Dat elke organisatie in Europa moet voldoen aan de Algemene Verordening Gegevensbescherming (AVG) is ondertussen wel bekend. De AVG verving op 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) met als doel de persoonsgegevens en dus de privacy van een ieder beter te beschermen. De AVG heeft verschillende consequenties voor het hebben van een website.
Wettelijke eisen voor verwerken van persoonsgegevens
Een organisatie mag niet zomaar persoonsgegevens verwerken. Om ze überhaupt te mogen verwerken is er een aantal voorwaarden waaraan je moet voldoen. Er is een wettelijke grondslag nodig en daarnaast moeten ondernemingen zorgvuldig omgaan met persoonsgegevens door middel van technische en organisatorische maatregelen. Ook moeten betrokkenen controle over hun persoonsgegevens kunnen uitoefenen, bijvoorbeeld door het aanpassen van de instellingen of de mogelijkheid tot verwijderen. Belangrijkste is echter dat je het beleid goed vastlegt: wat doe je met de gegevens?
Informeer de bezoekers
De gedachte is dat degene die verantwoordelijk is voor de verwerking van persoonsgegevens transparant is over de manier waarop de persoonsgegevens worden gebruikt. Met deze verklaringen laat de beheerder van de website de bezoeker weten wat er met zijn of haar persoonlijke informatie gebeurt, waarom deze gebruikt wordt en op welke rechten aanspraak gemaakt kan worden. Het informeren van bezoekers van een website door middel van een privacy- en cookieverklaring is bij wet verplicht indien direct persoonsgegevens worden verwerkt. Denk bijvoorbeeld aan het verkrijgen van IP-adressen voor Google Adwords, het opslaan van cookies om het surfgedrag van je bezoekers te volgen en het versturen van nieuwsbrieven.
De privacyverklaring
Met de privacyverklaring informeer je de bezoeker van de website. Staat er in de privacyverklaring op je website de bedrijfsnaam, de adres- en contactgegevens en het inschrijvingsnummer van de Kamer van Koophandel vermeld? Schrijf op welke gegevens je bewaart, waarom je deze gegevens bewaart en hoelang je deze gegevens bewaart. Het gaat erom dat bezoekers weten bij wie ze kunnen informeren naar wat er met hun persoonsgegevens gebeurt.
Een ander belangrijk punt is toestemming. Is duidelijk aangegeven op de website waar je bezoekers toestemming voor geven? Controleer ook of de bezoekers van jouw website een expliciete en bewuste keuze kunnen maken voor het verzamelen van persoonsgegevens in het geval van de privacyverklaring, de cookieverklaring en de nieuwsbrief. Toestemming moet worden gegeven door een duidelijke handeling, zoals het aanklikken van een vakje op de website en is gekoppeld aan duidelijke informatievoorziening over het doel van de gegevensverzameling. Stilzwijgende toestemming is niet genoeg voor een geldige toestemming van de gebruiker. De toestemming die wordt gegeven, wordt bovendien alleen gegeven voor de doelen die beschreven zijn.
De cookieverklaring
Wat voor soort cookies verzamelt jouw website? Functionele cookies zijn toegestaan, analytische cookies mogen indien deze geen of weinig gevolgen hebben voor de bezoekers, maar andere cookies mogen alleen geplaatst worden als er vooraf expliciete toestemming is verkregen van de bezoeker. Het is namelijk niet toegestaan om ‘zomaar’ het surfgedrag van de bezoekers van je website te volgen. Ook ben je verplicht uit te leggen wat cookies zijn en waarom je ze gebruikt.
Op 7 maart 2019 publiceerde de Autoriteit Persoonsgegevens de normuitleg van de cookie wall. Een websites voldoet niet aan de AVG wanneer deze bezoekers alleen toegang geeft op hun site indien zij akkoord gaan met het plaatsen van zogeheten tracking cookies of andere vergelijkbare manieren van volgen en vastleggen van gedrag door middel van software of andere digitale methodes.
Nieuwsbrief
Bied je website de mogelijkheid tot het inschrijven voor een nieuwsbrief? Let dan goed op of de bezoeker daarbij expliciet toestemming geeft en archiveer deze registratie goed. Daarnaast moeten de abonnees zich in elke nieuwsbrief kunnen afmelden. Dit kan gemakkelijk toegevoegd worden door een extra link onderaan de nieuwsbrief. Vermeld het expliciet als je gebruik maakt van een mailingservice met servers buiten Europa, bijvoorbeeld Mailchimp.
Plan, Do, Check, Act
Ben je op zoek naar een overzichtelijke GRC tool waar je alle activiteiten rondom de bescherming van persoonsgegevens efficiënt kunt beheren? Denk dan bijvoorbeeld aan het (mogelijk) verplichte verwerkingenregister en passende technische en organisatorische maatregelen. Met TrustBound GRC heb je een duidelijk overzicht van de verwerkingsactiviteiten, risico’s, beheersmaatregelen en controles. Niet alleen is TrustBound ISO 27001 gecertificeerd, ook heeft TrustBound een adviesnetwerk met een groep experts beschikbaar om organisaties te adviseren bij het opstellen of inrichten van een robuust privacybeleid.
Deze blog is als gastblog geschreven voor SQR Hosting.
Geplaatst 15-07-19