Maak je website AVG proof met deze stappen
De Algemene verordening gegevensbescherming (AVG) gaat vanaf 25 mei 2018 van kracht zijn. Een andere naam voor de AVG is General Data Protection Regulation (GDPR). Dit houdt in dat vanaf die datum dezelfde privacywetgeving geldt in de gehele Europese Unie. De voorgaande wet, bescherming persoonsgegevens geldt vanaf dat moment niet meer.
Het doel van AVG
Het doel van de AVG is het uitbreiden en versterken van privacyrechten, het scheppen van meer verantwoordelijkheid voor organisaties en het opzetten van de bevoegdheden voor alle Europese privacytoezichthouders.
Wat houdt dit in voor je website?
De AVG heeft betrekking op alle gegevensverwerking binnen je bedrijf. De volledige uitleg kun je vinden op de website van de Autoriteit Persoonsgegevens. In dit bericht willen we je informeren over maatregelen die betrekking hebben op je website.
Privacyverklaring
Een privacyverklaring is essentieel op je website. Deze moet helder en duidelijk geformuleerd zijn en op een goed vindbare plek op je website staan. Een link in de footer is een prima plek. In de privacyverklaring maak je onder andere inzichtelijk welke gegevens via de website worden verwerkt en/of opgeslagen. Voor meer informatie kun je de blog over een goede privacyverklaring lezen op Franwatching.nl. Wij raden aan om dit door een jurist te laten checken/maken.
Google Analytics
Verwerkingsovereenkomst met Google
Als je Google Analytics gebruikt dan ben je verplicht om een overeenkomst te sluiten met Google. Google is een dataverwerker die je toestemming geeft om persoonsgegevens van je bedrijf te verwerken. Het is gelukkig een eenvoudige handeling.
- Log in bij Google analytics
- Ga naar ‘Beheer’ (via het tandwiel)
- Kies ‘Accountinstellingen’
- Scroll naar ‘Aanpassing van de gegevensverwerking’ (laatste optie)
- Controleer of de bewerkingsovereenkomst aangegaan is
IP-adres anonimiseren in Google Analytics
Het anonimiseren van het IP adres in je Google Analytics account. Dit is essentieel omdat het IP adres te herleiden is naar een persoon en het is dus een persoonsgegeven. Lees de blog van Google over het Anonimiseren va IP-adressen in Analytics.
- Ga naar ‘Beheer’ (via het tandwiel)
- Klik onder property op Trackingsinfo en vervolgens op Trackingscode
- Je ziet nu de standaardtag staan die op jouw website staat.
- Voeg “, { ‘anonymize_ip’: true }” toe aan het Google Analytics script op je website zodat deze geanonimiseerd wordt. Dit ziet er als volgt uit:
< script async src="https://www.googletagmanager.com/gtag/js?id= UA- xxxxxxx-x "></ script>
< script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-xxxxxxx-x', { 'anonymize_ip': true });
</ script>
Tip: bewaar een schermafdruk met daarop datum/tijd van het moment dat je bovenstaande aanpassingen hebt doorgevoerd. Hiermee kun je namelijk altijd aantonen wanneer je deze maatregelen hebt toegepast.
Gegevens delen met Google
Bij ‘Beheer’ onder de kop ‘Accountinstellingen’ moet je de vinkjes uitzetten voor het delen van gegevens met Google. Als je deze aan laat staan dan ga je ermee akkoord dat Google gegevens van je bezoekers gaat gebruiken voor bijvoorbeeld het verbeteren van eigen producten en diensten. Google is hierdoor naast bewerker ook een verantwoordelijke en dan moet je namens Google toestemming vragen aan je bezoekers voor het verwerken van persoonsgegevens met Analytics-cookies.
Verzamel geen gegevens voor advertentiefuncties
Op ‘Property-niveau’ binnen je Analytics-account (onder ‘Trackinginfo – Gegevensverzameling’) ‘Gegevens verzamelen voor advertentiefuncties’ uit. Dit moet je doen bij zowel ‘Remarketing’ als bij ‘Rapportagefuncties voor advertenties’.
