Vanaf 25 mei moet je website voldoen aan de nieuwe AVG-regels. Er is alleen veel onduidelijk, want waar begin je? Wat mag wel en niet? En hoe zit dat met die torenhoge boetes waar de overheid mee schermt? Met deze tips is je website binnen 1 uur AVG-proof.
AVG, wat is dat eigenlijk en wat moet je ermee?
De Europese Unie wil zijn burgers beter beschermen op het gebied van privacy. Daarom moeten vanaf 25 mei 2018 alle organisaties en bedrijven in Europa die persoonsgegevens verzamelen en verwerken voldoen aan strengere eisen.
Burgers kunnen dankzij de nieuwe regels bezwaar maken tegen het bewaren en verwerken van hun gegevens. Ook kunnen ze een verzoek indienen om minder gegevens op te slaan, of inzage vragen in hun data.
Boetes kunnen in de miljoenen lopen
Als bedrijf of organisatie moet je ontvangers duidelijk maken waar je de persoonsgegevens voor gebruikt. Je mag de gegevens ook alleen hiervoor gebruiken. Iemand die een e-book downloadt mag je dus niet zomaar op de adreslijst voor je nieuwsbrief zetten. Tenzij je dit expliciet vermeldt.
Voldoe je niet aan de nieuwe General Data Protection Regulation (GDPR), dan kan dit tot boetes leiden. Deze kunnen oplopen tot miljoenen euro’s, maar dan moet je het wel heel bont maken. En je bedrijf heel groot zijn. Zo’n vaart zal dit dus niet lopen, hoewel de overheid heeft aangekondigd actief te controleren. Voorkomen is daarom beter dan genezen.
Veel onduidelijkheid over AVG (maar het valt gelukkig mee)
Over de nieuwe AVG-regels is al veel gezegd en geschreven. Veel duidelijker wordt het er vaak niet van, want het zijn vooral juristen die zeggen wat niet mag. Bovendien weet niemand precies hoe de introductie uitpakt en of – en zo ja hoe streng – de overheid controleert.
Ik hou van eenvoud. Daarom geef ik je in dit artikel praktische tips om (voldoende) voorbereid te zijn op AVG. Daarbij is wel een disclaimer op zijn plaats, want ik ben in de verste verte geen jurist. Wil je alle risico’s vermijden? Schakel dan altijd de hulp in van een juridisch expert.
Met deze AVG-tips maak je je webiste AVG-proof
1. Zet een privacyverklaring op je website
De AVG vereist een nieuwe privacyverklaring op je website. Deze moet meer dan 11 punten bevatten en advocaat Charlotte Meindertsma laat zien welke dat zijn.
Op de website Veilig Internetten staat een handige Privacyverklaring Generator. Vul de velden in, download de verklaring en lees hem kritisch door. Je moet nog wel wat gegevens aanvullen. Zet hem daarna op je site, bijvoorbeeld in de footer.
SEO-tip. Disclaimers en formulieren hoef je niet per se via Google te laten vinden. Zet ze daarom op ‘noindex,follow’, dan volgt de zoekmachines de links wel maar slaat hij de pagina’s niet op. Google steekt nu meer tijd in de pagina’s die wel relevant zijn.
In de meeste CMS’en kun je dit eenvoudig instellen, bijvoorbeeld in WordPress met de Yoast SEO-plugin.
2. Attendeer bezoekers op het gebruik van cookies
Veel online diensten – zoals Google Analytics en Hotjar – schrijven cookies weg. Daarmee kunnen ze bezoekers identificeren. Gebruik je cookies op je site, dan moet je bezoekers daarop attenderen. Dat kan op 2 manieren:
- Met een (irritante) pop-up.
- Met een melding op je site.
Ik koos voor de tweede optie en in mijn footer staat voortaan deze melding:Deze website maakt gebruik van cookies om o.a. statistieken bij te houden. Bekijk je deze site dan ga je akkoord met het plaatsen van cookies. Bekijk ook de privacyverklaring.
Belangrijk. De cookies van Google Analytics vallen niet onder de standaardregels. Wil je de dienst blijven gebruiken, dan kun je 2 dingen doen:
- Vraag bezoekers expliciet om het gebruik van Google Analytics goed te keuren.
- Voer een aantal aanvullende stappen uit en anonimiseer het IP-adres van gebruikers.
Hoe je het IP-adres van gebruikers anonimiseert lees je in dit uitstekende artikel bij Rocket Digital.
3. Gebruik gegevens waarvoor je ze hebt gekregen
Onder de nieuwe AVG-regels mag je persoonsgegevens alleen gebruiken waarvoor je ze gekregen hebt. Je mag contacten bijvoorbeeld niet zomaar aan je mailinglijst toevoegen. Of je adresboek uit Gmail of Outlook uploaden naar Facebook of Twitter.
