Met de deadline van de AVG / GDPR wetgeving in zicht hoor je hier nu van alle kanten berichten over. Voor wie het nog niet weet, dit is de wet m.b.t. het verwerken van persoonsgegevens die vanaf 25 mei 2018 ingaat. Dat veel dingen nog onduidelijk zijn blijkt wel uit het aantal vragen dat ik van klanten binnenkrijg.
Ik wil je daarom graag een praktische checklist geven om in ieder geval je website en online marketing op orde te krijgen voor deze wet. Ik ga zelf echter niet in op het complete juridische gedeelte en de werkzaamheden die je verder binnen je bedrijf moet doen aangezien ik geen jurist ben (en totaal niet van juridisch geneuzel in de marge hou). Maar onderaan dit blog staan wel diverse links met meer algemene info over deze wet.
Veel van deze wetgeving klinkt allemaal moeilijk en ingewikkeld, maar het is op zich goed dat de wet wordt aangepast. Zeker als je bedenkt wat voor data-giganten er inmiddels zijn en wat die allemaal maar ongebreideld van je verzamelen en opslaan. Hier komen strengere regels voor en dat is ook nodig wat mij betreft. Het lastige van de wet is dat er niet echt een heldere handleiding is hoe je hieraan kunt voldoen, het is namelijk ook voor iedere organisatie weer anders welke data ze verwerken en hoe ze daar mee omgaan.
Een van de belangrijkste dingen die je moet realiseren is dat jij verantwoordelijk bent voor de persoonsgegevens die mensen je toevertrouwen. Zorg dus dat je daar zorgvuldig mee omgaat. Ik hanteer hiervoor zelf 4 simpele regels;
- Vraag en bewaar alleen dat wat strikt noodzakelijk is
- Zorg dat gegevens beveiligd verzonden kunnen worden
- Zorg dat gegevens veilig opgeslagen worden
- Zorg voor toestemming dat je de gegevens mag gebruiken
Download de checklist in PDF om alle stappen zelf af te kunnen vinken.
Contactformulieren
Vraag niet naar gegevens die niet strict noodzakelijk zijn voor het doel. Vraag je bijvoorbeeld om een geboortedatum in je contactformulier, heb je die wel echt nodig? Je kunt er wel om vragen zodat ze op vrijwillige basis gedeeld worden maar dan moet je aangeven waarvoor je deze gegevens nodig hebt en gebruikt.
Contactformulieren: bewaren van gegevens
In het algemeen is het verstandig om klantgegevens zo kort mogelijk te bewaren, dan loop je ook minder risico op diefstal of fraude hiermee. Hoe lang is het relevant en heb je het nodig voor de uitoefening van je werk?
Bedenk dat sommige plugins zoals contactformulieren de inzendingen niet alleen naar je mailen, maar ook binnen je website bewaren. Je kunt bijvoorbeeld besluiten om de inzendingen max. 6 maanden te bewaren en periodiek de berichten ouder dan 6 maanden te verwijderen (zet dit in je agenda!). In sommige plugin instellingen kun je het bewaren van inzendingen binnen je website ook helemaal uitschakelen. Dat is natuurlijk ook een optie als je het niet nodig vind om iets te bewaren.
Hieronder een overzichtje van gegevens die bewaard zouden kunnen worden:
- inzendingen van contactformulieren
(bij Gravity Forms vind je die onder het kopje Formulieren > Inzendingen. Bij Contact Form 7 kan de plugin Flamingo gebruikt worden om gegevens op te slaan. Andere plugins hebben mogelijk soortgelijke functies, check de handleiding van die plugins zelf even) - een chatdienst op je website
- bestellingen die via je webshop zijn binnengekomen
- Andere inzendingen zoals ingevulde quizzes, etc.
Wil je de gegevens bewaren dan zul je moeten onderbouwen waarom je dit doet en hoe je ze zo veel mogelijk beschermd tegen diefstal en fraude.
SSL certificaat
Ik heb het hier al eerder over gehad in een blog (meer info over het SSL certificaat). Heb je nu nog geen SSL certificaat maar wel een contactformulier op je website of een webshop? Dan wordt het nu echt tijd om het alsnog te implementeren.
Zo’n SSL certificaat zorgt namelijk voor een beveiligde verbinding voor het versturen van gegevens via je website. Waarom is dit belangrijk i.v.m. de nieuwe wet? Als je gegevens onbeveiligd laat versturen via je website kun je een datalek veroorzaken. Ongewenste indringers kunnen dan namelijk ‘meeluisteren’ met de gegevens die iemand via een formulier of je webshop naar jou doorstuurt.
Gebruik je een SSL certificaat dan kun je aantonen dat je er in ieder geval alles aan gedaan hebt om dit versturen zo veilig mogelijk te laten verlopen. Het geeft je bezoekers sowieso een veiliger gevoel met zo’n slotje in de browser i.p.v. een melding dat de website niet veilig is (wat binnenkort steeds prominenter in beeld zal komen).
Cookies
Cookies zijn die handige kleine bestandjes die dingen voor je kunnen bewaren. Handig als je een winkelmandje in een webshop wilt vullen met jouw artikelen, ook handig om je instellingen van die website te bewaren. Soms worden cookies echter ook geplaatst om je te volgen, denk bijvoorbeeld aan de Facebook Pixel, een zogenoemde ’tracking-cookie’.
Met deze nieuwe wetgeving mag dat laatste niet meer zonder toestemming (eigenlijk mag het al een paar jaar niet meer, die wet was al eerder doorgevoerd). Je hebt daarom een cookie melding of cookie wall nodig waardoor de tracking-cookies pas geplaatst worden na goedkeuring.
Voor functionele cookies zoals het winkelmandje, en bijvoorbeeld Google Analytics die je alleen zelf gebruikt, heb je de toestemming niet nodig. Meer over Google Analytics lees je onder dat betreffende kopje in dit blog.
Ga dus na welke cookies jouw website plaatst en plaats de tracking cookies achter een cookie melding of wall. Voorbeelden van cookie tools die je hiervoor kunt gebruiken zijn:
- Cookie Notice by dFactory – Eenvoudige WordPress plugin die makkelijk in te stellen is
- EU Cookie Law – Eenvoudige WordPress plugin die makkelijk in te stellen is
- ConsentCookie – Tooltje om code te maken waarmee mensen per cookie aan kunnen geven of ze deze toestaan of niet
- Cookieconsent by Insites – Gratis open-source tool om toestemming te regelen, iets ingewikkelder in te stellen als je cookies uit wilt kunnen sluiten
- Cookiebot – Geavanceerde plugin gratis te gebruiken voor 1 domein
- Cookieinfo.net – Scant je website op cookies die je gebruikt. Gratis tot < 100 pagina’s op je website, daarna betaald abonnement.
Weet je niet of je site cookies plaatst? Kijk dan eens bij de Cookiechecker website.
Google Analytics
Google Analytics mag je nog wel gebruiken, maar let wel even op hoe je dit doet. Als je bijvoorbeeld gebruik maakt van remarketing functies (waardoor mensen jouw advertenties zien nadat ze op je site zijn geweest) moet je wel toestemming hebben voordat je deze cookie laat plaatsen. Je hebt hiervoor een cookie plugin nodig, zie het kopje over Cookies.
Je kunt Google Analytics echter ook gebruiken zonder dat het te herleiden is naar personen, en zonder dat het gedeeld wordt met Google e.d. Dan hoef je voor deze cookie geen toestemming te vragen omdat het dan een functionele cookie is. Hieronder lees je hoe je dat instelt.
Anonimiseren IP adres
Een van de dingen die je kunt doen is het IP adres laten anonimiseren. Gebruik je een Google Analytics plugin, dan kun je dit vaak met één vinkje regelen. Zie hieronder bijvoorbeeld de instelling bij de Insights plugin. De remarketing moet uitgevinkt zijn en het Anonymize IP addresses moet juist aangevinkt zijn:
Google Analytics instelling
In Google Analytics kun je wat zaken instellen over het delen van gegevens. Als je naar het Beheerdergedeelte gaat (linksonderin te vinden) klik je vervolgens op Accountinstellingen. Daar vind je onderstaand overzicht, hier kun je alles uitvinken zodat je gegevens niet gedeeld worden met derden en Google zelf.
Privacyverklaring en cookiestatement
Met een privacyverklaring op je website kun je aan je bezoekers duidelijk maken hoe jij met hun gegevens omgaat. Hier kun je ook een cookie-statement in opnemen waarin je beschrijft welke cookies je plaatst en waarom.
Je kunt een privacy- en cookieverklaring opstellen via bijvoorbeeld deze website(s):
- Veiliginternetten privacyverklaring generator
- ICTRecht (voor € 45,- ex BTW)
- iubenda (internationale website voor het opstellen van een privacyverklaring)
Deze verklaring plaats je vervolgens op een pagina binnen je website. Je kunt hier een link naar maken vanuit je footer, dat is het meest gebruikelijk. Sommige thema’s hebben een footer menu, en anders kun je de link in een widget toevoegen.