Check of de optie voor User ID’s uitgeschakeld is
Door de User ID in te schakelen wordt het surfgedrag van een bezoeker getracked over meerdere devices en sessies en deze worden gekoppeld. Dit is geen ‘functionele cookie’ en dit mag je alleen gebruiken als de bezoeker toestemming heeft verleend. Deze dien je ook uit te schakelen om Google Analytics onder functionele cookies (daar heb je geen toestemming voor nodig) te laten vallen.
- Navigeer naar ‘Property-instellingen’
- Selecteer ‘Trackinginfo’
- Kies nu voor het kopje ‘User ID’
- Zorg dat je niet akkoord gaat met ‘het Beleid van User ID’s’ en deze dus uitgeschakeld staat
Gegevensbehoud voor gebruikers en gebeurtenissen
Als je toch IP adressen verzamelt en dus de stap ‘IP-adres anonimiseren in Google Analytics’ overslaat. Dan moet je nog enige aanpassingen checken, deze vind je hier:
- Navigeer naar ‘Property-instellingen’
- Selecteer ‘Gegevensbehoud’
Hier geef je de bewaarperiode van gegevens die je verzameld aan. Dit moet corresponderen met de bewaarperiode in je privacyverklaring.
Informeer bezoekers dat je gebruik maakt van Google Analytics
In de privacyverklaring moet in ieder geval terugkomen dat:
- je een bewerkersovereenkomst met Google hebt afgesloten.
- de gegevens versleuteld en anoniem verwerkt worden.
- je ‘gegevens delen’ met Google hebt uitgezet.
- de Google Analytics-cookies niet worden gebruikt in combinatie met andere diensten van Google, zoals DoubleClick en AdWords.
- welke Google Analytics-cookies geplaatst worden, met welk doel en wanneer deze verwijderd worden. Gebruik je andere tools en advertentieplatformen? Dan zal ook van deze de cookies op dezelfde manier het doel, tijdsduur en verantwoordelijke beschreven moeten worden.
Tip: bewaar een schermafdruk met daarop datum/tijd van het moment dat je bovenstaande aanpassingen hebt doorgevoerd. Hiermee kun je namelijk altijd aantonen wanneer je deze privacyvriendelijke maatregelen hebt toegepast.
SSL Certificaat
De nieuwe AVG stelt je verplicht om te zorgen voor een optimale beveiliging van persoonsgegevens. Gebruik je een formulier (contact/offerte formulier) op je website? Dan is een SSL certificaat (HTTPS) verplicht.
Contactformulieren
Als je contactformulieren op je website gebruikt dan mag je alleen vragen om de gegevens je die écht nodig heb voor die desbetreffende aanvraag. Vraag je bijvoorbeeld om een geboortedatum dan moet je expliciet vermelden waarvoor je dit nodig hebt. Ook moet je een selectie/toestemming vakje plaatsen waarin je vraag om toestemming voor het verwerken (en eventueel opslaan) van ingevulde gegevens.
Gebruikers binnen je CMS
Wanneer iemand toegang heeft tot het CMS (Content Management Systeem) van jouw website dan moet die persoon daar een geldige reden voor hebben. Dit moet specifiek vastgelegd zijn, zodat duidelijk is wie en waarom toegang verleent wordt. Verwijder onnodige accounts in het CMS.
Beheer en beveiliging
Als website-eigenaar ben je zelf verantwoordelijk voor de veiligheid van je website. Denk hierbij aan het updaten van thema’s en plugins, het maken van back-ups en het pro-actief beveiligen van je website. Wij bieden dit aan in ons onderhoudspakket voor je website.
Wil je meer weten over de te nemen maatregelen m.b.t. je website?
Neem contact op voor hulpDisclaimer: we hebben uitgebreid onderzoek gedaan bij het opstellen van deze blogs. Echter zijn we niet juridisch aansprakelijk voor de inhoud en hier kunnen geen rechten aan worden ontleend.
Doe de AVG check
In samenwerking met andere bureau’s hebben wij een checklist opgesteld om te bekijken welke stappen jij moet ondernemen om AVG proof te worden. Hieronder kun je de checklist invullen en daaruit komen de te nemen stappen.
Ondersteuning of hulp nodig?
Heb je ondersteuning nodig bij het AVG proof maken van je website en/of webshop? Wij ondersteunen je graag!