GDPR Wetgeving: De nieuwe privacywet

Geschreven door , op 5 december 2017, in Nieuws

GDPR wetgeving

General Data Protection Regulation (GDPR) ook wel bekend als Algemene Verordening Gegevensbescherming (AVG) is een wet over de verwerking van persoonsgegevens. De nieuwe wet heeft grote impact op hoe bedrijven om moeten gaan met persoonsgegevens van klanten. De nieuwe wet is sinds 25 mei 2018 van kracht in Nederland en andere Europese landen. Ben je hier al van op de hoogte en is je bedrijf al klaar voor de nieuwe wet? In dit artikel licht ik de wet en veranderingen nader toe en laat ik zien welke invloed dit heeft op het beheren van een website en de marketinguitingen.

Waarom de GDPR?

De digitale wereld verandert snel. Dit betekent dat de wetgeving mee moet veranderen. Waar voorheen Wet Bescherming Persoonsgegevens (WBP) ons sinds 1999 tegen misbruik van persoonsgegevens beschermt, gaat de GDPR deze taak overnemen. Door de GDPR moeten bedrijven nog inzichtelijker maken wat ze met persoonsgegevens doen en hebben ze specifieke toestemming nodig om de gegevens te gebruiken.

De belangrijkste veranderingen

Als je persoonsgegevens wilt gebruiken/verwerken is toestemming nodig. Het moet in duidelijk en begrijpelijke taal staan en de gebruiker moet een actie verrichten om toestemming te geven. Dit betekent bijvoorbeeld dat op websites vinkjes die betrekking hebben op persoonsgegevens niet standaard aan mogen staan.

Met ‘persoonsgegevens’ wordt alle data gerelateerd aan een gebruiker bedoeld. Dus niet alleen een naam en geodata maar alles waarmee een gebruiker uit een groep gehaald kan worden. Denk bij WordPress bijvoorbeeld aan de gebruikersnaam of gebruikers ID van een bepaald persoon. Maar ook een IP-adres dat via Google Analytics wordt opgeslagen.

Eenmaal in het bezit van de persoonsgegevens, na toestemming gehad te hebben, zitten er ook strenge regels vast aan de omgang met deze gegevens. De gegevens mogen alleen gebruikt worden voor hetgeen waar toestemming voor verleend is en enkel noodzakelijke gegevens mogen worden verwerkt. Zijn er bepaalde gegevens niet nodig? Dan mogen deze ook niet verwerkt worden is het bedrijf verplicht deze te verwijderen.

De gebruikers van je website of de klanten van je bedrijf krijgen met de GDPR meer rechten om het gebruik van hun gegevens tegen te gaan. De gebruikers hebben het recht om vergeten te worden. Concreet betekent dit dat elke gebruiker recht heeft het volledig wissen van zijn of haar persoonsgegevens.

Wat moet je volgens GDPR aan kunnen tonen?

Als bedrijf ben je verplicht aan te kunnen tonen dat je voldoet aan alle regelgevingen van de GDPR. Dit betekent dat je de volgende onderdelen moet kunnen aantonen:

  • Waar de gebruiker toestemming voor heeft gegeven;
  • Hoe de gebruiker toestemming heeft gegeven;
  • De informatie die door de gebruiker verschaft is;
  • De beveiliging van de gegevens moet aangetoond kunnen worden;
  • Dat alleen benodigde gegevens verwerkt worden;
  • Hoe de persoonsgegevens verwerkt worden;
  • Afspraken met bewerkers (partijen die persoonsgegevens voor jou verwerken).

Overtreding van de GDPR wet wil je voorkomen aangezien de boete op kan lopen tot 20 miljoen euro of 4% van de wereldwijde omzet.

Website data in combinatie met de GDPR

De GDPR is veel meer dan alleen de data verzameling op een website. Omdat we als webdevelopers vooral te maken hebben met de verzameling van data op een website zal ik hier alleen ingaan op de aspecten die gerelateerd zijn aan websites.

Nieuwsbrieven

Nieuwsbrieven beginnen vaak met inschrijvingen via de website. Hoewel er al wel specifieke regels waren over het gebruik van e-mailadressen voor nieuwsbrieven wordt dit met de GDPR nog verder aangescherpt. De volgende onderdelen staan hierover vermeld:

  • De e-mail aanmelding, ook wel opt-in genoemd, voor nieuwsbrieven moet duidelijk en bevestigend zijn.
  • De opt-in voor e-mail mag geen voorwaarde zijn en mag tevens ook niet samengaan met bijvoorbeeld het akkoord gaan met de algemene voorwaarden.
  • De e-mail opt-in mag niet vooraf aangevinkt zijn.
  • Alle opt-ins moeten aangetoond kunnen worden (waarvoor is toestemming gegeven, wanneer en door wie?).
  • Als de e-mail voor meerdere doelen gebruikt wordt dan dient dit met losse opt-ins te gebeuren. Voorbeeld: een klant meld zich aan voor de nieuwsbrief maar het e-mailadres wil je ook gebruiken voor retargeting via Facebook. Hier zijn dan twee unieke opt-ins voor nodig.
  • Er moet ten allen tijden duidelijk zijn hoe er uitgeschreven kan worden.
  • Uitzondering: Soft opt-in is toegestaan om klanten informatie te sturen over de dienstverlening of gerelateerde producten mits er een duidelijke mogelijkheid is om uit te schrijven.

