Deel deze blog
AVG checklist: met deze 10 stappen maak je jouw website AVG-proof
Door Douwe op 3-jul-2018 9:20:12
Het is een van de meest gestelde vragen die we de afgelopen maanden te horen kregen: wat moet ik doen om mijn website te laten voldoen aan de AVG? Dit stappenplan van onze partner YourSafetynet loodst je er doorheen.
Checklist: met deze 10 stappen maak je jouw website AVG-proof
Iedere website moet tegenwoordig voorzien zijn van een SSL certificaat, ook wel een https verbinding genoemd.
1. Een duidelijke privacyverklaring
Al onder de Wbp moest je websitebezoekers middels een privacyverklaring informeren over welke persoonsgegevens je verwerkt en met welk doel je dat doet. Dat is met de komst van de AVG/GDPR niet veranderd. De eisen die aan een privacyverklaring worden gesteld, zijn wel een stuk strikter.
De privacyverklaring moet geschreven zijn in duidelijke taal, afgestemd op het taalniveau van je doelgroep. Een privacyverklaring moet ten minste de volgende onderdelen bevatten:
De identiteit van je organisatie
Dit is de naam van je organisatie, eventueel aangevuld met een kvk-nummer en contactgegevens.
Welke persoonsgegevens je website verwerkt
Dit spreekt voor zich. Je informeert je bezoeker welke persoonsgegevens de website verwerkt.
De doeleinden en de rechtsgrond waarop je deze gegevens verwerkt
Hiermee geef je aan met welke reden je de persoonsgegevens verwerkt. Deze reden moet wel wettelijk geldig zijn (‘een rechtsgrond hebben’).
Eventueel: het legitiem belang van de verwerkingsverantwoordelijke
Wanneer het rechtsgrond van de verwerking een legitiem belang is, dan moet dit belang duidelijk zijn toegelicht. Een legitiem belang is van toepassing wanneer je de gegevens van mensen gebruikt op een manier die zij redelijkerwijs kunnen verwachten. Bovendien moet de verwerking minimale privacy-impact hebben.
Duur van de verwerking/opslag van de persoonsgegevens
Je mag de persoonsgegevens enkel verwerken en bewaren zolang dit noodzakelijk is voor het beoogde doel. Het privacyverklaring moet duidelijkheid geven over deze termijn. Het ‘zo lang mogelijk’ of ‘oneindig’ bewaren van persoonsgegevens is geen optie.
De rechten van betrokkenen
De betrokkenen hebben altijd het recht de verwerking te stoppen, de persoonsgegevens te corrigeren, bezwaar te maken of data te laten verwijderen. Ook mogen ze een klacht indienen bij de Autoriteit Persoonsgegevens. De privacyverklaring moet je bezoekers niet alleen wijzen op hun rechten, maar ook uitleggen hoe ze deze stappen kunnen ondernemen.
Bron van de persoonsgegevens
Zijn de persoonsgegevens niet van de website zelf afkomstig, maar bijvoorbeeld van een gekochte mailinglijst? Dan moet je dit duidelijk in de privacyverklaring vermelden.
Profiling en geautomatiseerde besluitvorming
Vind op je website profiling en geautomatiseerde besluitvorming plaats? Vermeld dit dan, evenals welke gevolgen dit heeft voor betrokkenen.
Overzicht van verwerkers
De privacyverklaring moet een overzicht bevatten van externe verwerkers die persoonsgegevens verwerken die via de website zijn verzameld.
Vermelding van overdracht naar het buitenland
Komen persoonsgegevens van je bezoekers terecht bij een organisatie over de grens? Vermeld om welke organisatie het gaat, net als het doel hiervan. Dit is met name van belang wanneer persoonsgegevens buiten de EU terechtkomen.
Contactgegevens van de Functionaris Gegevensbescherming
Maakt je organisatie gebruik van een Functionaris Gegevensbescherming? Vermeld dan de contactgegevens van deze persoon.
2. Cookieverklaring
Maakt je website gebruik van cookies? Dan moet je naast een privacyverklaring een cookieverklaring op de website plaatsen. Hierin leg je uit wat cookies zijn en hoe bezoekers deze kunnen in- en uitschakelen. Sommige cookies mag je alleen plaatsen na toestemming, zoals bij remarketing het geval is. Inmiddels komen er steeds meer plugins beschikbaar waarmee je dit eenvoudig kunt regelen.
3. Technische veiligheidsmaatregelen
De AVG verwacht van je dat je de nodige technische veiligheidsmaatregelen neemt om de persoonsgegevens te beschermen tegen inbreuk en diefstal door kwaad willende. De belangrijkste veiligheidsmaatregelen zijn:
SSL- of TLS-certificaat
Hiermee versleutel je het web verkeer tussen de browser van de bezoeker en de webserver. Daardoor kunnen hackers dit verkeer niet onderscheppen. Hiervoor is een SSL- of TLS-certificaat nodig. De bezoeker herkent een versleutelde website aan de hand van het voorvoegsel https:// (in plaats van http://) en het groene slotje in de adresbalk. Deze beveiliging is met name relevant voor pagina’s waar bezoekers hun persoonsgegevens achterlaten, zoals in contactformulieren.
Up-to-date CMS-systeem en plugins
Het CMS-systeem van je website moet regelmatig worden bijgewerkt met veiligheidsupdates. Dat geldt ook voor eventuele plugins. Op die manier voorkom je dat aanvallers misbruik maken van bekende fouten in de besturingssoftware van je website.
4. Webformulieren controleren op ‘overbodige’ persoonsgegevens
Een van de kernregels van de AVG is dat je niet meer gegevens mag verwerken dan strikt noodzakelijk voor het doel dat je voor ogen hebt. Controleer je webformulieren dus op het vragen naar informatie die je eigenlijk niet per se nodig hebt.
5. Controleer je WordPress-plugins
WordPress is een veelgebruikt CMS. Zo’n 30% van alle websites draait op dit systeem. Een van de kenmerken zijn de vele, vaak gratis beschikbare plug-ins waarmee je allerlei functionaliteit aan je website toevoegt.
Het is verstandig een overzicht te maken van alle plugins waarvan je website gebruikmaakt. Ga deze een voor een langs en controleer welke persoonsgegevens deze verzamelen. Op de website van de makers vind je vaak of een plugin voldoet aan de AVG. Is dat niet het geval, dan is het verstandig op zoek te gaan naar een alternatief. Met name social media plugins kunnen ongemerkt meer data verzamelen dan zonder instemming is toegestaan.
6. Controleer op toestemming
Bezoekers van je website moeten voor iedere verwerking van hun persoonsgegevens expliciet en actief toestemming geven. In de praktijk betekent dat vooraf aangevinkte opties voor bijvoorbeeld het ontvangen van een nieuwsbrief verboden zijn. Dergelijke opties moet je bezoeker altijd zelf kunnen aangeven.
Het moet bovendien glashelder zijn waar ze precies voor kiezen of toestemming voor geven. Om bij het nieuwsbrief-voorbeeld te blijven: leg uit wat ze precies ontvangen, hoe vaak en in welke vorm.
7. Loop alle medewerker accounts na
De AVG verbiedt de verwerking van persoonsgegevens door onbevoegden. Het is dan ook goed alle webaccounts na te lopen. Deze accounts verschaffen immers vaak toegang tot persoonsgegevens. Zo komt het geregeld voor dat accounts van oud-medewerkers nog actief zijn. Schakel alle accounts die niet meer strikt noodzakelijk zijn uit. Beperk ook de rechten van de actieve accounts: geef gebruikers niet meer rechten dan strikt noodzakelijk.
8. Maak Google Analytics privacy vriendelijk
Google Analytics is een veel gebruikte web dienst voor het bijhouden van web statistieken. Je moet echter wel een paar aanpassingen doen voordat dat privacy vriendelijk en volgens de AVG-spelregels gebeurt. Google Analytics verzamelt onder andere IP-adressen, en die vallen onder persoonsgegevens
Lees onze Blog ‘Stap-voor-stap: Google Analytics AVG-vriendelijk’ om te zien hoe je dit aanpakt.
9. Zorg voor overzicht in het back-end
De AVG verplicht onder andere organisaties met meer dan 250 medewerkers om een verwerkingsregister bij te houden. Dit is een overzicht van welke persoonsgegevens verwerkt worden, wie daarvoor verantwoordelijk is en met welk doel dat gebeurt.
