Je website of webshop GDPR-ready maken?

Algemeen // 3 mei 2018

Je website of webshop GDPR-ready maken?

25 mei 2018 is het eindelijk zo ver, de nieuwe wetgeving omtrent het bewaren van persoonsgegevens wordt ingevoerd. Organisaties hebben zo’n 2 jaar de tijd gehad om zich voor te bereiden. Wat betekent dit voor je bedrijf? Heel verschillend, het ligt er natuurlijk aan wat voor activiteiten je als bedrijf uitvoert. Wij kunnen je in ieder geval vertellen hoe je het online moet aanpakken. Er zijn 8 hoofdonderdelen:

Privacyverklaring

Als organisatie moet je een uitgedachte, transparante privacyverklaring opnemen. Een website bezoeker moet op een dergelijke pagina inzichten krijgen wat er gebeurt als hij de website gebruikt. De volgende onderdelen moeten er in zitten:

  • Toelichting gebruik van persoonsgegevens;
  • Doeleinden van gebruik persoonsgegevens;
  • Omschrijving welke persoonsgegevens;
  • Bewaartermijnen;
  • Vertrouwelijkheid & verstrekking aan derden;
  • Gegevensbeveiliging;
  • Cookie policy;
  • Gebruik van welk soort cookies in combinatie met bewaartermijn en link naar privacy policy;
  • Wettelijke rechten.

Zorg dat jouw privacyverklaring up-to-date is en voldoet aan de standaarden van de Autoriteit Persoonsgegevens. Een voorbeeld kun je op onze website vinden.

Actie: update je privacyverklaring.

Algemene voorwaarden

Ook moeten je algemene voorwaarden op de schop. Zorg dat deze compliant zijn met de GDPR regels, neem een onderdeel op over hoe persoonsgegevens verwerkt worden en wat de gevolgen hiervan zijn.

Actie: update je algemene voorwaarden.

Veilig persoonsgegevens versturen (SSL certificaat

Gebruik je een contactformulier op je website en worden hier persoonsgegevens in verzonden? Dan moeten deze gegevens via een beveiligde verbinding verstuurd te worden. Een SSL certificaat (groene slotje) zorgt er voor dat gegevens via een beveiligde verbinding verstuurd worden. Nog een bijkomend voordeel: zoekmachines waarderen een website hoger als deze een SSL certificaat heeft. 

Actie: geen SSL certificaat? Zorg dat je 'm voor 25 mei hebt.

Google Analytics

Anonimiseren
Je mag Google Analytics gebruiken (zonder toestemming van een websitebezoeker) mits het volledig geanonimiseerd is. Dit doe je door een stukje code toe te voegen in je Google Analytics tracking code. Het ziet er dan zo uit:

Anonimiseren IP adres Google Analytics 1024x329

Mocht je Google Tag Manager gebruiken, dan kun je simpelweg in de configuratie onder ‘basic configuration’ Anonymise IP Addresses toevoegen.

Gegevens delen
Om Google Analytics te anonimiseren dien je alle manieren van gegevens delen uit te zetten. Dit vind je onder Admin -> Account Settings -> kopje Data Sharing Settings. Vink hier alles uit, pas als je het incidenteel nodig hebt kun je het aanvinken.
Het kan bijvoorbeeld een keer voorkomen dat Adwords data verkeerd in je account is beland en support hiervoor nodig hebt. Als je in contact bent gekomen met een Account specialist of Technical support kunnen ze vragen of je de opties weer tijdelijk aan wilt vinken.

Actie: anonimiseer Google Analytics door gegevens niet te delen en het stukje code toe te voegen. Handmatig of via Google Tag Manager.

Verwerkersovereenkomsten

Je moet een verwerkersovereenkomst sluiten met elke organisatie waar je data mee deelt of data van verwerkt. Beide partijen zijn verantwoordelijk voor het tekenen van een verwerkersovereenkomst. Gebruik je marketing tools die data van website bezoekers verwerken? Dan moet je hier een verwerkersovereenkomst mee sluiten. Ga dus goed na welke tools je gebruikt voor marketingdoeleinden en zoek contact met ze. Sommige partijen hebben een onderdeel gegevensverwerking in hun algemene voorwaarden opgenomen, dit kan complaint zijn maar is per geval anders. Tools waar je aan moet denken zijn: CRM systemen (AFAS, Hubspot, Exact, et cetera), conversie tools (Hotjar, Google Optimize), marketingmiddelen (Adwords, Facebook advertising).


Google Analytics heeft dit goed geregeld. Ga naar Admin -> Account Settings -> Data Processing Amendment en teken de overeenkomst. In vrijwel alle tools van Google kun je een verwerkersovereenkomst tekenen in het beheerdersgedeelte.

Actie: met welke bedrijven deel je gegevens? Sluit een verwerkersovereenkomst met hen af.

Toestemming

Je mag als organisatie niet zomaar persoonsgegevens verwerken. Er zijn 6 soorten grondslagen:

  • Toestemming;
  • Noodzakelijk voor een overeenkomst;
  • Noodzakelijk voor het nakomen van een wettelijke verplichting;
  • Noodzakelijk ter bescherming van de vitale belangen;
  • Noodzakelijk voor de vervulling van een taak van algemeen belang;
  • Noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Met de bovenstaande kennis in het achterhoofd, wat voor grondslag is er bijvoorbeeld nodig om een pasfoto van teamleden te plaatsen op de website? Of voor het plaatsen van contactinformatie voor iemand van sales?

Een pasfoto valt onder een biometrisch persoonsgegeven en hier is dus grondslag voor nodig. We zullen het alvast verklappen, hier is toestemming van de desbetreffende persoon voor nodig. Voor het plaatsen van contactinformatie voor iemand van sales zou het iets anders kunnen liggen. Als de informatie rechtmatig, voldoende duidelijk verwoord en ook echt aanwezig is kun je het onder gerechtvaardigd belang schalen. Meer over grondslagen kun je vinden op: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken

Actie: wie toon je op de website? Zorg dat je toestemming hebt.

Het delen van data

Pas op met het delen van data. Ga goed na welke tools je gebruikt en welke tools persoonsgegevens verwerken. Richt datastromen goed in en zorg dat enkel mensen die de persoonsgegevens nodig hebben ze in kunnen zien, niemand anders. Zo waarborg je privacy in jouw organisatie.

Actie: loop je datastromen eens goed na.

Violet88 en GDPR

Hulp nodig bij al deze zaken? Stuur dan een mailtje naar bas@violet88.nl.