De consumentenbond onderzocht vorige week 150 populaire Nederlandse websites: wat bleek? Slechts 31% voldoet aan AVG! Daarnaast waarschuwt de Autoriteit Persoonsgegevens (AP) dat er valse keurmerken in omloop zijn. In dit artikel geven we je een handige checklist om te controleren of je website al AVG / GDPR proof is!
Wat is de AVG ook al weer?
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht, internationaal wordt die General Data Protection Regulation (GDPR) genoemd. Het is een vervolg op de Nederlandse Wet bescherming persoonsgegevens (Wbp), die geldt sinds die datum dan ook niet meer. De wet heeft betrekking op de gegevensverwerking van de gehele organisatie, zowel intern als extern moet een bedrijf voldoen aan de AVG. De Autoriteit Persoonsgegevens (AP) is de toezichthouder wanneer er een Nederlandse hoofdvestiging is van het bedrijf.
Valse AVG-keurmerken in omloop
Er wordt inmiddels gewaarschuwd door de Autoriteit Persoonsgegevens (AP) dat er verschillende bedrijven actief zijn die een keurmerk kunnen afgeven. Er zijn echter tot op heden geen bedrijven waarmee er wordt samengewerkt die een keurmerk af kunnen geven. In de toekomst is het wel de bedoeling dat er certificaten aangevraagd kunnen worden maar op dit moment zijn er in Nederland helaas nog geen instellingen goedgekeurd om dat te kunnen doen.
Check met deze checklist of je website AVG/GDPR proof is!
Het gehele bedrijf moet voldoen aan de nieuwe AVG wetgeving maar heb je de website daarbij ook voldoende meegenomen? Belangrijke dingen die gedaan moeten worden om een website AVG-proof te krijgen zijn:
- Versleutel de website met HTTPS. Zeker wanneer uw website persoonsgegevens verstuurd over het internet moet de website beschikken over een SSL-certificaat, te herkennen aan https voor de domeinnaam. Zo worden gegevens versleuteld verstuurt over het internet en kunnen anderen de gegevens niet onderscheppen
- Cookies. Bezoekers moeten de mogelijkheid krijgen om cookies wel of niet te accepteren. Als de bezoekers de cookies niet wensen te accepteren moeten zij toch op een werkende website terecht kunnen. In 2019 komt er mogelijk nog een e-privacyverordening die hier weer verder op ingaat.
- Privacy & cookie beleid. Een privacy & cookiebeleid had je waarschijnlijk al op je website staan sinds de Cookiewet in 2015 maar nu moet hij worden uitgebreid met meer informatie. Zoals welke gegevens je op slaat en waar . Veiliginternetten.nl heeft een handige privacyverklaring generator gemaakt die je makkelijk als startpunt kunt gebruiken, of wij kunnen je adviseren over de je beleid.
- Google Analytics. In Google Analytics worden ook allerlei gegevens gedeeld. Belangrijk dus om al het delen van de gegevens met Google uit te zetten en daarnaast het IP adres te anonimiseren. Daarnaast moet je ook de bewerkingsovereenkomst accepteren met Google, die hebben ze al voor je klaargezet in je account. Op Frankwatching staat een handig stappenplan!
- (Contact) formulieren. Zodra je gebruik maakt van formulieren moet je aangeven wat je met die gegevens doet, en je moet je daar dan ook aan houden. Geeft iemand zich op voor een nieuwsbrief? Dan mag je ze niet bellen met een aanbieding bijvoorbeeld. Tenzij ze daar expliciet toestemming voor hebben gegeven natuurlijk.
- Verwerkingsovereenkomst. Werk je samen met bedrijven die persoonsgegevens van je klanten / medewerkers verwerken? Van hun heb je een verwerkingsovereenkomst nodig.
Wij hebben de afgelopen weken onze klanten geïnformeerd en ondersteund met het AVG-proof maken van de websites. Zelf nog vragen over de AVG i.c.m je website? Dan horen we dat graag!