Persoonsgegevens zijn onder meer:
- Naam
- E-mail adres
- IP-adres
- Rekeningnummer
- Creditcardnummer
- CRM
- Contactformulieren
- Foto’s/video met personen
- Profielen (gedrag)
1 - Privacyverklaring
Zorg voor een (nieuwe) privacyverklaring die helemaal klaar is voor 25 mei. Hier staat in ieder geval het volgenden beschreven:
- Je bedrijfsgegevens
- Doeleinden (reden van de verwerking van de persoonsgegevens)
- Persoonsgegevens (welke persoonsgegevens verwerk je)
- Recht van toestemming
- Recht op inzage, aanpassing en verwijdering
- Beveiligingsmaatregelen
- Cookies
Actiepunt> Maak deze privacyverklaring of scherp deze aan.
Maak desgewenst zelf je privacyverklaring hier met de generator op veiliginternetten
2 - Privacyverklaring-pagina
De privacyverklaring, in begrijpelijke taal geschreven, moet eenvoudig en goed te vinden zijn op je website. Geef deze dan ook een geheel eigen pagina, een link naar deze in de footer volstaat én op elke plek waar je persoonsgegevens verzamelt.
Actiepunt> Maak een privacyverklaring-pagina en de link duidelijk in de (footer van je) website.
3 - Google Analytics geanonimiseerd gebruiken
Let op: dit is alleen nodig als je geen goede cookiemelding hebt.
Afhankelijk van je instellingen deelt Google Analytics data met Google voor diverse doeleinden. Daarnaast is het mogelijk gebruikers te tracken door middel van een User ID. Google Analytics werkt op basis van IP-adressen, die je kunt herleiden naar personen en dat is daarom niet anoniem.
Om aan de nieuwe wetgeving te voldoen, moet in de cookiemelding te lezen zijn dat cookies pas geplaatst worden als bezoekers:
- Actief aangeven dat ze hiermee akkoord gaan, of
- Als ze verder navigeren door de website. Dit laatste is voor nu is de makkelijkste oplossing.
Bij de autoriteit persoonsgegevens staat een handleiding om Google Analytics privacy vriendelijk te maken (pdf).
Je mist dan wel enkele mogelijkheden zoals remarketing. Wil je dat wel dan moet je google wel cookies laten accepteren
Actiepunt> Bij gebruik van Google Analytics:
- Pas de instellingen van Google Analytics aan
- Sluit een vewerkersovereenkomst met Google af. Had je er al een afgesloten? Accepteer dan de gewijzigde versie.
- Geef zonodig in je privacy statement aan dat je bovenstaande acties hebt toegepast
4 - Beveiliging regelen
De opslag en verwerking van persoonsgegevens moeten op en top beveiligd zijn. Oftewel: een SSL-certificaat is nu echt een noodzaak. De website dient alleen te benaderen zijn via https (met het groene slotje).
Actiepunt> Heb je nog geen SSL-certificaat? Meteen regelen!
5 - Up-to-date website
De website waar de persoonsgegevens opgeslagen zijn, moet voorzien zijn van de allerlaatste beveiligingsupdates van de gebruikte software en plugins.
Actiepunt> Houd dus de software van je website altijd up-to-date.
Heb je bij ons het service onderhoudsabonnement afgesloten, dan heb je er geen omkijken naar en ben je zoveel mogelijk up-to-date! Wil je dit ook, sluit dan hier een abonnement af.
6 - Wees glashelder met het verzamelen van gegevens voor je nieuwsbrief
Op het moment dat gebruikers persoonsgegevens achterlaten op je website, bijvoorbeeld met een e-mail opt-in, moeten deze gegevens helder zijn waarom je ze nodig hebt en hoe je ze gaat gebruiken. Je moet bij het verzamelen van gegevens altijd verwijzen naar de privacyverklaring van jouw website of onderneming.
Actiepunt> Duidelijk beschrijven waar iemand zich voor inschrijft, hoe vaak er wordt verstuurd en dat je je heel makkelijk -op elk gewenst moment- weer uit kan schrijven (opt-out). Bovendien moet de opt-in een duidelijke en bevestigende actie zijn. Verwijs bij elke opt-in met een link naar de privacyverklaring.
Bewaar deze opt-in, je moet kunnen aantonen expliciete goedkeuring te hebben gekregen.
Voor de duidelijkheid: een opt-in is waar de eigenaar van een e-mailadres expliciet en aantoonbaar toestemming geeft voor het ontvangen van e-mail van een bepaalde mailinglist. Een opt-out daarentegen is exact het tegenovergestelde: waar je je kunt afmelden.
7 - Verwerkersovereenkomst
Je hebt een verwerkersovereenkomst (ook wel DPA – data processing agreement genoemd) nodig met alle partijen die toegang hebben tot de persoonsgegevens die jij verzamelt.
De verwerkersovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als een bedrijf voor de verwerking een ander bedrijf inschakelt.
Dus een externe partij die in opdracht van de controller data verwerkt, maar niet het doel en de middelen van de bewerkingen vaststelt.
Het betreft dus een overeenkomst die je afsluit met partijen als Google Analytics, MailChimp, hosting, programmeur, et cetera. De overeenkomst biedt garanties dat de bescherming van de rechten van personen wordt gewaarborgd.
Actiepunt> Maak een lijstje van de partijen waarmee jij samenwerkt inzake de verwerking van persoonsgegevens. Ga na hoe dit eventueel nu is geregeld. Er bestaat een grote kans dat de betreffende partij al zo’n overeenkomst heeft klaarliggen. Is er geen overeenkomst, zorg dan dat dit in orde komt.
Er zijn diverse modelovereenkomsten in omloop, zoals onder meer deze (betaalde) versie van Juridox. Veel meer over verwerkingsovereenkomsten lees je onder andere bij Justitia.
Zorg voor een verwerkersovereenkomst voor klanten of plaats deze op je website
Bovenstaande is slechts bedoeld als een korte aanwijzing voor website eigenaren en dus verre van compleet.
Aan het bovenstaande is geen enkel juridisch recht te ontlenen.