AVG en Hosting Providers, hoe werkt het?

Sinds 25 mei 2018 is de nieuwe AVG wetgeving van kracht. Je hebt hier al het één en ander over gehoord en gelezen. Maar weet je ook hoe je dit moet toepassen op je eigen website? In deze blog krijg je een aantal tips!
De veranderingen.


AVG vraagt in vergelijking met WBP in grotere mate om meer transparantie. Zo moet je aan bezoekers veel duidelijker en in makkelijkere taal vertellen wat je met hun data doet. Bezoekers moeten ook expliciet toestemming kunnen geven op wat ze wel en niet willen. Dit betekent dus dat je cookies en andere toestemmingen niet alvast mag aanzetten voor klanten. Gebruikers moeten deze toestemmingen ook weer eenvoudig kunnen intrekken. En mogen ze zelfs eisen dat hun data wordt verwijderd.
Eerst vielen alleen namen, foto’s, e-mailadressen, bankdetails en medische informatie onder de definitie van AVG maar sinds mei 2018 zijn sociale media en IP-adressen ook toegevoegd. Omdat veel websites dit automatisch opslaan kan dit grote gevolgen hebben voor je website
Hierom vraagt de AVG dat je jouw processen en dataopslag kritisch bekijkt en documenteert Maar hoe kun je beginnen?

Inventariseren
Het eerste wat er moet gebeuren is om all je data in kaart te brengen. Vervolgens zoek je uit hoe deze data voor gebruikt en of klanten hiervoor expliciet toestemming voor hebben gegeven. Documenteer dit en beschrijf de processen die horen bij deze dataverzameling. Waar moet je vooral aan denken:
Front end: bezoekers moeten voor alle data die ze afstaan expliciet toestemming hebben gegeven. Denk aan tracking software zoals Google Analytics of de cookies voor je website.
Back end: hier staan de meeste persoonlijke gegevens. Ga na welke deze zijn en of de klant toestemming heeft gegeven voor het opslaan van deze gegevens. Documenteer ook processen waarbij het klantportaal bij betrokken is.

Communicatie naar de klant
Transparantie is dis het voornaamste wat steeds terug komt in de AVG. De gebruiker moet gewoon weten waar hij of zij toestemming voor geeft. In de communicatie moet minstens het volgende zijn opgenomen:
Door wie worden de gegevens verzamelt? Meerdere bedrijven moeten expliciet vermeld worden.
Welke gegevens verzamel je?
Waarom verzamel je deze gegevens en waarvoor worden ze gebruikt?
Hoelang is de bewaartermijn van deze gegevens?
hebben de personen het recht om vergeten te worden, data te verplaatsen en data te wijzigen?
Zet deze informatieve in je algemene voorwaarden of privacystatement op je website. en maak deze informatie makkelijk en toegankelijk.

Vraag om toestemming
Onder toestemming vallen de volgende categorieën:
Actieve opt-in: vinkjes zoals ‘ik ontvang graag de nieuwsbrief’ of “ik ontvang graag marketing e-mails” mogen niet standaard meer aangevinkt staan. klanten moeten actief toestemming verlenen;
Enkele opt-in: iemand geeft 1 keer zijn e-mailadres en ontvangt hierna automatisch mails, hiervoor moet een aparte opt-in worden aangemaakt. Denk ook aan het toestemming vragen voor het gebruik van cookies op de website. Deze moet in een ander scherm dan de toestemming voor het ontvangen van de nieuwsbrief;
Afzonderlijke opt-in: Gebruikers moeten de mogelijkheid hebben om gedeeltelijk toestemming te geven. Bijvoorbeeld voor verschillend soort gebruik van dezelfde data.
derde partijen: derde partijen moeten toestemming hebben gekregen voor het verwerken van de data.
Google Analytics:
deze tool mag zonder toestemming worden gebruikt, maar wel onder deze voorwaarden:
Er moet een verwerkersovereenkomst zijn ondertekent met Google.
IP adressen mogen alleen anoniem verwerkt worden
Gegevens van je website mag je niet delen met Google
Bezoekers moeten op de hoogte worden gesteld dat Google Analytic word gebruikt

dataopslag weigeren/verwijderen
Het intrekken van dataopslag moet net zo eenvoudig zijn als het de toestemming verlenen van data. Een voorbeeld hiervan is een ‘uitschrijven’ knop voor e-mailmarketing op je website. Ook moet het eenvoudig zijn om data te kunnen veranderen of zelfs te verwijderen. Niet alle data kan zomaar verwijderd worden, je bent misschien gebonden aan bewaarplicht voor de belastingdienst.

Beveiliging
Als alle processen in kaart zijn gebracht zul je zien welke systemen welke data verwerken. Je zult dan ook direct in kaart kunnen brengen hoe een systeem beveiligd is. voorbeelden:
heb je de juiste beveiligingscertificaten, zodat de bezoeker een beveiligde verbinding heeft met je website?
heb je de juiste beveiliging van het systeem, zodat het niet zomaar gehackt kan worden?
hoe sterk beveiligd is de inlog voor klanten? Zijn klantgegevens niet zomaar inzichtelijk voor andere klanten?
Je bent dus niet afhankelijk van anderen om te voldoen aan de AVG, maar je moet wel zelf aan de slag.
Om aan AVG te voldoen moet je eerst zelf aan de slag. Het begint met een kritische blik op welke data je verzameld en hoe je dit doet. Al deze proceses worden dan grondig doorzocht om precies te weten te komen waar je wat moet doen. Uiteindelijk draagt de AVG bij aan de gebruiksvriendelijkheid van je website en daar zullen je bezoekers alleen maar blij mee zijn!

 

Wil jij meer weten over onze GDPR en AVG Compliance? Lees het hier.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *