In 10 stappen je website GDPR ready

Geschreven door , op 12 april 2018, in Webdevelopment, Algemeen

GDPR Stappenplan

Het is zover, sinds 25 mei 2018 is de nieuwe privacywetgeving (genaamd GDPR, of AVG in Nederlandse benaming) van kracht. Is jouw bedrijf al geheel GDPR-proof? In mijn vorige blogartikel “GDPR Wetgeving: De nieuwe privacywet” ging ik in op de algemene zaken van de privacywetgeving met een kleine uitstap naar de impact voor websites. Dit artikel zal dieper ingaan op het GDPR-proof maken van je website.

Stap 1: Updates uitvoeren

Als je website gebruik maakt van een Content Management Systeem (CMS) dan ken je ongetwijfeld de term updates. Bij DoubleWeb maken we gebruik van WordPress. WordPress is het meest gebruikte CMS en dat trekt helaas ook ongewilde aandacht. Regelmatig vinden hackers en andere kwaadwillende een ingang via het systeem of haar plugins. Om deze ingangen te dichten worden updates uitgebracht.

Wettelijk ben je verplicht om er alles aan te doen om een veilige website te hebben. Updates uitvoeren hoort hier dus ook bij! Klanten die bij ons een serviceovereenkomst hebben hoeven zich hier dus niet druk om te maken. Heb je geen serviceovereenkomst zorg dan zelf dat de updates goed bijgehouden worden. Let op: maak altijd een back-up voordat updates worden uitgevoerd!

Stap 2: Opgeslagen data in kaart brengen

De GDPR gaat over de opslag en omgang van persoonsgegevens. Websites zijn voor bedrijven vaak een middel om nieuwe klanten te winnen of verkopen te realiseren. Er zijn verschillende manieren waarop dit gedaan wordt. Denk hierbij aan:

  • Contactformulieren;
  • Nieuwsbrief inschrijvingen;
  • Gebruikersaccounts op webwinkels.

Hoewel er niet altijd ingevulde contactformulieren en nieuwsbriefinschrijvingen in de database van de website worden opgeslagen is dit wel goed om te controleren. Niet alle websites slaan data van de gebruiker op in de database. Doordat elke website anders is door specifieke wensen is er geen algemene manier om dit te controleren. Het is daarom goed om bij je webbouwer na te gaan welke data de website opslaat. Zodra dit in kaart is gebracht kan er bepaald worden of hier actie op ondernomen moet worden.

Bij een webwinkel weet je zeker dat er data opgeslagen wordt, bij iedere bestelling komen de details van de bestelling in het systeem. Bij deze details zitten ook de persoonsgegevens van de persoon.

Waarom data in kaart brengen?

Een klant heeft recht op inzage en recht op verwijdering. Recht op inzage betekent dat een klant mag opvragen welke gegevens je van deze persoon hebt en waarom. Daarnaast heeft de klant recht op verwijdering bij aanvraag. Als een gebruiker aangeeft dat zijn gegevens verwijderd dienen te worden dan moet dit uitgevoerd worden mits de gegevens voor andere verplichtingen nodig zijn. Als je niet weet welke data waar staat dan kunnen deze handelingen ook niet volledig uitgevoerd worden.

Stap 3: Dataminimalisatie

Gebruik de nieuwe wet om kritisch te kijken naar informatie die je opvraagt en opslaat van gebruikers. Gebruik alleen noodzakelijke velden. Dit maakt het verwerken van de data niet alleen makkelijker maar maakt je website ook gebruiksvriendelijker. Denk bijvoorbeeld aan:

  • Voor het verzenden van een nieuwsbrief heb je enkel een e-mailadres nodig. Vraag dan ook alleen om een e-mailadres bij het inschrijfformulier, mits je een geen goede reden hebt om iets anders op te vragen.
  • Adresgegevens zijn van belang bij de bestelling op een webwinkel maar een geboortedatum bijvoorbeeld niet.

Stap 4: Transparant zijn en informatie tonen

Ga bij de website na of het duidelijk is waar informatie voor wordt opgevraagd. Gebruik duidelijke titels waar bezoekers gelijk aan zien wat er van ze verwacht wordt. Denk hierbij aan titels zoals: ‘Solliciteer nu’, ‘Inschrijven voor de nieuwsbrief’ of ‘contact aanvragen’.

Maak aan bezoekers duidelijk met wie ze te maken hebben als ze de website bezoeken. Zet je bedrijfsgegevens onderin de footer van de website of op de contactpagina. Als er via de website ook overeenkomsten afgesloten worden (denk aan bestellingen) dan is het ook wettelijk verplicht om je KvK en BTW nummer op de website te vermelden. Wij raden aan dit altijd toe te voegen om zo transparant mogelijk naar je bezoekers te zijn.

Zorg ervoor dat de website beschikt over algemene voorwaarden, een disclaimer en een privacyverklaring. Zorg dat je privacyverklaring beknopt, duidelijk en in eenvoudige taal is. Een juiste privacyverklaring bevat minstens de volgende onderdelen:

  • Identiteit van het bedrijf;
  • Rechtsgronden voor de verwerking;
  • Reden van opslag gegevens;
  • Duur van opslag;
  • Uitleg over inzage, wijziging en verwijderingsrecht;
  • Klachtbehandeling.

Naast deze punten zijn er nog meer onderdelen die in een privacyverklaring dienen te komen, dit zijn echter vaak website- of bedrijfsspecifieke gevallen.