In dat verwerkingsregister moet je ook bijhouden welke gegevens via de website zijn verzameld. Je moet bijvoorbeeld kunnen terugvinden dat persoon X op moment Y akkoord heeft gegeven voor de nieuwsbrief of gegevens heeft achterlaten, en op welke manier dat is gebeurd (vaak via het plaatsen van een vinkje of invullen van een invoerveld). Wanneer je dat niet goed kan terugvinden, weet je ook bijvoorbeeld niet wanneer je data weer moet verwijderen.
Dat kun je alleen goed bijhouden wanneer de website dergelijke zaken nauwgezet registreert. Ga na hoe dat in jouw website is geregeld en zorg dat dergelijke zaken herleidbaar zijn.
10. Sluit verwerkersovereenkomsten af met derde partijen
Wanneer via de website verzamelde persoonsgegevens terechtkomen bij derde partijen, moet je met hen een verwerkersovereenkomst sluiten. Daar is al snel sprake van. Denk bijvoorbeeld aan de koppeling van je website met een nieuwsbriefoplossing als Mailchimp. Ook plugins voor bijvoorbeeld social media counters verzamelen soms persoonsgegevens (IP-adressen).
Sommige grote partijen als Google, Mailchimp en Facebook hebben hiervoor standaard verwerkersovereenkomsten waarmee je akkoord moet gaan. Neem contact met ze op en vraag ernaar.
Wil je op de hoogte blijven van nieuwe blogs over de AVG, privacy-issues, meldplicht datalekken en aanverwante zaken? Meld je dan aan voor onze nieuwsbrief en mis geen enkele update.
Wilt u meer informatie over de AVG en hoe wij uw organisatie hierbij volledig kunnen ondersteunen! Laat uw telefoonnummer of email adres achter via info@fourtop.nl en wij nemen contact met u op!
Bron vermelding: met dank aan onze partner YourSafetynet
Deel deze blog
- juli 2024 (2)
- april 2024 (1)
- maart 2024 (2)
- februari 2024 (1)
- januari 2024 (2)
- december 2023 (3)
- november 2023 (1)
- oktober 2023 (3)
- september 2023 (4)
- augustus 2023 (3)
- juli 2023 (1)
- juni 2023 (2)
- mei 2023 (1)
- april 2023 (1)
- maart 2023 (2)
- februari 2023 (2)
- januari 2023 (3)
- december 2022 (1)
- november 2022 (4)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (3)
- juni 2022 (2)
- mei 2022 (1)
- april 2022 (3)
- maart 2022 (4)
- februari 2022 (4)
- januari 2022 (3)
- december 2021 (3)
- november 2021 (2)
- oktober 2021 (2)
- september 2021 (2)
- augustus 2021 (2)
- juli 2021 (2)
- juni 2021 (5)
- mei 2021 (3)
- april 2021 (3)
- maart 2021 (7)
- februari 2021 (2)
- januari 2021 (1)
- december 2020 (2)
- november 2020 (3)
- oktober 2020 (5)
- september 2020 (2)
- augustus 2020 (1)
- juli 2020 (1)
- juni 2020 (3)
- mei 2020 (1)
- april 2020 (2)
- maart 2020 (3)
- februari 2020 (1)
- januari 2020 (1)
- juli 2019 (1)
- juni 2019 (1)
- april 2019 (1)
- februari 2019 (1)
- oktober 2018 (1)
- augustus 2018 (1)
- juli 2018 (1)
- juni 2018 (1)
- mei 2018 (1)
- april 2018 (1)
- januari 2018 (1)
- december 2017 (1)
- oktober 2017 (3)
- september 2017 (2)
- april 2017 (1)
- maart 2017 (1)
- februari 2017 (1)
- januari 2017 (2)
- december 2016 (1)
- november 2016 (3)
- oktober 2016 (3)
- september 2016 (2)
- augustus 2016 (1)
- juli 2016 (1)
- juni 2016 (2)
- mei 2016 (1)
- april 2016 (1)
- maart 2016 (2)
- februari 2016 (2)