Bent u klaar voor de nieuwe privacywet GDPR / AVG?

tvdw wk19 2018 GPDR AVG.png

Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) (Europese privacywet) in werking. De privacywet, ofwel GDPR (General Data Protection Regulation), heeft als doel om mensen meer controle te geven over hun persoonsgegevens. De kans is groot dat u als bedrijf werkt met persoonsgegevens en dat de nieuwe wetgeving ook op uw bedrijf van toepassing is.

1. Google Analytics

Om het gedrag van de bezoekers op uw website te meten gebruiken we Google Analytics. Google Analytics staat niet standaard op een privacy vriendelijke instelling. Om Analytics privacy vriendelijk te maken moeten er 4 stappen worden doorlopen. Niet al deze acties kunnen wij voor u doen, bekijk dus goed wat u zelf moet doen.

A. Verwerkersovereenkomst aangaan
Op grond van artikel 14 van de Wbp dient u als verantwoordelijke een bewerkersovereenkomst te sluiten met Google. Hierin is vastgelegd dat Google alleen als bewerker optreedt bij de verwerking van de persoonsgegevens van uw websitebezoekers. U kunt deze overeenkomst aangaan via het instellingenmenu van Google Analytics.

Als u zelf of een andere partij dan Exxtra en/of Marathon uw Analytics account heeft opgezet, dan dient u zelf de overeenkomst aan te gaan. In de overige gevallen doen wij dit voor u.

B. IP adressen anonimiseren
Google Analytics verzamelt gegevens over bezoekers van uw website, zo ook IP adressen. Het College Bescherming Persoonsgegevens (CBP) adviseert om IP adressen te anonimiseren door het laatste octet te verwijderen. Hierdoor is het IP adres niet meer te herleiden tot een persoon. Het anonimiseren gaat middels het toevoegen van een stuk code op uw website. Wilt u de IP adressen die via uw website worden verzameld anonimiseren, dan kunt u contact met ons opnemen.

C. Gegevens delen met Google uitzetten
In de standaardinstellingen van Google Analytics is alles wat betreft het delen van gegevens met Google ingeschakeld. Als u de standaardinstellingen niet wijzigt, gaat u akkoord met het feit dat Google de verzamelde persoonsgegevens van uw bezoekers voor eigen doeleinden gebruikt.

Als u zelf of een andere partij dan Exxtra en/of Marathon uw Analytics account heeft opgezet, dan dient u zelf de standaardinstellingen te wijzigen. In de overige gevallen doen wij dit voor u.

D. Informeer uw bezoekers
Om te voldoen aan de nieuwe privacywet moet u bezoekers van uw website informeren over het gebruik van Analytics, dit kan middels een privacyverklaring. U bent zelf verantwoordelijk voor het opstellen van een privacyverklaring. Het plaatsen op uw website kan Exxtra voor u verzorgen.

Heeft u hier vragen over? Neem contact met ons op.

 Voorbeeld 1 cookiemelding op de site van Exxtra

Voorbeeld 1 cookiemelding op de site van Exxtra

2. Cookiemelding

Bijna iedere website maakt gebruik van cookies, net als wij dat doen (zie het plaatje hierboven). Cookies zijn kleine bestanden die de aanbieder van een website op de apparatuur van een bezoeker plaatst, bijvoorbeeld op een computer, telefoon of tablet. Met cookies kan informatie over het websitebezoek of over (het apparaat van) de gebruiker worden verzameld of opgeslagen.

Het College Bescherming Persoonsgegevens (CBP) categoriseert alle cookies in 2 hoofdcategorieën, namelijk: functionele en niet-functionele cookies (marketing/tracking). Om te voldoen aan de cookiewet dient u de volgende regel in gedachten te houden:

functionele cookies = geen toestemming nodig
niet-functionele cookies = wel toestemming nodig

Heeft u cookies op uw website waarvoor u wel toestemming nodig heeft (marketing/tracking cookies), dan moet u gebruik gaan maken van een cookiemelding. Afhankelijk van de cookies die u plaatst kunnen we voor u een cookiemelding installeren. Plaatst u niet-functionele cookies en wilt u een cookiemelding laten installeren?

Met CookieBot, maakt u het gebruik van cookies en online tracking, GPDR / AVG klaar!  Deze online tool scant uw website periodiek op cookies, welke vervolgens weer worden vermeld op de pricacy pagina. CookieBot biedt tevens standaardteksten aan, maar deze kunnen ook worden gepersonaliseerd. Na activatie verschijnt er een cookiemelding op uw site welke aangeeft wat de cookie doet en hoe lang deze bewaard wordt. Uw bezoekers kunnen zelf kiezen met welke cookies zij dan akkoord gaan. Tot 100 pagina’s is deze tool gratis daarna betaal je:

€9,- excl. btw per maand, tot 500 pagina's
€21,- excl. btw per maand, tot 5000 pagina's
€37,- excl. btw per maand, vanaf 5000 pagina's

Neem contact met ons op voor de mogelijkheden.

