Wijziging Algemene Voorwaarden i.v.m. de AVG
Zoals je wellicht weet gaat op 25 mei 2018 de nieuwe privacy-wet (AVG) van kracht. Vanaf dan gelden dezelfde privacy-regels voor heel Europa. De Nederlandse Wbp komt dan te vervallen en er gaan nieuwe regels gelden voor het verwerken en bewerken van persoonsgegevens. Dit is ook van toepassing op jouw website, bijvoorbeeld als je een contactformulier hebt, Google Analytics gebruikt, of als je een webshop hebt. In dit bericht leggen uit we hoe de nieuwe privacy-wet werkt en waar je op moet letten met betrekking tot jouw website.
Van bewerkersovereenkomst naar verwerkersovereenkomst
De oude privacy-wet vereiste al dat het bewerken van persoonsgegevens veilig moet gebeuren, door middel van een bewerkersovereenkomst. De nieuwe wet verplicht dat elke organisatie in Europa op verzoek moet kunnen verantwoorden dat persoonsgegevens die door de organisatie stromen goed beschermd zijn. Dat wordt geregeld in een verwerkersovereenkomst. Allereerst betekent dit dat je als organisatie intern een helder beeld moet hebben wat betreft de persoonsgegevens die je verzamelt.
Ten tweede moet je verantwoorden dat persoonsgegevens die je verstrekt aan andere partijen veilig zijn. Denk bijvoorbeeld aan persoonsgegevens die terechtkomen bij je boekhouder, in je CRM of in je e-mailmarketingsoftware. Dit geldt ook voor software buiten Europa (bijv. software van Amerikaanse bedrijven); als Europese organisatie ben je verplicht om die afspraken te maken met al je leveranciers. In de praktijk betekent dit dus dat de AVG wereldwijd impact heeft op het privacy-beleid van organisaties.
En zo moet je ook voor je website afspraken maken met andere partijen die toegang hebben tot jouw website. Denk aan je hostingpartij (wij), redactie-leden, beheerders en partijen die bijv. middels een plug-in toegang hebben tot persoonsgegevens.
We hebben de verwerkersovereenkomst verwerkt in onze aangepaste Algemene Voorwaarden.
Uiteraard vind je zowel de vernieuwde Algemene Voorwaarden als onze privcay disclaimer op deze website.
Wat zijn persoonsgegevens?
Wanneer hebben we het eigenlijk over persoonsgegevens? En wanneer zijn deze privacy-gevoelig? Kortweg zijn persoonsgegevens alle gegevens waarmee personen individueel te identificeren zijn, bijvoorbeeld wanneer iemand een contactformulier invult op je website. Denk bijvoorbeeld aan gegevens zoals:
- Naam
- Postadres
- E-mailadres
- Locatie data (bijv. GPS coördinaten)
- IP-adressen (website statistieken)
Goed om te weten: Bedrijfsinformatie (bijv. organisatienaam, e-mailadres, postadres, etc.) valt niet onder persoonsgegevens.
Wanneer zijn persoonsgegevens extra privacy-gevoelig?
Bovenop deze ‘standaard’ persoonsgegevens is er ook nog de categorie ‘gevoelige’ persoonsgegevens. Wanneer je binnen je organisatie met deze categorie te maken krijgt, worden er extra eisen gesteld aan hoe je hiermee om moet gaan. Die extra eisen zijn ook van toepassing op je website, bijvoorbeeld wanneer je gegevens verzamelt zoals:
- BSN
- Ras
- Medische informatie
- Seksuele voorkeuren
- Religie/ politieke voorkeur
Welke rechten hebben consumenten?
Zoals gezegd is het doel van de nieuwe privacy-wetgeving (AVG) om de eindgebruiker (consument) te beschermen in zijn rechten. Dat zijn dus ook bezoekers van jouw website. Maar welke rechten hebben ze precies, en wat mogen ze vragen aan jou als organisatie?
Informeren, toestemmen en weigeren
Personen hebben het recht om geïnformeerd te worden voordat hun gegevens op je website verzameld, bewerkt en verwerkt worden. Bovendien moeten gebruikers hier ook expliciet toestemming voor hebben gegeven. Denk aan zaken zoals een akkoord op de cookie-melding onderin je website, of een extra vinkje om je aan te melden op de nieuwsbrief (dat standaard niet aan mag staan!). Tot slot moeten gebruikers het instemmen later ook weer kunnen weigeren, bijvoorbeeld door zich weer uit te kunnen schrijven, of door cookie-instellingen te kunnen herzien.
