Ga direct naar de hoofdinhoud van deze pagina.

delen op X delen op Facebook

Privacy instellingen op de website (AVG/GDPR)

Sinds de AVG (Algemene Verordening Gegevensbescherming), ook wel GDPR (General Data Protection Regulation) in werking is getreden zijn er veel onduidelijkheden ontstaan over wat nu wel en niet mag of moet. In dit artikel geven wij geen juridisch advies, maar proberen we enigszins duidelijk uit te leggen wat aan een website aangepast moet worden om te voldoen aan de regelgeving. Als u wilt dat BigBase uw website aanpast om te voldoen aan de AVG wetgeving, laat het ons dan gewoon even weten.

Wat zegt de AVG?

Deze wet voor gegevensbescherming moet ervoor zorgen dat iedereen zelf kan aangeven waar en hoe hun persoonlijke gegevens gebruikt worden. Als een bedrijf persoonlijke gegevens wil bewaren van een persoon, dat moet hiervoor expliciet toestemming gevraagd worden, waarbij het aan deze persoon duidelijk gemaakt moet worden waarvoor en hoelang de gegevens gebruikt gaan worden. Op basis van deze informatie kan de persoon de beslissing maken om deze gegevens wel of niet te delen. Ook als iemand achteraf niet meer wil dat (een deel van) zijn of haar gegevens gebruikt worden door een bedrijf, dan moet het bedrijf hieraan per direct gehoorzamen.

Welke onderdelen moeten aangepast worden?

Over het algemeen komt het er op neer dat er toestemming gevraagd moet worden voor alle persoonsgegevens die op enige manier bewaard worden. Tevens mogen er enkel gegevens opgeslagen worden die daadwerkelijk nodig zijn voor de bedrijfsvoering.

Een eenvoudig voorbeeld hiervan is een contactformulier op de website. Als een bezoeker dit formulier invult, moet deze akkoord gaan met alles waarvoor de ingevoerde gegevens gebruikt worden, in dit geval om "contact op te nemen met de bezoeker". Hierbij mogen geen irrelevante gegevens gevraagd worden, zoals bijvoorbeeld de geboortedatum, aangezien deze niet nodig zijn om de taak "contact opnemen met de bezoeker" uit te voeren.

Nog enkele veel voorkomende aanpassingen:

  • Google Analytics
    Indien er statistieken over de website bijgehouden worden in Google Analytics dan worden er feitelijk op elke pagina gegevens van de bezoeker doorgezonden naar Google. Bij het doorsturen van deze gegevens kan aangegeven worden om deze gegevens te anonimiseren. Als de gegevens anoniem zijn, dan hoef je hiervoor geen toestemming te vragen, anders moet er wel toestemming gevraagd worden voordat er iets naar Google verzonden wordt. Op websites gemaakt door BigBase worden deze gegevens standaard geanonimiseerd doorgestuurd naar Google, hier hoeft dus geen aanpassing gedaan te worden.
  • Facebook "like button"
    Op het moment dat er een Facebook "like button" op een pagina staat, dan zal Facebook alle gegevens van de bezoeker doorgestuurt krijgen. Ook dit dienen we te voorkomen door vooraf te vragen aan de bezoeker of dit mag. Als alternatief kunnen er "like buttons" geplaatst worden die pas contact opnemen met Facebook als men op de button klikt. Op websites gemaakt door BigBase worden deze "like buttons" gebruikt, hier hoeft dus geen aanpassing gedaan te worden.
  • Google Maps
    Wanneer we een locatie in de vorm van een kaart weergeven op de website, dan zal Google alle gegevens van de bezoeker registreren. Ook hiervoor moeten we toestemming vragen aan de bezoeker, voordat we het kaartje op de pagina tonen. Om te testen of dit op de website is geïmplementeerd, open de pagina met het kaartje en kijk of de Google Map direct weergegeven wordt. Als deze direct zichtbaar is, dan moet hierop actie worden ondernomen. Neem contact met ons op voor hulp hierbij, of als eenvoudig alternatief, verwijder het kaartje van de pagina via het beheersysteem.
  • SSL-Certificaat
    Het gebruik van een SSL-certificaat is in alle opzichten verstandig. Het wordt echter pas een vereiste als er daadwerkelijk gegevens van de bezoeker naar de website wordt verzonden, bijvoorbeeld via een contactformulier, of een van bovenstaande voorbeelden. Het SSL-certificaat is dan een vereiste omdat bij de verwerking van gegevens een "deugdelijk" beveiligingsniveau vereist is. Dit geld daarbij dan ook niet alleen voor het SSL-certificaat van een website, maar ook de dataopslag intern in het bedrijf zelf.

Bekende misvattingen over de AVG

Velen interpreteren de AVG anders en rechtvaardigen daarmee hun acties. Enkel de toekomst zal uitwijzen of dit geaccepteerd wordt. Hieronder enkele stellingen met uitleg.