 Voorbeeld 2 cookiemelding, waarbij alles is aangevinkt

Voorbeeld 2 cookiemelding, waarbij alles is aangevinkt

3. Privacyverklaring

Zoals al eerder aangegeven is het belangrijk dat u transparant bent over uw privacy beleid richting uw bezoekers. Het is daarom verstandig om een privacyverklaring op te stellen met hierin de gegevens die u verzamelt en alle technische en organisatorische maatregelen die u neemt om de privacy van uw bezoekers te waarborgen. Deze verklaring plaatst u vervolgens op uw website.

4. Rechtsgrond verwerken persoonsgegevens

Wanneer u persoonsgegevens verzamelt via uw website moet hier een rechtsgrond voor zijn. Een rechtsgrond is een "geldige reden" voor het verzamelen en verwerken van persoonsgegevens. Een voorbeeld van een rechtsgrond kan zijn dat een persoon u toestemming heeft gegeven of dat u de gegevens nodig heeft voor het uitvoeren van een overeenkomst. Rechtsgrond geldt voor een bepaalde set gegevens. Dit houdt in dat u niet meer gegevens mag verzamelen dan strikt noodzakelijk voor één beoogd doel. Heeft u bijvoorbeeld een webshop dan heeft u het mailadres van uw klant nodig om de orderbevestiging te sturen. Dit is het doel van het vragen van het mailadres. U mag dan niet vervolgens, zonder toestemming te vragen, dit mailadres gebruiken om uw nieuwsbrief of aanbiedingen te sturen. Dit is slechts een voorbeeld. Bekijk hier alle 6 de grondslagen.

Meestal vraagt u niet meer gegevens dan noodzakelijk maar u moet dit wel controleren aangezien u de verantwoordelijke bent. Maak voor uw bedrijf inzichtelijk welke gegevens u verzamelt en met welk doel. Als u meer gegevens verzamelt dan strikt noodzakelijk moet u aanpassingen doorvoeren.

5. SSL certificaat (beveiliging website)

Op een aantal websites ontbreekt nog een SSL certificaat. Vanaf 25 mei 2018 is het, volgens de nieuwe privacywetgeving, verplicht om een SSL certificaat te hebben wanneer er met persoonsgegevens gewerkt wordt. Een website met SSL certificaat / HTTPS verbinding is beveiligd waardoor gegevens versleuteld verstuurd worden. Sommige browsers staan al erg strak ingesteld waarbij aangegeven wordt dat een site geen certificaat heeft en er zelfs een waarschuwing in beeld komt dat de site niet veilig is. Het is dus zaak om een certificaat te laten installeren, u krijgt dan net als bij internetbankieren een beveiligde verbinding. In een vorige nieuwsbrief hebben wij hier uitgebreid over gesproken, deze kunt u hier terugvinden.

Heeft u nog geen SSL certificaat? Laat deze dan zo spoedig mogelijk installeren. Dit installeren wij graag voor u, en dat per site gemiddeld in één uur tijd! Neem contact met ons op voor meer informatie en de kosten.

6. Met uw eigen organisatie AVG compliant worden?

Zoals u hierboven heeft kunnen lezen, proberen wij daar waar mogelijk, u te assisteren om voorbereid te zijn op de nieuwe wetgeving. Echter zijn er zaken waar u zelf mee aan de slag moet, ook buiten uw website om. Wilt u hulp bij het regelen van al de privacy gerelateerde zaken binnen uw bedrijf? Een partner die stap-voor-stap samen met u de AVG/GDPR regelgeving regelt is PrivacyMinds. Zij bieden tools en services om uw bedrijf ‘AVG-proof’ te maken met onder andere een verwerkingsregister, model verwerkingsovereenkomst, privacystatement en een datalek register. Voor meer informatie bekijk de website www.privacyminds.nl.

7. Standaard verwerkersovereenkomst Exxtra en Marathon

Uiteraard hebben Exxtra en Marathon zelf ook een standaard verwerkersovereenkomst opgesteld voor de samenwerking met onze klanten. Op al onze aanbiedingen en overeenkomsten zijn de Verwerkersovereenkomst (bestaande uit het Data Pro Statement en de Standaardclausules voor verwerkingen) en onze Algemene Voorwaarden van toepassing. Deze verwerkersovereenkomst en algemene voorwaarden treft u aan op onze sites, of die kunt u hier downloaden.

Meer informatie vindt u overigens op onze sites:  Exxtra & Marathon