Nieuwsbrief
Je moet aan kunnen tonen dat je toestemming hebt om degene die je mailt jouw nieuwsbrief toe te sturen. Die toestemming kun je bijvoorbeeld in het verleden al gekregen hebben wanneer je al met dubbele opt-in werkte (daarmee moeten mensen hun mailadres bevestigen nadat ze zich aanmelden).
Werkte je tot nu toe zonder dubbele opt-in maar wil je wel graag je mailinglijst bestand blijven gebruiken? Als je helemaal veilig wilt zijn doe je er goed aan om voor 25 mei nog eens te mailen met daarin het verzoek om opnieuw aan te melden om de nieuwsbrief te blijven ontvangen (en daar gebruik je dan natuurlijk wel de dubbele opt-in voor). Van iedereen die dat doet heb je een bevestiging en de oude lijst kun je daarna weggooien. Natuurlijk zul je abonnees kwijtraken op deze manier, maar de waarde van je bestand is ook gelijk groter, je hebt alleen nog echt geïnteresseerde mensen op je lijst!
Vind je bovenstaande te rigoureus? Stuur dan in ieder geval een bericht waarin je expliciet meldt dat mensen hun gegevens aan kunnen passen en zich uit kunnen schrijven als ze je mails niet meer willen ontvangen, dat voorkomt klachten na 25 mei. Mensen moeten zich sowieso altijd makkelijk uit kunnen schrijven van je nieuwsbrief, zorg dus dat de uitschrijflink altijd aanwezig is onderaan je mailings.
Mailinglist providers zijn uiteraard ook bezig om aan de regels te voldoen. Zo heeft Mailchimp een aantal aanpassingen doorgevoerd om AVG proof te zijn. Je kunt bij je mailinglist een instelling wijzigen door binnen je lijst naar Settings > List name & defaults te gaan. Daar kun je de dubbele opt-in en de GDPR velden aanvinken. Zie de handleiding van Mailchimp zelf voor meer info, deze bevat ook goede tips hoe je hiermee om kunt gaan. Ook ActiveCampaign heeft een artikel over de GDPR / AVG op hun website staan.
Doeleinde van mailing
Verder moet je opletten op het doel waarmee iemand het mailadres aanmeldt. Is dat alleen voor een gratis e-book en vermeld je daar niet bij dat je ook een nieuwsbrief gaat sturen? Dan mag je die mailadressen niet zomaar gebruiken voor je nieuwsbrief. Zorg dus dat je erbij vermeldt dat je ook een nieuwsbrief zal gaan sturen.
Datzelfde geldt voor je nieuwsbrief over een bepaald onderwerp, je mag naar dat adressenbestand niet ineens dingen gaan mailen over een heel ander onderwerp.
Verder mag je bij bestellingen en contactformulieren natuurlijk een aanvinkmogelijkheid voor de nieuwsbrief aanbieden. Alleen mag deze niet vooraf aangevinkt zijn. Mensen moeten deze echt zelf aanvinken. Hiermee verkrijg je ook officieel toestemming om voor dat doeleinde te mailen.
Download de checklist in PDF om alle stappen zelf af te kunnen vinken.
Ik hoop dat ik je hiermee in ieder geval een eind op weg geholpen heb! Heb je nog vragen of twijfels, stel ze gerust hieronder bij de reacties, of neem contact op met een jurist. Aanvullingen en extra info zijn uiteraard ook van harte welkom!
Wil je meer lezen over de AVG wetgeving? Kijk dan hier;
- Blogs van Charlotte’s Law over de AVG – aanrader omdat zij alles duidelijk uitlegt!
- Algemene informatie AVG door Autoriteit Persoonsgegevens – officiële website van de Autoriteit Persoonsgegevens
- Regelhulp stappenplan door RVO – officiële website van de Rijksoverheid
- De nieuwe AVG wet in een notendop door IMU – duidelijke uitleg door de Internet Marketing University
Let op: aan dit artikel kunnen geen rechten worden ontleend aangezien ik geen jurist ben. Ik probeer alleen wat overzicht aan te brengen in het woud van regeltjes i.v.m. de AVG wetgeving. Zodra ik nieuwe info heb probeer ik het artikel ook z.s.m. aan te vullen.