacyverklaring mag geen onderdeel zijn van de algemene voorwaarden en moet apart op de website worden geplaatst.
Een privacyverklaring kun je laten opstellen door een jurist, gericht op jouw onderneming. LadyLawyer is hier een kei in en heeft mijn juridische documenten ook opgesteld. No spon, gewoon uit enthousiasme want naast dat geeft ze veel (gratis) handvatten en tools om volledig AVG proof te zijn als ondernemer (en überhaupt juridisch alles op orde te hebben) via instagram.
Terug naar de privacyverklaring: de footer is een perfecte plek hiervoor. De privacyverklaring moet ten alle tijden makkelijk toegankelijk zijn. Een goede plek is daarom de footer van je website. Zo is het op elke pagina vindbaar is, zonder dat het je layout in de weg zit.
Een privacyverklaring is niet iets waar mensen akkoord op hoeven geven, het is meer een informatiebron waarmee mensen inzicht hebben in hoe je met hun gegevens omgaat.
Bij elke vorm van gegevensverwerking kun je bij het eerste contact mensen hiernaar verwijzen, zodat ze ook inzicht hebben op hun rechten m.b.t. tot de gegevensverwerking.
Cookieverklaring & -melding
Grote kans dat je website gebruik maakt van cookies, gelukkig heb je niet voor alle soorten cookies toestemming nodig van een websitebezoeker voor het verwerken van deze gegevens. Tot de eprivacyvording in werking treed (who knows when?) is het voor nu nog noodzakelijk om een cookiemelding te plaatsen op je website. Hierin is verplicht dat je aangeeft wat voor cookies je gebruikt en waarom (kort en bondig). En daarnaast verwijst naar je cookiebeleid, ook wel cookieverklaring genoemd. Deze mag je ook opnemen in je privacyverklaring. Voor het overzicht is het wellicht fijn om deze afzonderlijk op je website te plaatsen, om alle documenten zo kort & overzichtelijk als mogelijk te houden (wat een belangrijk aspect van de AVG is).
In deze cookieverklaring licht je o.a. toe wat cookies zijn, welke je op jouw website gebruikt & dat men zelf deze cookies ook weer kan verwijderen.
Toestemmings vrije cookies zijn functionele cookies & analytische cookies (die laatste alleen onder bepaalde voorwaarden, lees verderop hierover meer). Cookies waar toestemming voor nodig is zijn bijvoorbeeld tracking cookies & third party cookies.
Gebruik je alleen functionele cookies? Is het net als bij de privacyverklaring niet een kwestie van toestemming vragen, maar puur de websitebezoekers informeren. In het geval van specifieke tracking zoals gedrag en voorkeuren van websitebezoekers is het een ander verhaal en heb je expliciete toestemming nodig.
Weet je niet zeker wat bij jouw website van toepassing is? Lees het artikel vooral verder; ik neem je mee in de verschillende situaties die zich kunnen voordoen op je website en welke stappen je daarop kunt ondernemen.
Let op bij het maken van een cookiemelding. Een cookiebar of sidebox is top. Een cookiewall mag niet meer!
Sinds de AVG is het niet meer is toegestaan een websitebezoeker die geen toestemming geeft voor het plaatsen van cookies geen toegang te geven tot de content of een deel van de content van je website. Een bezoeker moet ten alle tijden volledige toegang hebben tot de voorkant van jouw website, zonder zijn gegevens te hoeven delen. De zogenoemde cookiewall zonder de optie deze weg te klikken of alleen te kiezen voor de functionele cookies, mag dus niet. Helaas zie ik ‘m nog regelmatig op bijvoorbeeld websites van de media. Mocht je dit zien dan ligt het dus in je recht om een klacht indienen bij de autoriteit persoonsgegevens.
Plugins
Om erachter te komen OF en WELKE cookies je gebruikt is het goed om te kijken naar welke plugins je website gebruikt. Sommige plugins plaatsen cookies, en verzamelen daarmee dus gegevens van bezoekers. Denk bijv. ook aan de facebook pixel, hier heb je expliciet toestemming voor nodig want dit is een tracking cookie.
Welke (third party) plugins gebruik jij?
Is de plugin voor jouw website niet zo waardevol zou ik aanraden de plugin te deactiveren en te verwijderen. Is deze plugin wel waardevol? Zou ik aanbevelen een premium cookieplugin aan te schaffen waarin de bezoeker per categorie cookie kan aanvinken welke gegevens hij of zij wel of niet wilt delen.
Google Analytics
Maak je gebruik van Google Analytics puur en alleen om de statistieken van je bezoekersaantallen te kunnen inzien? Geen probleem! Dit mag alleen wel onder de volgende voorwaarden: het is dan noodzakelijk om het IP-adres te anonimiseren. Het IP-adres wordt namelijk gezien als persoonsgegeven, omdat deze te herleiden is naar 1 persoon.
Een IP-adres is te herleiden naar 1 persoon, en wordt daarmee gezien als persoonsgegeven.
Hoe je dit realiseert is door een stukje code toe te voegen in je website waar het ook Google Analytics inlaadt. Otys heeft de uitleg hiervoor heel fijn op digitaal papier gezet. Hierin is namelijk niet alleen rekening gehouden met het anoniem maken van de bezoekers, maar ook het effect hiervan. Gezien het niet meer duidelijk is wie de bezoeker is, worden jouw eigen bezoeken ook meegenomen in de aantallen, wat natuurlijk onhandig is. In dit artikel wordt gelukkig ook uitgelegd hoe je dit kunt voorkomen en je eigen IP-adres kunt uitsluiten, voor de nauwkeurigheid van de bezoekersaantallen!
Sluit je eigen IP-adres uit voor de meest accurate telling in de bezoekersaantallen van je website!