  • Er moet altijd een cookiemelding op de website staan
    Incorrect. De weergave van een cookiemelding is geregeld in een andere wet, die al eerder van toepassing was. Een cookiemelding moet op de website staan als er gegevens van bezoekers bijgehouden worden via cookies. Een cookiemelding is dus niet nodig als er geen gegevens bijgehouden worden. Meestal worden er enkel gegevens bijgehouden op websites waar men kan inloggen, of webshops (bijvoorbeeld om het winkelmandje te bewaren voor als iemand later terugkomt). Als je een eenvoudige website hebt waarbij dit niet van toepassing is, dan is een cookiemelding niet verplicht.
  • Als ik aan de bezoeker ineens vraag of ik alle gegevens mag gebruiken, dan voldoe ik aan de wetgeving
    Incorrect. Er moet voor alle persoonsgegevens die opgeslagen worden apart toestemming gevraagd worden en uitgelegd worden waarom en voor hoelang dit gebruikt zal worden. Vele websites werken momenteel helaas echter zo, wat geheel tegen de regels, en daarmee illegaal is.
    Als op de website het e-mailadres van de bezoeker opgeslagen wordt zal er voordat dit opgeslagen wordt aan de bezoeker uitgelegd moeten worden hoelang dit bewaard wordt, en waarvoor dit nodig is, zodat de bezoeker het vervolgens kan toestaan of weigeren.
    Indien er later gevraagd wordt voor een telefoonnummer van de bezoeker, zal er op dat moment opnieuw toestemming gevraagd moeten worden, met uitleg waarom dit telefoonnummer nodig is en voor hoelang dit bewaard zal worden. Ook hier moet de bezoeker dan weer expliciet toestemming geven.
    Zo geldt dit ook voor alle andere onderdelen op de pagina, bijvoorbeeld de Google Maps, een Twitter feed, een inlogformulier etc. Vooral voor websites die de gegevens van hun bezoekers delen met tientallen andere bedrijven (en hier geld mee verdienen) is dit natuurlijk zeer onwenselijk, echter dit is wel precies waar de wetgeving voor bedoeld is. Helaas vragen deze website vaak eenmalig vooraf aan de bezoeker "mogen we alles gebruiken?", waarbij meestal de grote groene knop met "ik accepteer" naar hun mening voldoende is. Geheel illegaal volgens de AVG dus.
  • Als een bezoeker al klant is dan hoef ik nergens meer toestemming voor te vragen
    Incorrect. Als een bezoeker al klant is dan heeft deze klant al toestemming gegeven voor het gebruik van bepaalde gegevens. Daarnaast mogen van klanten alle gegevens gebruikt worden voor dienstverlening zoals bedoeld. Heeft een klant bijvoorbeeld via de webshop een bestelling geplaatst, dan mag het adres natuurlijk gewoon opgeslagen worden, allereerst om het pakketje heen te sturen, anderzijds om te voldoen aan de regels die de belastingdienst stelt m.b.t. het bewaren van facturen en klantgegevens. Tevens mag er naar deze klant dan ook vaker een e-mail verzonden worden mits dit specifiek relevant is voor deze klant. Wanneer je echter van een bestaande klant nog meer gegevens wilt opslaan die niet relevant zijn voor afhandeling van deze bestelling, dan moet er wederom specifiek toestemming gevraagd worden.
  • Als Google via mijn website data verzameld, dan moet Google vragen voor toestemming
    Gedeeltelijk correct. Wanneer een bezoeker op een website komt, is die specifieke website verantwoordelijk voor correcte afhandeling van gegevens. Op het moment dat er gegevens aan Google worden doorgegeven zal Google ook worden gehouden aan de AVG-wetgeving. Helaas is het in de praktijk nu zo dat er bij gebruik van een van de diensten van Google er een verklaring geaccepteerd moet worden (en dit is vast, bewust of onbewust, al gedaan als Facebook of Google gebruikt wordt), waarin staat dat de website ook voor dit gedeelte verantwoordelijk wordt gehouden.
  • Het gebruik van reCAPTCHA mag niet meer
    Gedeeltelijk correct. Het gebruik van reCAPTCHA (van Google) is aan dezelfde voorwaarden onderhevig, wat betekend dat er eerst toestemming gevraagd moet worden om dit weer te geven. Dit is natuurlijk een beetje vreemd, aangezien reCAPTCHA bedoeld is om spam tegen te gaan, en als iemand een spambericht wilt intypen zal deze gewoon de reCAPTCHA niet toestaan, en vervolgens een formulier zonder reCAPTCHA, waardoor de spam alsnog gewoon binnen komt. Theoretisch mag reCAPTCHA dus wel gebruikt worden zo, echter in de praktijk maakt de AVG deze dienst volledig nutteloos.
  • Het is beter om andere statistieken te gebruiken dan Google Analytics
    Incorrect. Google Analytics heeft een goede manier om data anoniem te verzamelen. Wanneer andere statistieken dit ook hebben kunnen deze ook gebruikt worden. Het is echter onnodig om andere statistieken in te zetten aangezien alle bedrijven aan dezelfde voorwaarden moeten voldoen.
  • Als bezoekers hun gegevens niet willen delen dan blokkeer ik ze gewoon
    Incorrect. Volgens de AVG is dit uitdrukkelijk verboden. Iedereen moet gebruik kunnen maken van dezelfde diensten zonder enige vorm van discriminatie van personen die hun gegevens wel of niet willen delen. Uitzondering hierop is als de gegevens daadwerkelijk nodig zijn voor het gebruik van een website. Het is bijvoorbeeld niet toegestaan om bezoekers te weren van een website als ze de statistieken verzameling niet toestaan, maar het is wel toegestaan (en ook begrijpelijk) om bezoekers te weigeren om een bericht te plaatsen zonder dat ze een account aangemaakt hebben.
  • Voor mijn bedrijfsvoering heb ik het BSN-nummer van een klant nodig, als ik hier toestemming voor heb dan mag ik dit opslaan
    Incorrect. Naast de toestemming van de klant moet de verwerking van dit soort zeer betrouwbare gegevens altijd overlegd worden met de Autoriteit persoonsgegevens. Ook moet het opslaan van deze gegevens daadwerkelijk relevant zijn voor de periode waarin het wordt bewaard. Een BSN-nummer mag bijvoorbeeld niet langer bewaard worden dan zolang het direct nodig is. Indien het BSN-nummer op een later moment weer nodig is, zal opnieuw toestemming gevraagd moeten worden.