Ondernemen: in 6 stappen jouw website klaar voor de GDPR/AVG

De Algemene verordening gegevensbescherming (AVG), in het Engels General Data Protection Regulation (GDPR) oftewel, het hoofdpijndossier van de eerste helft van 2018. Iedere ondernemer heeft er mee te maken, maar het is nog niet zo eenvoudig. Als fotograaf met een blog ben ik verantwoordelijk voor het op de juiste manier verwerken van persoonsgegevens. Ben jij zelfstandige met een kleine (online) onderneming en kun je nog wel wat hulp gebruiken bij de GDPR/AVG? Lees dan snel verder!

Deadline: 25 mei

Op 25 mei moeten alle organisaties zich houden aan de nieuwe privacywetgeving. Een hele klus, zeker wanneer er gevoelige persoonsgegevens worden verzameld. In deze blog verzamel ik de beste tips en tricks om jouw website AVG-proof te maken, inclusief uitgebreide template voor jouw AVG privacyverklaring.

 

#1 Verwerkingenregister of niet?

Organisaties moeten onder de AVG kunnen aantonen dat zij zich aan de privacywetgeving houden. In de meeste gevallen is het bijhouden van een ‘verwerkingenregister’ dan ook verplicht. In dit register moet staan wat voor persoonsgegevens je verwerkt, waarom, wat de bron is, welke partijen betrokken zijn, of de gegevens buiten de EU terechtkomen en wat de bewaartermijn is (Marketing Facts, 2018). Daarnaast is het verplicht om aan te tonen dat je gegevens verwerkt met toestemming of omdat dat nodig is om de werkzaamheden uit te voeren.

#2 Privacy by design & privacy by default

In de AVG wordt gesproken over ‘dataminimalisatie’. Dit houdt in dat je niet meer gegevens mag verzamelen dan noodzakelijk. Houd bij het ontwerpen van nieuwe producten rekening met de bescherming van privacygevoelige informatie. Verwerk alleen die persoonsgegevens die noodzakelijk zijn voor het specifieke doel. Zet bijvoorbeeld instellingen voor het delen van data niet standaard aan, maar geef je bezoekers van de website de keuze.

Een belangrijk onderdeel hiervan zijn bijvoorbeeld cookie meldingen. Ik wist het niet, maar wanneer je gebruik maakt van een website, maak je vaak automatisch gebruik van cookies. Voor WordPress is er dan ook de handige plugin: Cookiebot. Gratis tot 100 pagina’s en simpel in te stellen! Via HeyGirlboss lees je er meer over.

#3 Sluit verwerkersovereenkomsten af

Wellicht wel de grootste klus om te regelen, het afsluiten van verwerkersovereenkomsten. Maar als je weet met wie je deze moet aflsuiten, zijn de overeenkomsten vaak automatisch te downloaden via jouw account. Zoals Charlotte’s Law omschrijft: “Een verwerker verwerkt persoonsgegevens in opdracht van de verwerkingsverantwoordelijke. Een verwerker verricht de verwerking namens de verwerkingsverantwoordelijke. Een verwerker mag juist niet zelf doel en middelen bepalen, maar mag alleen de persoonsgegevens verwerken zoals dat is omschreven in de opdracht. En een verwerker mag dus niet voor zichzelf verwerken.” © Charlotte’s Law. 

Maar wie zijn die verwerkers precies? Een opsomming van verwerkers en hoe je een overeenkomst met ze af sluit:

  • Google Analytics > Beheerderspagina > Accountinstellingen > Aanpassing bekijken > Gereed
  • Moneybird > Tandwiel rechtsboven > Accountbeheer > Verwerkersovereenkomst > Akkoord
  • Dropbox > Klik hier
  • Mailchimp > Klik hier
  • Typeform > Klik hier
  • Strato > STRATO klantenlogin > Mijn contract > Contract wijzigen > Verwerkersovereenkomst

Aanvullingen? Stuur ze in via dit contactformulier!

#4 Anonimiseer en versleutel je gegevens

Het draait allemaal om de bescherming van gegevens. Manieren om dit te doen zijn bijvoorbeeld via een zogenaamd ‘SSL-certificaat’ op je website. Sommige online hosting bedrijven bieden dit nu gratis aan, met één druk op de knop. Wel zo fijn. Daarnaast is het verstandig om de plek waar je je gegevens opslaat te beveiligen met een wachtwoord. Ben je technisch vrij handig en wil je verder gaan dan dat? Dan kun je gebruik maken van 7-zip of AES Crypt. Daarnaast dien je IP-adressen te anonimiseren in Google Analytics. Er zijn een aantal stappen om dit te doen, met als resultaat dat je anoniem gegevens verzameld. Lees via deze link hoe je dit voor elkaar krijgt.

#5 Let op met WordPress Plugins

Grote kans dat jouw website in WordPress is gebouwd. Houd er rekening mee dat jouw WordPress-plugins ook AVG-proof moeten zijn. Zorg ervoor dat je geen onnodige gegevens verzamelt, en deel niet zomaar zonder een verwerkersovereenkomst gegevens met derden. Om na te gaan of de plugins voldoen aan de AVG kun je een overzicht maken. Via WordPress.org kun je bijvoorbeeld onder het ‘Support’-tabje van een specifieke plugin zoeken op ‘GDPR’ (Hostnet, 2018). Gelukkig zijn de meeste grote bedrijven actief bezig met het AVG-proof maken van hun plugins. Zo heeft Mailchimp alles al in gereedheid gebracht. Een andere populaire plugin is ‘Contact Form 7’. Lees hier hoe je deze laat voldoen aan de GDPR/AVG.

#6 Stel een AVG Privacyverklaring op

Een hoop werk, maar niet met deze tools. Stel hier via Veilig Internetten jouw privacyverklaring op. En ben je fotograaf? Klik dan hier voor een kijkje in mijn privacyverklaring.

Last but not least

Jouw website AVG-proof maken is een stap in de goede richting. Vergeet niet om ook de andere punten waarop je moet voldoen na te lopen. Vanuit de AVG ben je namelijk ook verplicht:

  • om alle verwerkingen van persoonsgegevens in een register te documenteren (registerplicht);
  • bij de ontwikkeling van producten en diensten voldoende rekening te houden met privacy (privacy by design);
  • indien nodig te werken met een Privacy Impact Assessment (PIA);
  • een functionaris voor de gegevensbescherming aan te stellen (dit is niet voor iedere organisatie verplicht, maar mag wel altijd);
  • datalekken te registreren (ook indien je deze niet bij de AP hoeft te melden);
  • verwerkersovereenkomsten te sluiten met de partijen met wie je samenwerkt. (Hostnet, 2018).

Als het goed is weet je nu precies waar je aan moet voldoen op 25 mei. Print vooral ook deze pagina uit als handige checklist. Zo weet je zeker dat je niets kunt vergeten. Of deel hem met jouw netwerk, sharing is caring!

Liefs,

Muk

 

Voor meer informatie over de AVG verwijs ik je graag door naar de sites 
van ICTRecht, de Autoriteit Persoonsgegevens en het
Ministerie van Justitie en Veiligheid.
-
Nog meer lezen? Een aantal handige links:
 Kamer van Koophandel > De feiten op een rij
 Charlottes Law > Over verwerkersovereenkomsten
 Marketing facts > De ultieme checklist
 Mailchimp > tools for GDPR
 Staffing Awards > Over de invloed van de AVG op Google Analytics
-
Deze blog is tot stand gekomen met informatie van bovengenoemde websites.

Geef een reactie