Dit mag alleen als je contacten dit weten en daar toestemming voor geven. Ik heb overigens geen idee hoe ze dit willen controleren, maar dit even terzijde…
Wil je AVG-proof worden, benoem dan eerlijk waar je de gegevens voor gebruikt. Geef je bijvoorbeeld een e-book weg aan inschrijvers voor je nieuwsbrief? Zet dan bij de call-to-action zoiets als: “Aanmelden nieuwsbrief + gratis e-book.”. Dan weet een bezoeker waar hij of zij toestemming voor geeft.
Het is onder de nieuwe regels niet toegestaan om mensen automatisch toe te voegen aan je nieuwsbrief. Daar moeten ze zelf toestemming voor geven en de bewijslast ligt bij jou.
4. Maak je aanmeldformulieren AVG-proof en gebruik double opt-in
Loop de aanmeldformulieren op je website eens kritisch door. Benoem duidelijk wat je met de persoonsgegevens doet en attendeer bezoekers op de privacyverklaring.
Bij nieuwsbrieven is het verstandig om gebruik te maken van het double opt-in-principe. Dit betekent dat iemand zijn aanmelding moet bevestigen door op een link te klikken. Let op deze punten in de bevestigingsmail:
- Omschrijf kort wat ontvangers van je nieuwsbrief krijgen.
- Vraag expliciet om toestemming om de nieuwsbrief te sturen.
- Leg kort uit hoe je met persoonsgegevens omgaat.
- Benadruk dat je niets doet zonder nadrukkelijke toestemming en dat ontvangers zich altijd kunnen afmelden.
5. Maak afmelden in je nieuwsbrief makkelijk
Abonnees van je nieuwsbrief moeten zich makkelijk kunnen afmelden. Verberg de afmeldknop daarom niet en wees transparant. Als abonnees zich massaal afmelden doe je kennelijk iets verkeerd. Werk aan de winkel dus 🙂
In deze nieuwsbrief is de afmeldknop nauwelijks zichtbaar.
6. Vraag opnieuw toestemming aan je nieuwsbriefabonnees… of toch niet?
Onder de nieuwe AVG-regels moet je kunnen bewijzen hoe je aan persoonsgegevens bent gekomen. Kun je dat nu niet of slechts gedeeltelijk, dan is het verstandig abonnees te vragen hun aanmelding (opnieuw) te bevestigen. Het gevaar bestaat alleen dat veel mensen dit niet doen en je mailinglijst drastisch krimpt.
Heb je je mailinglijst altijd netjes opgebouwd? Dan zou ik me geen zorgen maken en kun je blijven mailen. Bekende nieuwsbriefproviders houden bij wanneer iemand zich heeft aangemeld.
7. Beveilig persoonsgegevens goed
Werk met betrouwbare software en laat geen lijsten met contactgegevens onbeveiligd rondslingeren of je bedrijfsnetwerk of website. Zorg dat de partijen waar je mee samenwerkt betrouwbare en actuele verwerkersovereenkomsten hebben. Controleer dit op hun site.
Nog meer punten om helemaal AVG-proof te worden
Let tot slot op deze punten bij het AVG-proof maken van je website.
- Klantgegevens mag je altijd opslaan en je mag klanten mailen.
- Mensen die je toestemming geven mag je ook altijd mailen. Je moet wel kunnen bewijzen dat je toestemming hebt gekregen.
- Laat je geïnteresseerden een formulier invullen op je site? Vraag dan alleen het strikt noodzakelijke.
Wacht niet met het AVG-proof maken van je website
Er is nog veel onduidelijk over de nieuwe AVG-regels en het toezicht erop. Dat is geen reden om er niets mee te doen, want vanaf 25 mei 2018 zijn ze van kracht.
Heb je een eenvoudige website en gebruik je niet op grote schaal data? Dan kom je met de tips uit dit artikel een heel eind. Als je een beetje doorwerkt is je website binnen een uur AVG-proof.
👉 P.S. Voor de zekerheid nogmaals de disclaimer. Ik ben geen jurist en moet er ook niet aan denken het te worden. Schakel daarom bij twijfel altijd de hulp in van een expert. Ik heb je gewaarschuwd.
Ik zie dat je een Google Analytics cookie plaatst. Je moet dan toch aangeven dat je deze gebruikt en dat je deze anonimiseert?
Klopt. Dat heb ik in mijn privacyverklaring staan en in de footer. Wat ik ervan begreep is dit genoeg, maar ik zal er nog eens goed induiken. Dank voor het meedenken!
