Hoe pas je je website aan aan de AVG (Algemene Verordening Gegevensbescherming)?
Op 25 mei 2018 gaat de Algemene (Europese) Verordening Gegevensbescherming (AVG) of de General Data Protection Regulation (GDPR) gehandhaafd worden. De boetes zijn serieus (oplopend tot 20 mio) maar naar rato van je resultaat.
Waarom? Heel simpel; bescherming van privacy is een grondrecht van ieder individu en in de Europese Unie wordt daarom de bescherming van persoonsgegevens geregeld door de AVG. Andere overwegingen spelen ook mee; het is tegenwoordig steeds moeilijker geworden om met de huidige stand der techniek datastromen te traceren/te controleren en om te kunnen beoordelen wat iemand doet met je gegevens (en dus met je privacy). Om vrij verkeer van persoonsgegevens binnen de Unie te waarborgen moeten we ook zeker weten dat alle lidstaten zich aan dezelfde regels houden. Het verzamelen, delen en be- en verwerken moet daarom voor iedereen transparant worden. De regelgeving strekt zich uit tot alles wat er kan worden gedaan met (het verwerken van…) persoonsgegevens.
Wat zegt de AVG.....
.....in het algemeen?
Heb je een bedrijf/vereniging/stichting of anderssoortige organisatie en verwerk je, op wat voor manier dan ook, gegevens van personen dan ben je verwerkingsverantwoordelijke en krijg je te maken met de AVG. Het verzamelen, bewaren en gebruiken van persoonsgegevens wordt niet verboden; je moet je wel aan een aantal regels houden. Zo moet je
- begrijpelijk, toegankelijk en zichtbaar vooraf informeren over wat je met de gegevens doet en
- op basis daarvan toestemming vragen aan de persoon in kwestie voor het bewaren/verwerken van de gegevens,
- je beperken tot alleen de meest noodzakelijke gegevens,
- en de gegevens niet langer bewaren dan nodig is of (wanneer van toepassing) een wettelijke bewaartermijn hanteren,
- het dataverkeer en de dataset adequaat beveiligen,
- een datalek volgens de regels aan toezichthoudende instanties melden,
- de rechten van betrokkenen waarborgen.
Ben je betrokkene; dus verzamelt iemand jouw persoonsgegevens, dan sluit je in alle gevallen een overeenkomst met diegene. Dit komt er in de praktijk meestal op neer dat je:
- of actief toestemming geeft voor het verzamelen (een handeling zoals het aanvragen van een nieuwsbrief, geldt ook als toestemming),
- of soms wettelijk verplicht bent je gegevens af te geven,
- of je gegevens afgeeft als onderdeel van een deal die je, bijvoorbeeld als klant of gebruiker van een dienst, sluit.
.....over persoonsgegevens?
Persoonsgegevens zijn alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (direct herleidbaar, indirect herleidbaar of mogelijk herleidbaar) dus ook:
- IP adressen
- MAC-adressen
- Cookie ID’s
- Browserinformatie
- Geolocatie etc
Gevoelige/bijzondere persoonsgegevens worden apart beschouwd in de wet; voor het verwerken hiervan is uitdrukkelijke, expliciete, ondubbelzinnige schriftelijke toestemming van de persoon in kwestie vereist. Enkel een actieve toestemming verlenende handeling zoals het aanvragen van een nieuwsbrief middels een aanvraagformulier is hiervoor niet voldoende. Het gaat hierbij om:
- Gezondheid (fysiek en mentaal)
- Genetische gegevens
- Biometrische gegevens
- Godsdienst/levensovertuiging
- Ras
- Politieke gezindheid
- Seksuele leven
- Lidmaatschap van een vakvereniging
- Strafrechtelijke gegevens
......over uitzonderingen?
Bedrijfsinformatie valt niet onder de AVG. Politie/justitie en inlichtingen- en veiligheidsdiensten vallen niet onder de AVG. Wat je thuis doet voor persoonlijke of huishoudelijke doeleinden valt niet onder de AVG maar diensten zoals facebook, twitter, google, afspreken.nl of datumprikker.nl moeten zich vervolgens weer netjes houden aan de AVG. Anonieme gegevens, op geen enkele manier herleidbaar naar een natuurlijke persoon, vallen niet onder de AVG.
Wat moet je op je website in orde hebben?
Heb je voor je bedrijf/organisatie een website dan zal je maatregelen moeten nemen om te voldoen aan de AVG. Een gehackte website is een datalek! Dus wat moet je doen?
Doen: beveilig je website.
