Websites en de AVG

Websites en de AVG

Jelle-Jan van Veelen
Jelle-Jan van Veelen - 9 maart 2018
Samuel Zeller

Vanaf 25 mei 2018 wordt in Nederland de Algemene Verordening Gegevensbescherming van kracht. Deze wet heeft verregaande consequenties voor alle organisaties die persoonsgegevens verwerken.

Persoonsgegevens zijn bijvoorbeeld de naw-gegevens van medewerkers, of van klanten, of bijvoorbeeld sollicitanten. Maar ook telefoonnummers en e-mailadressen vallen hieronder, net als foto’s, personeelsdossier, levensbeschouwing, etniciteit, camerabeelden, urenregistratie, IP-adressen en nog veel meer.

We kunnen gerust stellen dat iedere Nederlandse organisatie persoonsgegevens verwerkt, en zich daarom aan de AVG moet houden. Iedere verwerking van persoonsgegevens moet aan een strikte set voorwaarden voldoen.

Veel van onze opdrachtgevers hebben ons al om advies gevraagd met betrekking tot de verwerking van persoonsgegevens via hun website. In dit artikel zetten we de belangrijkste zaken op een rij.

Verwerking van persoonsgegevens via een website

Bijna iedere website die wij in de afgelopen jaren hebben opgeleverd, heeft tenminste één (en vaak meerdere) van de volgende functionaliteiten:

  • Tracking van bezoekers (via bijv. Google Analytics)
  • Behavior-tracking (via bijv. Mouseflow of Hotjar)
  • Contactformulier
  • Bestel- of donatiemogelijkheid (tickets, giften/donaties)
  • Aanmeld- of registratieformulieren (nieuwsbrief, activiteiten, cliënten)
  • Marketing automation software

Voor ieder van die functionaliteiten geldt dat deze onder de loep genomen moeten worden. Per type gegevensverwerking moet bepaald worden of de manier waarop persoonsgegevens worden verkregen rechtsgeldig is, hoe lang de betreffende gegevens bewaard mogen (of moeten) worden, en bijvoorbeeld op welke manier een betrokkene kan regelen dat diens verzamelde gegevens weer worden verwijderd.

Ook moet aandacht besteed worden aan hoe de gegevens worden opgeslagen, hoe ze beveiligd zijn, wie er toegang toe hebben, en of ze geminimaliseerd of gepseudonimiseerd dienen te worden.

Bovenstaande is samen te vatten in een aantal principes, die de Autoriteit Persoonsgegevens nader uitlegt op haar website. De belangrijkste thema’s met betrekking tot online communicatie zijn:

Wat betekent dit concreet?

Er is geen eenduidig advies te geven voor al onze klanten, omdat iedere situatie weer om andere maatregelen vraagt. Ons belangrijkste advies is om deze wetgeving in ieder geval serieus te nemen. Als er een functionaris gegevensbescherming (FG) binnen de organisatie is, raden we aan met deze persoon de hele website door te lichten, en te inventariseren wat er moet gebeuren om aan de AVG te voldoen. Indien gewenst kunnen wij aanschuiven bij zo’n gesprek, om daarmee meteen mee te kunnen denken over de implicaties. Wanneer er geen FG in de organisatie is aangesteld, kunnen wij op verzoek ook een inventarisatie doen, en deze in een adviesgesprek nader toelichten.

Vooruitlopend daarop is er echter al wel een aantal stappen die je nu al kunt zetten ter voorbereiding op de AVG:

Stel Google Analytics in op een privacyvriendelijke manier

De Autoriteit Persoonsgegevens heeft een handleiding gepubliceerd waarin wordt uitgelegd hoe Google Analytics (GA) ingesteld kan worden op een privacyvriendelijke manier. Als je zelf de beheerder bent van het GA-account, dan kun je zelf al een aantal benodigde aanpassingen doen. Mogelijk moet je hierbij een beroep doen op onze servicedesk, om bijvoorbeeld de anonimiseringsoptie van GA aan te zetten in de code van de website.

(Her)schrijf het privacybeleid

Wanneer via de website persoonsgegevens worden verwerkt, zul je daar melding van moeten maken in een privacybeleid. In een privacybeleid wordt precies omschreven op welke manier een organisatie voldoet aan de AVG.

Dit privacybeleid moet niet ‘verstopt’ op een website zitten, maar dient eenvoudig vindbaar te zijn. In veel gevallen moet (een verwijzing naar) dit beleid zelfs prominent in beeld gebracht worden, bijvoorbeeld op de plek waar iemand zijn gegevens invult voor een bestelling of aanmelding.

Pas formulieren aan

Wanneer de website een dynamische formulierenmodule heeft, dan kun je daarin bijvoorbeeld al dataminimalisatie toepassen door alleen essentiële persoonsgegevens verplicht te stellen. Ook kun je in of bij het formulier kort toelichten waar je de gegevens voor gaat gebruiken.

Cookiemelding

De meeste websites hebben ook een cookiemelding. Deze is geïntroduceerd met de komst van de ‘cookiewet’, een aantal artikelen uit de Nederlandse Telecommunicatiewet. Hierin staan echter ook verwijzingen naar de huidige Wet Bescherming Persoonsgegevens, die door de AVG wordt opgevolgd. Naar verwachting zal er in de implementatie van een cookiemelding pas echt verandering komen als de nieuwe Europese e-privacyverordening wordt ingevoerd. Dit stond oorspronkelijk ook gepland voor 25 mei 2018, maar is nog tot nader order uitgesteld. Mocht een website nog geen cookiemelding hebben, maar die wel nodig hebben, dan is de komst van de AVG een goede aanleiding om dit direct mee te nemen.

Verwerkersovereenkomst

De WBP stelde het hebben van een verwerkersovereenkomst (toen nog “bewerkersovereenkomst”) met partijen die toegang hebben tot (delen van)  persoonsgegevens al verplicht. Dat is met de AVG niet veranderd.

Met veel van onze opdrachtgevers hebben wij al een verwerkersovereenkomst afgesloten. Wanneer dit nog niet het geval is, neem dan contact op met je contactpersoon bij Zicht. Wij stellen dan een verwerkersovereenkomst op, op basis van het modelcontract van branchevereniging Dutch Digital Agencies. Het is ook mogelijk zelf een verwerkersovereenkomst op te (laten) stellen. We gaan graag in gesprek over de implicaties die een eigen verwerkersovereenkomst met zich meebrengt.

Vragen?

We kunnen ons voorstellen dat er nog steeds met veel vragen zijn. Neem daarom gerust contact op met je contactpersoon bij Zicht. Wij helpen je dan graag verder.