Vanaf 25 mei 2018 zijn er nieuwe, Europese privacy regels van kracht: de zogenaamde Algemene verordening gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) in het Engels.

De regels zijn van toepassing op alle Europese organisaties en bedrijven die actief zijn in de Europese Unie. In het kort gaat het over:

Expliciete toestemming – organisaties moeten van verzamelde gegevens kunnen bewijzen dat er expliciet toestemming voor is gegeven
Recht op vergetelheid – consumenten moeten hun gegevens kunnen (laten) verwijderen
Recht op dataportabiliteit – consumenten moeten hun gegevens mee kunnen nemen naar een andere aanbieder

Bekijk hier de AVG in een notendop

Boete bij het niet voldoen

Het niet voldoen aan de regels kan vanaf mei 2018 leiden tot een boete ter hoogte van 4% van de jaaromzet, tot een maximum van €20 miljoen.

Geldt dit ook voor mijn website?

Het antwoord is bijna altijd JA. Vrijwel alle WordPress en WooCommerce sites krijgen met deze nieuwe regels te maken. Voor webwinkels is het vanzelfsprekend, aangezien er voor bestellingen altijd adresgegevens nodig zijn. In dat geval moet je de klant expliciet melden dat de gegevens gebruikt worden ter verwerking van de bestelling. Deze gegevens gebruiken om de klant een maandelijkse nieuwsbrief te sturen is echter niet toegestaan. Hiervoor zal dus nogmaals expliciet toestemming voor moeten worden gevraagd, zodat de klant weet waar de gegevens voor gebruikt worden.

Wat het lastig maakt voor (WordPress) website en -shop eigenaren is dat vaak externe diensten in gebruik zijn. Denk aan MailChimp voor de nieuwsbrief, Google Analytics voor de analyse of Exact Online voor de boekhouding. Vraag actief bij dergelijke softwareleveranciers hoe zij met (klanten)data omgaan of stel samen een Verwerkersovereenkomst AVG op.

Waar moet ik nog meer rekening mee houden? Hier onder een korte AVG checklist.

  1. SSL certificaat
    Een veilige (AVG-proof) website, welke dus beschikt over een SSL-certificaat, wordt in de adresbalk aangeduid met ‘https’ in plaats van ‘http’. De adresbalk geeft duidelijk aan of een site veilig is of niet, zoals in het onderstaande voorbeeld:Ziet u het bovenstaande nog niet bij het bezoeken van uw website, dan betekent dit dus dat er geen SSL certificaat op de website is aangebracht. Een SSL certificaat is een van de eerste onderdelen welke je in orde moet maken als je online AVG-proof wil zijn.
  2. Privacy verklaring 
    In de privacy verklaring moet je aangeven welke persoonsgegevens via de website verwerkt worden en welke partijen inzage krijgen in deze gegevens. De cookies die men gebruikt op de website kun je tevens uitschrijven in een privacy verklaring of kun je onderbrengen in een daarvoor aangemaakte cookie-policy pagina. Veiliginternetten.nl biedt de mogelijkheid om online een privacy verklaring te laten genereren op basis van gegeven antwoorden.
  3. Webformulieren en persoonsgegevens
    Vraag niet meer gegevens dan nodig is, oftewel “privacy by design”. Ga na of je de gevraagde data echt nodig hebt en documenteer deze afweging in het interne AVG-document. Overweeg in het geval van bijzondere persoonsgegevens aanvullende maatregelen, zoals het onherkenbaar maken van bepaalde data.
  4. Cookies
    Wel voldoen aan de AVG-wetgeving, maar nog wel inzage in je bezoekersstatistieken? Begin met het anonimiseren van ip-adressen en doorloop de nodige stappen binnen je Google Analytics profiel.
  5. Algemene voorwaarden
    Dient jouw website als meer dan een online visitekaart of informatieverschaffing? Zorg dan voor een duidelijke weergave van de Algemene Voorwaarden, waarin de voorwaarden omtrent de aangeboden producten en diensten worden toegelicht. Denk bijvoorbeeld aan de volgende zaken: retournering, te verlenen service, aansprakelijkheid, betalingsvoorwaarden en storingen/overmacht.
  6. Hosting
    Hosting wordt vaak over het hoofd gezien, aangezien het meestal wordt uitbesteed. Dit betekent dus dat alle data over servers van je hosting-partij loopt en zij inzage kunnen hebben in jouw vergaarde gegevens. Conform AVG-wetgeving, dient er in dat geval een overeenkomst te worden aangegeven met je hostingpartij. Zo weet je zeker dat jouw data veilig is op gebied van de AVG-wetgeving.

Maak voor 25 mei 2018 je website AVG ready. Neem contact met ons op!

Autoriteit Persoonsgegevens adviseert elke website eigenaar om actie te ondernemen, zodat uw bedrijf geen boete riskeert.
Brewwwers kan, naast uw interne AVG-voorbereiding, uw website AVG-ready maken. Voor meer informatie kunt u contact op nemen via e-mail of telefonisch via 023-7271071.