Eenvoudige toegang
Personen waarvan je websitegegevens verzamelt, mogen deze gegevens bij je opvragen. Als organisatie moet je deze gegevens binnen een maand overhandigen. Hiervoor mag je in principe geen kosten rekenen. Bovendien geldt het recht op data-portabiliteit: de persoonsgegevens moeten op een redelijke manier ingezien kunnen worden. Een Excel-sheet of CSV-bestand zijn bijvoorbeeld vrij eenvoudig te openen, maar een directe database-dump niet.
Bewerken, beperken en verwijderen
De consument mag je vragen om eventuele foutieve informatie te rectificeren, én mag je verzoeken om persoonsgegevens verder niet meer te bewerken (maar nog wel op te slaan). Daarnaast heeft elke persoon ‘het recht om vergeten te worden’. Met andere woorden: op verzoek moet je de gegevens van een persoon ook volledig kunnen verwijderen.
De AVG en marketing automation
Mogelijk maak je in je website ook gebruik van marketing automation. Denk bijvoorbeeld aan e-mailmarketingsoftware die je eraan herinnert als je nog niet hebt gereageerd, of juist een tweede e-mail stuurt als de eerste is bekeken. Of denk aan advertenties die getoond worden op basis van bezoekersgedrag.
Personen hebben het recht om van je te eisen dat software geen geautomatiseerd besluit mag nemen op basis van hun gegevens en/of gedrag, tenzij je hier vooraf expliciet om toestemming hebt gevraagd. Zorg er – zeker in het geval van marketing automation – daarom voor dat je op je WordPress website altijd expliciet toestemming hebt gevraagd aan je bezoekers, én dat ze weten dat op basis van hun persoonsgegevens geautomatiseerd beslissingen worden gemaakt.
Wat gaan wij doen?
Wij gaan ons best doen om onze eigen systemen AVG-proof te maken. Gezien het voor ons ook allemaal vrij nieuw is, zal dit naar alle waarschijnlijkheid stap voor stap gaan. De eerste stappen zijn in ieder geval genomen.
We gaan geen website statistieken meer bijhouden op onze eigen servers. Vrijwel niemand gebruikt deze functionaliteit dus de impact hiervan is erg klein. Deze maatregel is onlangs doorgevoerd.
Op elke website die wij maken installeren wij standaard Google Analytics. Dit is een externe applicatie van Google waarmee de bezoekersstatistieken bijgehouden worden. Op dit moment worden ook de IP-adressen van de betreffende bezoeker opgeslagen. We hebben ervoor gekozen om de IP-adressen te anonimiseren. Dit betekent dat we de aantal bezoekers kunnen bijhouden maar niet waarvan ze vandaan komen. Specifieke informatie over de bezoeker is dus niet meer zichtbaar.
Mocht je toch IP-adressen willen bijhouden, dan dien je dit aan te geven in een verwerkingsovereenkomst met daarin een gegronde reden waarom en waarvoor.
Op de server zelf houden wij nog wel (beperkt) IP-adressen van bezoekers bij. Dit doen wij in het oogpunt van beveiliging. Indien er een aanval plaatsvindt, is het voor ons van essentieel belang om de “dader” te kunnen traceren. Dit kan alleen op basis van een IP-adres.
Je bent als website eigenaar zelf verantwoordelijk voor het goed naleven van de betreffende AVG-wetgeving. Op het gebied van hosting hebben wij een gedeelde verantwoordelijkheid. Van beide kanten moet het goed geregeld zijn.
Wij willen je zo goed mogelijk op weg helpen met de juiste tools.
Wij kunnen je website voorzien van een aantal makkelijke plug-ins/toevoegingen:
- Formulier voor het verwijderen en opvragen van klantgegevens
- Dit formulier kan door de bezoeker worden ingevuld
- Aan de hand van de opgegeven informatie kan je de klant verwijderen of zijn/haar gegevens aanleveren
- Het aanleveren van klantgegevens zal in de meeste gevallen via ons gaan; wij zorgen voor een export
- Privacy policy pop-up
- Een privacy policy melding met daarin relevante informatie over de opgeslagen klantgegevens (Bestellingen, ontvangen contactformulieren, Google Analytics); men kan deze verklaring weigeren of accepteren
- Pagina aanmaken met uitgebreide informatie over de privacy policy
Het wil niet zeggen dat met deze aanpassingen je website meteen AVG-proof is. Maar de eerste stap is dan alvast gezet.
Let op: wij verlenen geen juridische dienstverlening. De AVG-wetgeving is niet alleen gericht op websites maar over je gehele bedrijfsvoering.
Wil je een kostenoverzicht voor de bovenstaande toevoegingen of heb je nog vragen/opmerkingen? We kunnen altijd een afspraak plannen hier op kantoor om alle zaken door te nemen.