- Versleutel de uitwisseling van gegevens op je website met een beveiligde (https) verbinding en waarborg daarmee de privacy van je websitebezoeker. Daarvoor moet je een een SSL-certificaat aanschaffen bij, en laten installeren en activeren door, je host. Vervolgens moet je de SSL verbinding voor je website inrichten. Let op: je moet controleren of de website écht niet meer te bereiken is via de onbeveiligde route! Ook als iemand www.jouwwebsite.nl kiest moet die worden doorgestuurd naar https://www.jouwwebsite.nl. Sommige hosts regelen dit voor je, vaak moet je dit zelf regelen in bv het .htaccess bestand op je server. De plugin 'really simple SSL' regelt dit prima voor je wordpress website.
- Houdt je website software (wordpress en plugins, drupal en modules) constant up to date om te voorkomen dat hackers toegang tot je website krijgen via kwetsbaarheden.
- Beveilig je website met adequate beveiligingssoftware; wordfence is voor je wordpress website een uitstekende en uitgebreide plugin die ook een firewall biedt om al aan de buitenkant ongewenste bezoekers tegen te houden. Het instellen is even een werkje maar er is prima documentatie beschikbaar.
- Beveilig de invulformulieren (contact-, reactie- en inschrijfformulieren) op je website; spammers en hackers plaatsen graag ongewenste inhoud/code op je site via onbeveiligde formulieren. Akismet voor wordpress werkt prima. Overweeg ook het gebruiken van een honeypot (een verborgen, lege cel in je formulier die leeg moet blijven). Spambots proberen deze vaak toch in te vullen, waarna het versturen van je formulier wordt geblokkeerd.
- Beperk de bestandsrechten op de wordpress- of drupalbestanden op je server om te voorkomen dat hackers erin kunnen schrijven en ongewenste code kunnen laten uitvoeren. Controleer dit goed; als je de rechten te sterk beperkt kan het zijn dat iets op je website niet meer werkt. Wat zegt de wordpress codex over bestandsrechten? Lees hier over bestandsrechten voor een drupalinstallatie.
- Hanteer een goed wachtwoordbeleid; gebruik veilige wachtwoorden en breng regelmaat aan in het aanpassen van wachtwoorden.
Doen: verzamel gegevens conform de AVG.
- Plaats (een link naar) een heldere, toegankelijke en goed zichtbare privacyverklaring op je website, daar waar je gegevens verzamelt.
Hiermee breng je je websitebezoekers volledig op de hoogte van
-wie (jij of andere partijen (verwerkers)) op je website welke gegevens van wie verzamelt,
-wat je ermee doet (deel je ze met verwerkers?),
-hoe lang je ze bewaart, waar en waarom,
-dat dit netjes volgens de AVG gebeurt en zoniet waarom niet.
-Ook cookies en trackers verzamelen gegevens, meestal door verwerkers, en van deze gegevens moet je ook precies kunnen uitleggen of dit conform de AVG gebeurt middels verwerkersovereenkomsten. - Vraag op basis van de privacyverklaring toestemming voor het verzamelen van de gegevens. Maak duidelijk dat, met het versturen van je formulier, de inzender toestemming geeft voor het verzamelen en bewaren van gegevens. Dit mag alleen als het gaat om persoonsgegevens en is niet voldoende als het gaat om bijzondere persoonsgegevens.
- Beperk de in te vullen data op je invulformulieren (contact-, reactie- of inschrijfformulier voor je nieuwsbrief) tot wat je minimaal moet weten van je sitebezoeker (meer mag je niet bewaren).
- Gebruik voor je nieuwsbrief inschrijving de 'double opt-in' optie; zo weet je zeker dat de juiste persoon de toestemming verlenende handeling heeft verricht.
Ben je hiermee klaar?
Voor je website: bijna. Vergis je niet; bij het opstellen van je privacyverklaring komt aardig wat (papier)werk kijken. Zo moet je
- Uitzoeken met welke diensten (verwerkers zoals je hosting, je backup lokatie, akismet of mollom (is helaas sinds eind april 'uit de lucht'), beveiligingsplugins, adverteerders, social media/facebookpixel, Mailchimp of een ander nieuwsbriefsysteem, Google Analytics of andere statistiekenservices) je 'zaken doet' en met hen moet je verwerkersovereenkomsten sluiten om de rechten van betrokkenen te waarborgen.
- Procedures opstellen waarin je beschrijft hoe je de rechten van betrokkenen waarborgt en hoe je omgaat met een datalek.
- Je wachtwoordbeleid omschrijven.
En dan heb je natuurlijk nog het afsluiten van de verwerkersovereenkomsten en het aanleggen van een dataverwerkingsregister áls je registerplichtig bent (niet specifiek nodig voor je website).
Ik ga aan de slag met de volgende stappen; het opstellen van de privacy overeenkomst, het aanpassen van de inschrijfformulieren, de registerplicht bepalen en natuurlijk de verwerkersovereenkomsten en hou je op de hoogte van het vervolg.
Heb je hulp nodig neem dan contact op of bel even +31(0)612059003.
Vragen, opmerkingen of aanvullingen plaatsen? Dat kan hieronder! Ik hoor het graag.
Karin