Ha Rutger, mooi artikel met flink wat basics. Maar daardoor hier en daar wel wat kort door de bocht. Jij gebruikt geen marketing cookies kennelijk, maar doe je dat wel (bijv. met de FB Pixel) dan móét je een cookiebar hebben waar mensen expliciet toestemming moeten kunnen geven om die cookies te mogen gebruiken. Ook móét IP-masking aan staan als je weg wilt komen met een cookiemelding (ipv cookie consent). Klanten mag je niet altijd zomaar mailen. Abonneren op je nieuwsbrief mag geen ‘part of the deal’ zijn, dus mag je klant niet automatisch op je lijst zetten. Klanten die je nieuwsbrief niet willen hebben, mag je alleen de factuur sturen en aanbiedingen voor soortgelijke producten. Jouw cookieverklaring is veel te beknopt, sorry. Misschien is Cookiebot iets voor je? Ik heb er gisteren een blog over gepubliceerd. Deze genereert zelf de cookiepagina met alle technische input die nodig is (hihi, of mensen zo’n cookiepagina zullen lezen, weet ik niet, maar het is wel een wettelijke verplichting). Double opt-in staat niet in de wet. SSL-certificaat lijkt wél uit de wet voort te vloeien. Op jouw opt-in pagina’s ontbreekt linkje naar privacy verklaring (in mailtje van double opt-in is te laat; moet je melden vóór inschrijven want van niet-bevestigde contacten zie jij al wel het mailadres), net als frequentie van mailen. Dus nogmaals, handig intro op de AVG, maar zeker niet compleet en niet genoeg om 100% AVG-proof te worden. Jij hebt het over ‘een uurtje werk’, ik beloof in mijn training dat mensen hun bedrijf in een dagdeel klaar kunnen maken voor de AVG. Dan hebben ze nl. ook verwerkersovereenskomsten en een opzetje voor een verwerkingsregister. Ehh, je mag deze comment gerust schrappen hoor, maar… misschien de blog hier en daar een tikkie uitbreiden 😉 ? Veel groeten, Jessie
Dag Jessie,
Ik plaats je reactie met liefde en hier leer ik ook weer van. Dank je! Ik ga met je tips aan de slag en over nog 10 keer 1 uur is mijn site 100% AVG-proof 🙂
P.S. Ja, deze post is kort door de bocht en ik ben totaal geen jurist. Maar als je met deze tips aan de slag gaat ben je volgens mij al wel een heel eind. En ik las ook ergens dat de overheid vooral wil dat je je zaken netjes regelt. Ze gaan dus eerst waarschuwen, als ze de middelen al hebben om kleine partijen en zelfstandigen te controleren. Ik ben dan ook heel benieuwd hoe alles uitpakt.
Ik stuur het artikel door die mij vanochtend nog vroeg of ze er aan moest voldoen. En het blijkt van wel.
Dank je wel, Ingrid. Ik zal het artikel de komende dagen ook nog wel wat uitbreiden en aanvullen, op basis van alle reacties.
Leuk artikel, Rutger! Goede basis om aan de slag te gaan om je site AVG-proof te maken. Het maakt het allemaal niet eenvoudiger en makkelijker voor webmasters en gebruikers, maar het is wel zaak om alles zo goed mogelijk op orde te hebben.
Als gebruiker is niets irritanter dan op elke site die je bezoekt te moeten klikken op een cookiebanner, maar daar zullen we nog meer aan moeten gaan wennen vrees ik, of hopelijk komen er andere oplossingen. Zoals het ongezien automatisch akkoord geven in je browser voor alle cookiemeldingen en algemene voorwaarden (wat vrijwel iedereen doet). Of het automatisch blokkeren van alle cookies, maar dan zijn zowat alle sites ineens niet bruikbaar meer. Hopelijk creëren nieuwe regels over privacy meer bewustwording bij alle partijen (vooral bij de grote data harvesters), dat is dan wel het winstpunt.
Goede aanvulling Michiel. Bewustwording is sowieso het belangrijkste. Hoewel het ook een beetje een wassen neus is, want de meeste mensen klikken toch direct op accepteren. Maar goed dat de regels worden aangescherpt en hopelijk worden notoire misbruikers serieus aangepakt.
Dag Rutger en de rest,
Voor het AVG proof maken van mijn website https://odh-legal.nl/ heb ik veel gehad aan bovenstaande blog en de aanvullingen hierop. Kleine ondernemingen worden het eerste jaar niet onder de loep genomen, dus dat scheelt.
Dank je wel Annelies,
Ik kan inderdaad nog een passage opnemen over Google Analytics. Door een stukje script toe te voegen aan je trackingcode zijn bezoekers niets 1 op 1 herleidbaar. Dat schijnt ook een vereiste te zijn. Hoewel ik me niet voor kan stellen waarom je bezoekers direct zou willen herleiden. Of je moet een opdringerige verkoper zijn.