Analytische data

Tools om het gedrag van websitebezoekers te meten maken intensief gebruik van data. De cookiewet die in 2012 verplicht werd had al als doel om deze gebruikersdata beter te beschermen, maar er werd niet op gehandhaafd waarna in 2015 de wetgeving werd versoepeld. Met de nieuwe GDPR wet worden de regels voor analytische tools weer aangescherpt. Om te voldoen aan de wetgeving is het belangrijk om de volgende stappen te nemen bij Google Analytics en Hotjar.

Google Analytics

Google Analytics bouwt data op aan de hand van IP-adressen. Met aanvullende informatie zijn deze IP-adressen te herleiden naar fysieke adressen en dus naar personen. In de GDPR wet wordt dit gezien als pseudo anonieme data waar de gebruiker expliciet toegang voor moet geven. Omdat een proactieve goedkeuring van bezoekers niet bepaald bevorderend werkt voor de conversie is het belangrijk om de data anoniem te maken. Dit kan in Google Analytics door de volgende stappen te nemen:

  1. Bewerkersovereenkomst met Google afsluiten
    Omdat Google de data van het gedrag van je bezoekers beheert, moet er een bewerkersovereenkomst afgesloten worden. In Google kan dat door naar ‘Accountinstellingen’ te gaan en dan te klikken op ‘Amendement gegevensverwerking’.
  2. Anoniem maken van de IP-adressen
    Google biedt de mogelijkheid om IP-adressen te anonimiseren. Dit kan door in het script van Google een aanpassing te doen. De een na laatste en dikgedrukte regel in het stuk code hieronder is de toevoeging die gedaan moet worden:

    <script async src="https://www.googletagmanager.com/gtag/js?id=GA_TRACKING_ID"></script>
    <script>
        window.dataLayer = window.dataLayer || [];
        function gtag(){dataLayer.push(arguments)};
        gtag('js', new Date());
        gtag('config', 'GA_TRACKING_ID', { 'anonymize_ip': true });
    </script>
    
  3. Gegevens delen met Google uitzetten
    Door in Google Analytics aan te geven dat zij je data niet mogen inzien, heb alleen jij toegang tot de gegevens. Dit kan door naar ‘Accountinstellingen’ te gaan en op die pagina alle vinkjes uit te zetten.
  4. De bezoeker informeren dat je Google Analytics gebruik
    Vermeld op de website dat je 1) Google Analytics cookies gebruikt dat je 2) deze gegevens niet deelt met Google, dat 3) deze cookies niet gebruikt worden voor andere Google-diensten en dat 4) je een gebruikersovereenkomst hebt afgesloten met Google. Bovendien moet de bezoeker het cookiegebruik kunnen weigeren.

Hotjar

Een andere populaire tool is Hotjar. Hierbij kunnen sessies van gebruikers opgenomen worden. Hier wordt ook gebruik gemaakt van registratie via het IP-adres. Hotjar heeft zelf al veel acties ondernomen om GPDR-proof te zijn. Op de website van Hotjar wordt inzicht gegeven in de voortgang van de werkzaamheden. Als gebruiker van Hotjar moet je overigens nog steeds duidelijk communiceren dat je gebruik maakt van de gebruikersdata en moet je net als bij Google Analytics een bewerkersovereenkomst met Google afsluiten.

Tracking cookies

Met behulp van tracking cookies voeren online marketeers veel marketingcampagnes uit. Denk bijvoorbeeld aan remarketing campagnes waar bezoekers van je website opnieuw worden benaderd. Gebruikers moeten hier per 25 mei 2018 expliciet toegang voor geven. Wanneer de bezoekers de cookies niet accepteren, dan moet er nog steeds een volledig functionerende website verschijnen. Bovendien moeten de gebruikers van de website ten alle tijden de mogelijkheid hebben om de tracking cookies uit te schakelen.

Cookiemelding

Met de GDPR voor de deur lijkt de cookiemelding dus weer op iedere website terug te komen. Als website eigenaar ben je volgens de GDPR namelijk verplicht om te vermelden welke data je opslaat en welke doelen je daarmee hebt. Tot het moment dat bezoekers de cookies accepteren moeten de cookies geblokkeerd zijn. Bovendien moet de bezoeker op ieder mogelijk moment de cookies uit kunnen schakelen. Waar de cookiemelding nu vaak nog verdwijnt als je op ‘accepteren’ hebt geklikt, zal de pagina met privacybeleid vanaf 25 mei 2018 via iedere pagina bereikbaar moeten zijn. Bovendien moet de website ook blijven functioneren als de gebruiker de cookies weigert.

Dit artikel bevat lang niet alle informatie over de nieuwe GDPR wet en bevat enkel een beknopte samenvatting van de volledige wetteksten.Wij zijn als webbouwer op de hoogte van de ontwikkelingen maar zijn geen juridisch specialist op dit vlak daarom raden wij elk bedrijf aan zelf goed onderzoek te doen naar de impact voor jouw bedrijf of hier iemand voor in te huren. Wil je meer informatie hebben over je website GDPR ready maken lees dan ons blogbericht “In 10 stappen je website GDPR ready“. Wil je ons een vraag stellen over de inhoud van dit artikel? Neem gerust contact op!

Nog vragen aan de hand van dit artikel? Neem dan contact met ons op! Contact