5 tips van een jurist om jouw website AVG-Proof te maken

    In mei was het precies een jaar geleden dat de wet Algemene Verordening Gegevensbescherming (AVG) van toepassing werd. Dit betekende voor ons als ondernemers dat onze websites aangepast moesten worden.

    Ben jij er nog niet helemaal zeker van of je dit op orde hebt? Wij hebben navraag gedaan bij juridisch adviesbureau Spaans&Spaans en geven je in deze blog 5 tips zodat jouw website AVG-Proof wordt.


    1. Nieuwsbrief versturen? Vraag om toestemming!
    Je mag nooit zomaar een digitale nieuwsbrief versturen aan een potentiële klant. Het is dus niet toegestaan om de gegevens die je via jouw online contactformulier verzamelt, te gebruiken voor het versturen van een nieuwsbrief. Zorg ervoor dat je toestemming hebt om een nieuwsbrief te versturen. Dit kan bijvoorbeeld, door een aanvinkvakje te gebruiken op jouw website. Deze mag niet al vooraf aangevinkt zijn. Aan bestaande klanten mag je een digitale nieuwsbrief versturen als de nieuwsbrief aanbiedingen bevat voor soortgelijke producten of diensten die door de klant zijn gekocht bij jouw bedrijf.

    Jurist mr. Lucia: “Onder de AVG moet je ook kunnen aantonen dat je toestemming hebt gekregen om persoonsgegevens te verzamelen, wanneer toestemming de grond is voor de gegevensverwerking. Verzamel dus de bevestiging die gegeven is om de nieuwsbrief te ontvangen (bijvoorbeeld via een dubbele opt-in), zodat je bewijs hebt dat de toestemming is gegeven. Iemand moet zijn toestemming ook weer kunnen intrekken. Zorg altijd voor een duidelijke afmeldlink onderaan elke nieuwsbrief (een opt-out).”

    2. Privacyverklaring
    In eerste instantie hadden wij zelf onze privacyverklaring in elkaar gezet (misschien jij ook?). Toen we in contact kwamen met Spaans&Spaans, kwamen we erachter dat er wel degelijk veel veranderd moest worden, om het helemaal AVG-Proof te maken.

    In de privacyverklaring moeten een aantal punten naar voren komen:

    • De doeleinden en de rechtsgrond van de verwerking
    • Hoe lang je de gegevens die jij verwerkt bewaart
    • Welke rechten de betrokkene heeft, zoals het recht op inzage, correctie en verwijdering

    Jurist mr. Lucia: “De privacyverklaring is echt een heel belangrijk onderdeel van jouw informatieplicht onder de AVG. Het is het moment waarop je de personen wie het betreft uitlegt waarom je zijn of haar gegevens wilt gebruiken, welke gegevens dat precies zijn en wat iemands rechten hieromtrent zijn. De privacyverklaring moet in duidelijke taal zijn opgesteld (het is dus niet de bedoeling dat je allemaal ingewikkelde taal gebruikt). Zie het niet als ‘weer een vervelend juridisch document dat verplicht is’, maar juist als een stukje klantvriendelijkheid: je geeft immers aan dat je de privacy van jouw klanten belangrijk vindt en hierbij de wetgeving in acht neemt! Veel privacyverklaringen die zelf zijn opgesteld, zijn toch niet helemaal in lijn met de wet. Mijn advies is dan ook om ‘AVG-documenten’, zoals de privacyverklaring, het verwerkingsregister en de verwerkersovereenkomst, uit te besteden aan een jurist.”

    3. Cookiebanner (dit kun je helaas niet eten)
    De meeste websites maken gebruik van cookies. Je dient de websitebezoeker te informeren over het plaatsen van deze cookies, bijvoorbeeld via jouw privacyverklaring of een aparte cookieverklaring. Voor sommige cookies moet je vooraf toestemming vragen aan de websitebezoeker, voordat ze geplaatst mogen worden. Deze toestemming verkrijg je bijvoorbeeld via een cookiebanner. Een cookiebanner is vooral belangrijk als je tracking-cookies wilt gebruiken.

    Jurist mr. Lucia: “Een cookiewall is door de Autoriteit Persoonsgegevens verboden. Jouw website mag hier dus geen gebruik van maken. Wat ik verder geregeld zie langskomen, zijn websites die een mooie cookiebanner en cookieverklaring hebben, maar aan ‘de achterkant’ niet goed in elkaar zitten. Het moet namelijk wel zo zijn, dat een website pas ook daadwerkelijk een tracking-cookie plaatst nadat de websitebezoeker hiervoor zijn toestemming heeft gegeven. Websitebouwers zijn zich hier (als het goed is) van bewust en weten precies wat ze moeten doen om het technische gedeelte van het plaatsen van cookies ook te laten voldoen aan de AVG.”

    4. TLS-Certificaat (voorheen SSL)
    Met Transport Layer Security wordt webverkeer versleuteld. Daarom zie je in de URL-balk van een browser ‘https’ staan. Het TLS-Certificaat kun je aanvragen bij jouw hosting.

    Jurist mr. Lucia: “Een TLS-Certificaat is echt een must voor elke website! Dit is een heel belangrijke beveiligingsmaatregel die je dient te nemen, om AVG-Proof te worden. Bovendien is het belangrijk voor de SEO van jouw website: Google geeft websites zonder een beveiligde verbinding ‘strafpunten’, zodat je lager geplaatst wordt door Google. Bovendien: jij klikt als bezoeker van een website toch ook vaak weg wanneer je een melding krijgt dat de website niet beveiligd is?”

    5. Google Analytics
    Veel bedrijven maken gebruik van Google Analytics. Het is onder de AVG niet verboden om Google Analytics te gebruiken, maar je moet wel even op het volgende letten. Door Google Analytics te gebruiken, plaats je op jouw website analytische cookies. Hiermee worden persoonsgegevens verwerkt van jouw websitebezoekers. Hiervoor moet je toestemming vragen aan de websitebezoeker, tenzij je Google Analytics privacyvriendelijk instelt. De Autoriteit Persoonsgegevens heeft een ‘Handleiding privacyvriendelijk instellen Google Analytics’ opgesteld, waarin stap voor stap is opgenomen hoe je Google Analytics privacyvriendelijk instelt. De handleiding vind je hier.

    Heb je een WordPress website? Mail naar idee@ideeendesk.nl en wij checken gratis of jouw website AVG-Proof is!

    Meer info over juridische zaken? Vraag het aan Spaans & Spaans.

    Geef een reactie

    Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *