Zes AVG-verplichtingen waaraan je website moet voldoen

Technische eisen website en AVG

De AVG stelt geen specifieke technische eisen aan een website. Zo staat er nergens specifiek opgenomen dat een website voorzien moet zijn van een zogenaamd SSL-certificaat. Echter, de wet schrijft wel de verplichting voor dat je moet aantonen dat je website beschikt over voldoende beveiliging. Daarbij moet je aantonen dat je er alles aan hebt gedaan om persoonsgegevens van websitebezoekers, klanten, leden en/of donateurs veilig te verwerken.

Privacyverklaring

Je bent verplicht een privacyverklaring op je website te plaatsen wanneer je met de website persoonsgegevens verzamelt. Deze informatieplicht geldt ongeacht de omvang of rechtsvorm van je organisatie. De privacyverklaring moet transparant en beknopt van aard zijn. Schrijf de privacyverklaring dan ook eenvoudig en duidelijk. De achterliggende gedachte van deze verplichtingen is dat een websitebezoeker moet weten wat er met zijn gegevens gebeurt, zodat hij een afweging kan maken of hij de betreffende dienst of het betreffende product wil aanschaffen.

Een goede privacyverklaring bevat minimaal de volgende informatie:

• Contactgegevens van je bedrijf (zoals die is ingeschreven bij de KvK) en contactinformatie.
• Doeleinden en rechtsgronden voor de verwerking van persoonsgegevens die verzameld worden. Een doel kan de uitvoering van de overeenkomst zijn, maar het kan ook een marketingdoel zijn, zoals het verzenden van een nieuwsbrief. Je moet alle doeleinden omschrijven.
• Duur van de opslag. Je moet aangeven hoe lang de gegevens bewaard worden.
• Het recht op inzage, rectificatie of wissen van persoonsgegevens. De websitebezoeker heeft deze rechten en je moet hen in dit kader informeren. Hierbij moet je ook vermelden hoe de betrokkene een dergelijk verzoek kan indienen.
• Je moet de websitebezoekers wijzen op hun recht ofwel de mogelijkheid tot het indienen van een klacht bij de Autoriteit Persoonsgegevens (AP).

Toestemming toesturen informatie

Bevat je website contact- en/of downloadformulieren? Zorg er dan voor dat je deze gegevens enkel en alleen gebruikt om in contact te komen met websitegebruikers en/of hen een download toe te sturen. Zonder de expliciete toestemming (opt-in) van websitegebruikers is het niet toegestaan hen te abonneren op bijvoorbeeld nieuwsbrieven en/of andere soortgelijke mailing. Je moet te allen tijde kunnen aantonen dat websitebezoekers zichzelf vrijwillig en specifiek voor dergelijke mailings hebben ingeschreven en toestemming hebben gegeven. Als je wilt dat websitebezoekers zich inschrijven voor dergelijke mailings, dan moet je de benodigde toestemming regelen via een apart aanvinkboxje. Hierbij is het belangrijk dat je specifiek en duidelijk uitlegt welke mailings je wilt toesturen. Het is hierbij ook van belang de websitebezoekers te informeren over de vorm en frequentie. Je mag geen gebruikmaken van zogenaamde vooraf aangevinkte boxjes.

Cookiegebruik

Maak je gebruik van één of meerdere soorten cookies op je website? Dan moet je mogelijk toestemming vragen aan de websitebezoekers. Cookies zijn kleine tekstbestanden die websites na je bezoek plaatsen op je computer, mobiele telefoon of tablet. De cookiewet maakt een uitzondering voor cookies die niet privacygevoelig zijn. Bijvoorbeeld voor cookies die bezoekersaantallen bijhouden en/of de website beter laten functioneren. Het gaat hierbij om zogenaamde analytische en/of functionele cookies. Voor wat betreft cookies die inbreuk maken op de privacy van websitebezoekers moet je wel toestemming vragen. Vaak gaat het dan om ‘tracking’ cookies. Deze cookies houden individueel surfgedrag bij en stellen profielen op om bijvoorbeeld gerichte advertenties mogelijk te maken. Het is belangrijk dat je de websitebezoekers duidelijk en vooraf informeert over het gebruik van cookies op je website. Ga na welke cookies je gebruikt. Verwijder onnodige cookies en vraag indien nodig toestemming aan websitebezoekers. Dit kun je doen middels een cookiebanner met een verwijzing naar de cookieverklaring.

WordPress en plug-ins

WordPress is een veelgebruikt CMS; zo’n 30% van alle websites draait op dit systeem. Een van de kenmerken zijn de vele, vaak gratis beschikbare plug-ins waarmee je allerlei functionaliteiten aan je website toevoegt. Het is verstandig een overzicht te maken van alle plug-ins waarvan je website gebruikmaakt. Ga deze een voor een langs en controleer welke persoonsgegevens deze verzamelen. Op de website van de makers vind je vaak of een plug-in voldoet aan de AVG. Is dat niet het geval, dan is het verstandig op zoek te gaan naar een alternatief. Met name social media plug-ins kunnen ongemerkt meer data verzamelen dan zonder instemming is toegestaan.

Google Analytics

Maak je gebruik van Google Analytics? Zorg er dan voor dat je deze conform AVG instelt. Google Analytics is een veelgebruikte webdienst voor het bijhouden van webstatistieken. Het is echter van belang deze zo privacyvriendelijk en conform de spelregels van de AVG wordt ingesteld. Google Analytics verzamelt onder andere IP-adressen, en die vallen onder het begrip persoonsgegevens.

Controleer of je website voldoet aan AVG

Controleer of je website voldoet aan de AVG en of er voor de door jou gebruikte cookies toestemming is vereist. Sluit eventueel verwerkersovereenkomsten af. Onze juristen kunnen je hierbij ondersteunen.

Meer weten?

aaff is graag overal van betekenis. Wil je juridische ondersteuning en/of advies op het gebied van de AVG? Neem contact op met onze jurist ICT- en privacyrecht.