Echter wil je het IP adres van bezoekers wel inzien, en gebruik je Google Analytics voor o.a. marketingdoeleinden (tracking op gedrag en voorkeuren) moet je hier dus expliciet toestemming voor hebben middels de cookiemelding.
Gebruik je meerdere of andere plugins voor het analyseren van je bezoekersaantallen zou ik aanraden deze andere te deactiveren, te verwijderen en alleen Google Analytics te gebruiken. Niet alleen voor je eigen overzicht maar ook omdat GA het meest accuraat is.
Nieuwsbrief inschrijving
Heb jij een nieuwsbrief inschrijving op je website? Informeer de bezoeker over dat ze de privacyverklaring kunnen raadplegen over het gebruik van gegevens, het doeleinde van de mailings (informeren of commercieel), de frequentie van de nieuwsbrieven & dat ze zich ten alle tijden kan uitschrijven. Daarnaast is het belangrijk dat de inschrijving middels een zogenoemde double optin gebeurt. Dit kan op twee manieren, of wel 1) een checkbox die ze aanvinken waarin staat verwoord dat ze na inschrijving kunnen verwachten regelmatig mails te ontvangen. Dit vinkje mag niet al aangevinkt zijn, de bezoekers doet dit actief zelf. Of 2) je verstuurt na de inschrijving een bevestigingsmail, waarin de bezoeker actief bevestigd op de inschrijving. Beide is helemaal prima!
Een bezoeker mag je niet verplichten tot een inschrijving op je nieuwsbrief voor het ontvangen van een freebie!
Freebie
Geef je een freebie weg op je website (bijv een gratis ebook of download) en schrijven mensen zich tot nu toe hierdoor automatisch ook in bij de nieuwsbrief. Met de AVG mag dit helaas niet meer en zul je ook hier actief toestemming om moeten vragen. Je kunt de optie dus zeker aanbieden, maar het mag niet al aangevinkt zijn en mag ook niet verplicht zijn. Ze moeten de optie hebben zonder inschrijving de freebie ook te ontvangen.
Contactformulier
Bij een contactformulier of blog reactie is het bijvoorbeeld niet nodig om een checkbox te verwerken, de persoon vult immer actief zijn eigen gegevens in. Wel is het belangrijk om op te nemen in de privacyverklaring wat je met deze gegevens doet en hoe lang je ze bewaard.
Een SSL certificaat is niet verplicht, maar wel enorm aan te raden. Niet alleen voor de versleutelde verbinding tussen de website en bezoekers, maar ook voor je ranking in Google zoekresultaten!
SSL certificaat
Wat aan te raden is (maar niet verplicht) is om de website via een veilige / versleutelde verbinding te laten lopen (https link i.p.v. http link), zowel voor de AVG als voor Google. Een website met SSL certificaat komt namelijk hoger in de zoekresultaten te staan. Veel betere hosting partijen bieden dit al gratis aan middels het zogenoemde Let’s Encrypt. Bied jouw hosting die niet en wil je toch graag een kosteloze optie, maar ben je verder erg tevreden en zie je geen reden tot verhuizing kun je dit zelf gratis installeren. Helaas moet je het SSL certificaat dan elke drie maanden vernieuwen.
Schrik niet van de het feit dat je waarschijnlijk bewerkersovereenkomsten nodig hebt. In veel gevallen zijn deze al opgesteld door de derde partij zelf en is digitaal ondertekenen zo gepiept!
Verwerkersovereenkomst met derden partijen
Heb je gecontroleerd welke plugins e.d. je op de website gebruikt en zitten hier derde partijen bij? Denk bijvoorbeeld aan Mailchimp, Google Analytics, je hosting. Dan is een verwerkersovereenkomst met deze partijen noodzakelijk. Gelukkig hoef je deze niet allemaal zelf op te stellen (tenzij je zelf een verwerker bent, bijvoorbeeld een websitebouwer, boekhouder etc.). Belangrijk is dat je deze overeenkomstenin bezit hebt en ‘ondertekend’ (dit kan vaak digitaal). Voor je gemak de linkjes naar de overeenkomsten met Mailchimp & Google Analytics (onder beheer > accountinstellingen > scroll naar beneden en daar vind je ‘m).
Alles stappen op een rij
Hierbij nog even alle stappen op een rij, wat heb je nodig en wat moet je regelen:
• Een privacyverklaring
• Een cookieverklaring (mag in de privacyverklaring worden verwerkt)
• Een cookiemelding
• Controleer of je website gebruik maakt van derde partijen die gegevens van je klanten kunnen zien, zoals Google Analytics of sommige WordPress plugins.
• Controleer hoe jij informatie verzameld via je website voor inschrijving op je nieuwsbrief of freebie en of dit via een aantoonbare double optin gaat.
• Zorg voor een SSL certificaat (niet verplicht wel enorm aan te raden)
• Sluit een verwerkingsovereenkomst af met derden partijen als Google of Mailchimp
Uiteindelijk valt het reuze mee, echt! Geloof me!
Ik hoop dat het je zo wat duidelijker is geworden wat er nodig is voor je website omtrent AVG. Zodat je nu de handvatten hebt om hiermee zelf aan de slag te gaan. Als je het eenmaal door hebt valt het reuze mee! Het belangrijkste is dat je kunt aantonen dat je met zorg omgaat met de gegevens, duidelijk informeert hierover en welke rechten men heeft.
Zijn er nog onduidelijkheden of heb je vragen, neem gerust contact op: je weet me te vinden!
Meer blogs lezen?
Op de blogpagina vind je meer interessante artikelen. Loop je ergens tegen aan waar je graag een artikel over zou willen lezen? Stuur me gerust een bericht en wie weet kun je jouw onderwerp binnenkort teruglezen op de blog!