Stap 5: Gegevens verwerkersovereenkomsten afsluiten

Vaak hebben websites koppelingen met andere systemen. Dit zorgt ervoor dat data van jouw website ook wordt doorgestuurd naar een andere partij. Een andere partij heeft hierdoor gegevens van jouw klanten. Om te voldoen aan de wet dien je gegevens verwerkersovereenkomst met deze partijen af te sluiten.

Stap 6: Google analytics anonimiseren

Google analytics is één van de systemen die in veel websites gekoppeld is. Met Google Analytics wordt bezoekersgedrag inzichtelijk gemaakt. Omdat Google Analytics erg populair is en elke klant van DoubleWeb en DoubleSmart dit gebruikt maken we hier een specifieke stap van. Met Google Analytics heb je de mogelijkheid om bezoekersdata anoniem op te slaan. Hierdoor sla je geen persoonsdata op en hoef je hier dus geen toestemming voor te vragen. Hoe je Google Analytics kan anonimiseren hebben we toegelicht in ons vorige blogartikel over de GDPR wetgeving.

Stap 7: SSL certificaat installeren

Met de nieuwe GDPR wetgeving is ‘privacy by design’ een belangrijk onderdeel. Zoals duidelijk is gaat alles om de manier van omgang met data en volgens de wet moet privacy voorop staan. Dit betekent dat je er ook alles aan moet doen om de privacy te beschermen en een SSL certificaat is hier een goed voorbeeld voor. Met een SSL certificaat wordt via de website verzonden data versleuteld. Een SSL certificaat is te herkennen aan het groene slotje naast je domeinnaam. Heb je die nog niet installeer die dan snel!

Stap 8: Toestemming vragen

In de situatie voor 25 mei 2018 mag je nog bezoekers via de website laten inschrijven voor de nieuwsbrief middels een checkbox die al aangevinkt was. In de situatie na 25 mei mag dit vinkje niet meer standaard aangevinkt staan. Daarnaast kon je als website beheerder er ook voor kiezen om het volgende als checkbox bij een bestelformulier te plaatsen “Ik schrijf mij graag in voor de maandelijkse nieuwsbrief en ontvang graag aanbiedingen”. In de nieuwe situatie is dit niet toegestaan. Een gebruiker moet namelijk per onderdeel toestemming geven. In de nieuwe situatie zal er dus tweemaal toestemming gegeven moeten worden.

Stap 9: Cookies plaatsen, of toch niet?

Enkele jaren geleden kregen we de cookie wetgeving. Uit het niets kwamen de cookiemeldingen en cookiewalls. De wet werd uiteindelijk vrijwel niet gehandhaafd waardoor veel websitebeheerders het risico namen en geen cookie- melding of wall installeerde. Tot op heden geen probleem maar hier gaat met de GDPR-wetgeving verandering in komen. Voordat ik hier verder op in ga wil ik eerst even kort de drie verschillende soorten cookies toelichten:

  • Functionele cookie
    • Een cookie die nodig is om de website te laten werken. Bijvoorbeeld: een cookie met producten in je winkelmandje.
  • Analytische cookie
    • Deze cookies worden gebruikt om het gedrag van de bezoeker te meten. Dit wordt vaak gedaan met Google Analytics.
  • Tracking cookie
    • Cookies die het surfgedrag van één of meerdere website opslaan. Dit wordt vaak gebruikt om gepersonaliseerde marketing toe te passen.

Voor functionele cookies hoeft nooit toestemming gevraagd te worden. Voor analytische cookies is het afhankelijk of er persoonsgegevens opgeslagen worden. Als Google Analytics geanonimiseerd is zoals omschreven in stap 6 dan worden er geen persoonsgegevens opgeslagen en hoeft er ook geen toestemming gevraagd te worden. Voor tracking cookies zal altijd toestemming gevraagd moeten worden aan de bezoeker. Zonder toestemming mogen deze cookies niet geplaatst worden. Wil je dit dus toepassen op je website dan kun je dit middels een cookiemelding vragen.

Let er wel op dat je duidelijk bent en mensen ook niet afschrikt. Als de volgende vraag staat bij een cookiemelding: “We plaatsen een cookie om je gedrag op elke website te monitoren” dan zal er geen toestemming gegeven. Verwoord je dit op een andere manier zoals: “We plaatsen een cookie om je gerichte advertenties te tonen die aansluiten bij jouw interesses” dan is de kans al groter dat de bezoeker dit accepteert.

Stap 10: Juridische controle

Dit blogartikel is geschreven vanuit onze interpretatie van de wet en de informatie die we opgedaan hebben door verschillende kennissessies bijgewoond te hebben. Naast de website dient het gehele bedrijf GDPR-ready te zijn. Wij raden sterk aan om hierover te informeren bij een jurist om zeker van je zaak te zijn. Het belangrijkste is dat je kan aantonen dat “je er alles aangedaan hebt” om GDPR ready te zijn. Het laten controleren door een jurist zorgt hiervoor.

Veel website beheerders en eigenaren zullen deze nieuwe wet zien als een last, wat in sommige gevallen ook zeker zo kan zijn. Probeer er echter een draai aan te geven en de wet als iets positiefs te zien. Het internet zal een stuk duidelijker zijn als iedereen de wet hanteert. Biedt dan ook zoveel mogelijk duidelijkheid en transparantie waar mogelijk om zo gebruikers voor jou product of dienst te winnen via jouw website. Als dit niet gebeurd dan zullen bezoekers al snel voor een andere partij kiezen die dit wel doet.

Advies of hulp nodig met het GDPR-proof maken van jouw WordPress website? Of vragen naar aanleiding van dit artikel? Neem dan gerust contact met ons op.

Nog vragen aan de hand van dit artikel? Neem dan contact met ons op! Contact