Ben jij al klaar voor de AVG?

Vanaf 25 mei 2018 gaat de AVG wetgeving van kracht. Zorg dat jouw website klaar is voor de nieuwe regelgeving.

Essentie van GDPR wetgeving

Vanaf 25 mei 2018 moeten organisaties die persoonsgegevens verwerken aan de Europese privacywetgeving voldoen. Deze wetgeving wordt ook wel de GDPR (General Data Protection Regulation) en AVG (algemene verordening gegevensbescherming) wetgeving genoemd. Deze verschillende benamingen gaan dus over dezelfde Europese privacywetgeving.

Voor veel organisaties betekent deze nieuwe wetgeving dat ze organisatorische en technische maatregelen moeten nemen om te voldoen aan de nieuwe regels omtrent gegevensbescherming. Ondanks de vele informatie die hierover beschikbaar is, zijn veel eisen vanuit de GDPR wet echter nog onduidelijk voor organisaties. Veel eisen vanuit de GDPR wetgeving bevinden zich namelijk in grijs gebied. 

Persoonsgegevens

Voor de GDPR wetgeving is het vooral belangrijk dat je weet welke persoonsgegevens je opslaat, hoe lang deze gegevens worden bewaard en voor welke doeleinden je ze nodig hebt. Als webshop kun je bijvoorbeeld aangeven dat de basis persoonsgegevens en order informatie worden bewaard, om een order te kunnen bezorgen en de consument naderhand van dienst te kunnen zijn bij een garantieclaim. Als je weloverwogen beslissingen maakt bij het opslaan van persoonsgegevens, is het dus niet nodig om je data te anonimiseren.

Wat wel verplicht wordt vanaf 25 mei 2018, is het tekenen van een verwerkersovereenkomst met derde partijen waarmee je persoonsgegevens deelt. Daarnaast kunnen consumenten straks eisen om hun persoonsgegevens te laten verwijderen uit de database, waarbij de verwijdering door de organisatie ook direct wordt doorgegeven aan alle andere derde partijen met dezelfde persoonsgegevens.

De wetgeving draait voornamelijk om de bewustwording van het omgaan met persoonsgegevens. Zorg er daarom altijd voor dat je weloverwogen beslissingen maakt binnen de wensen en eisen van de nieuwe wetgeving.

Cookie melding

De cookie melding speelt een belangrijke rol binnen de GDPR wetgeving. Om aan de nieuwe wetgeving te voldoen moet de cookiemelding zo worden aangepast dat het voor de bezoeker voortaan helder is welke cookies je opslaat. Daarnaast gelden er andere regels m.b.t. het plaatsen van de drie verschillende soorten cookies:

  • Functionele cookies zijn nodig om een website te laten werken. Bijvoorbeeld voor het automatisch inloggen of het opslaan van producten in je winkelwagen. Hiervoor hoef je geen toestemming te vragen. Wel kun je aangeven in de cookie melding of privacy verklaring waarom je deze cookies plaatst en welk voordeel de bezoeker hierbij heeft, maar dit is niet verplicht.
  • Analytische cookies worden gebruikt om je inzicht te geven in de statistieken van je website (Google Analytics). Voor analytische cookies is het wel verplicht om je bezoekers te informeren via de cookie melding of privacy verklaring. De cookies mogen pas geplaatst worden als de bezoeker actief aangeeft dat ze akkoord gaan, of als ze verder navigeren door de website.
  • Tracking-cookies zijn cookies die binnen een domein of over verschillende domeinen gebruikt worden om surfgedrag van de bezoekers vast te leggen. Bijvoorbeeld om remarketing campagnes uit te voeren. Ook voor tracking cookies is het verplicht om in de cookie melding of privacy verklaring aan te geven voor welke doeleinden je de cookies plaatst. Daarnaast is voor het gebruik van tracking cookies expliciete toestemming van de bezoeker verplicht.

Maak in je cookie melding dus onderscheid tussen bovenstaande cookies, zodat de bezoeker de mogelijkheid krijgt om te kiezen welke cookies je mag plaatsen. Bijvoorbeeld middels een extra checkbox (standaard aangevinkt) waarbij wel of geen toestemming gegeven kan worden voor het plaatsten van tracking cookies.

Tot slot moet je de bezoeker de mogelijkheid geven om de cookie instellingen op ieder moment aan te kunnen passen. Je kunt er bijvoorbeeld voor kiezen om een sticky button onder in beeld te laten staan wanneer de cookie melding gesloten wordt, maar je kunt ook een linkje naar de cookie instellingen toevoegen aan de footer.

Formulieren en opt-ins

Het is niet toegestaan om persoonsgegevens voor andere doeleinden te gebruiken tenzij dit duidelijk vermeld wordt. Je moet in je privacy verklaring dus aangeven voor welke doeleinden je de persoonsgegevens gaat verwerken, maar je kunt dit ook als extra informatie tonen bij het formulier.

Wanneer gebruikers persoonsgegevens achterlaten die bewaard worden voor e-mail marketing doeleinden, moet er duidelijk bij staan waar iemand zich voor inschrijft en hoe vaak er een mailing verstuurd wordt. De e-mail opt-in moet een duidelijke bevestigende actie zijn (bijv. middels een checkbox). Ook moet het gemakkelijk zijn om je op elk gewenst moment uit te schrijven, bijvoorbeeld via een duidelijke opt-out in de mailing. Zet in iedere opt-in en mailing een link naar je privacy verklaring.

Voor je eigen administratie is het belangrijk om al je opt-ins te registeren inclusief het moment van registratie en waarvoor diegene precies toestemming heeft gegeven. Dit kan bijvoorbeeld in de checkout bij het plaatsen van een bestelling zijn geweest, bij een winactie of via een nieuwsbrief opt-in in de footer.

Website beveiliging

Ook voor de beveiliging van je website worden de regels binnen GDPR aangescherpt. Een SSL certificaat wordt verplicht voor websites en wanneer je persoonsgegevens opslaat, moeten de software/plugins van je website voorzien zijn van de laatste beveiligingsupdates.

Heb je nog vragen?

Hi! Ik ben Maartje, aangenaam! Ik ben product owner Bluebird Day en help op dit moment veel klanten met  AVG vraagstukken. Heb jij vragen over jouw omgeving, geef me dan gerust een belletje!

Neem contact op of bel me op 076 204 304 6