Zo maak je jouw website klaar voor de AVG wetgeving [in 8 stappen]

Het kan niet anders dan dat je de termen AVG of GDPR de afgelopen maanden in de wandelgangen heb horen langskomen. AVG betekend Algemene Verordering Gegevensbescherming (oftewel in het engels General Data Protection Regulation).

Maar laten we het vandaag even bij AVG houden. Dit is de nieuwe privacywet die vanaf 25 mei invloed heeft op elke onderneming. We laten hier in 8 stappen zien hoe jij jouw website kan klaarstomen voor de nieuwe wetgeving. Let’s go!

Stap 1. Verse privacyverklaring

Zorg voor een nieuwe privacyverklaring die helemaal klaar is voor 25 mei. Het is wettelijk verplicht een website bezoeker, middels een privacyverklaring, te melden wat er met zijn of haar gegevens gebeurt. Als organisatie leg je uit welke gegevens je bewaart en voor welke doeleinden. Deze verplichting is onderdeel van de AVG.

In een privacyverklaring staat in elk geval het volgende beschreven:

  • Je bedrijfsgegevens
  • Doeleinden (reden van de verwerking van de persoonsgegevens)
  • Persoonsgegevens (welke persoonsgegevens verwerk je)
  • Recht van toestemming
  • Recht op inzage, aanpassing en verwijdering
  • Beveiligingsmaatregelen
  • Cookies

TIP> Zorg voor een goede privacyverklaring en verwerk deze in de footer van je website zodat klanten hier altijd op kunnen terugvallen.

Stap 2. Google Analytics geanonimiseerd gebruiken

Afhankelijk van je instellingen deelt Google Analytics data met Google voor diverse doeleinden. Daarnaast is het mogelijk gebruikers te tracken door middel van een User ID. Google Analytics werkt op basis van IP-adressen, die je kunt herleiden naar personen en dat is daarom niet anoniem.

Om aan de nieuwe wetgeving te voldoen, moet in de cookiemelding te lezen zijn dat cookies pas geplaatst worden als mensen:

  • Actief aangeven dat ze hiermee akkoord gaan, of
  • Als ze verder navigeren door de website. Dit laatste is voor nu is de makkelijkste oplossing.

TIP> Meld bij iedere bezoeker op de website dat er cookies worden gebruikt en vraag of ze hiermee akkoord gaan.

Stap 3. Beveiliging regelen

De opslag en verwerking van gegevens moet op en top beveiligd zijn. Oftewel: een SSL-certificaat is nu echt een noodzaak. De website waar de persoonsgegevens opgeslagen zijn, moet voorzien zijn van de allerlaatste beveiligingsupdates van de gebruikte software en plugin.

TIP> Neem contact op met je web bouwer als dit op jouw website nog niet actief is. Je kunt het o.a. herkennen aan het groene slotje voor de URL.

Stap 4. Wees glashelder

Op het moment dat gebruikers persoonsgegevens achterlaten op je website, bijvoorbeeld bij het inschrijven van een e-mail nieuwsbrief, moet voor deze gegevens helder zijn waarom je ze nodig hebt en hoe je ze gaat gebruiken. Je moet bij het verzamelen van gegevens altijd verwijzen naar de privacyverklaring van jouw website of onderneming.

TIP> Geef duidelijk aan waar iemand zich voor inschrijft en hoe vaak er wordt verstuurd

Stap 5. Het recht om vergeten te worden

Accounts en profielen moeten (zo eenvoudig mogelijk) in te zien, aan te passen of te verwijderen zijn. Mensen met een account bij een website kunnen wellicht al een aantal gegevens zelf inzien en wijzigen. Hetzelfde geldt voor e-mailvoorkeuren die gewijzigd kunnen worden binnen programma’s zoals MailChimp. Men moet zich ook specifiek kunnen afmelden voor dataprofilering. Dit is – heel eenvoudig gesteld – het opdelen van de doelgroep in groepen. Met als doel deze een nog beter toegespitste boodschap voor te leggen, die hoogstwaarschijnlijk eerder leidt tot conversie.

MailChimp doet dat al en geeft dat ook aan in de footer van een nieuwsbrief, er staat dan zoiets als ‘klik hier om jouw profiel te wijzigen’. Dit geldt ook voor het verwijderen van gegevens (het recht om vergeten te worden). In de privacyverklaring moet daarom ook heel staan hoe mensen hun gegevens kunnen wijzigen of verwijderen.

TIP> Verwerk in de privacyverklaring hoe men gegevens kan aanpassen.

Stap 6. Legale lijsten

Je moet al je e-mail opt-ins ‘registreren’. Achteraf moet je kunnen aantonen hoe je ze hebt verkregen en waarvoor deze personen precies toestemming hebben gegeven. Zo moet je dus onderscheid maken tussen opt-ins die worden verkregen als iemand een bestelling doet en bijvoorbeeld voor opt-ins die verkregen hebt via een pop-up of lead magnet (een gratis aanbod dat je doet aan je bezoeker in ruil voor het e-mailadres van deze bezoeker).

TIP> In mailchimp is ook de mogelijkheid om in de lijst te verwerken waar de e-mail adressen vandaan komen, houd deze goed bij. Geef aan op welke manier de klant toestemming heeft gegeven om zijn gegevens met je te delen

Stap 7. Leg vast hoe lang je persoonsgegevens bewaart

Eigenlijk mag je persoonsgegevens niet langer bewaren dan noodzakelijk voor het doel van je verwerking. Onder het mom van statistische doeleinden kun je deze termijn vrij lang maken. Statistische doeleinden zijn als je de gegevens gebruikt voor bijvoorbeeld de opbouw van je statistieken of onderzoek. Beschrijf dit wel goed in je privacyverklaring. Overigens is dit (nog) een grijs gebied. Volg de berichtgeving over dit onderwerp dus goed.

TIP> Check welke gegevens je Google Analytics gebruikt en geef dit aan in de privacyverklaring

Stap 8. Bewerkersovereenkomsten

Je hebt een bewerkersovereenkomst (ook wel DPA – data processing agreement genoemd) nodig met alle partijen die toegang hebben tot de persoonsgegevens die jij verzamelt. Dit is het vervelendste punt van die hele AVG, hoewel het niet nieuw is. De verwachting is dat er veel strenger gecontroleerd gaat worden en ook zijn er een aantal verplichte zaken bijgekomen.

Het betreft dus een overeenkomst die je afsluit met partijen als Google Analytics, MailChimp, hostingbedrijf, programmeur, et cetera. De overeenkomst biedt garanties dat de bescherming van de rechten van personen wordt gewaarborgd. Als er problemen ontstaan, kan de verwerker hier verantwoordelijk en aansprakelijk voor zijn.

TIP> Controleer wat jouw relaties zeggen in hun privacyverklaring over het waarborgen van de klantengegevens

Extra to-do’s voor je nieuwsbrief

  • Zorg dat alle opt-ins die je hebt binnen je website, shop, social media en landingspagina’s voldoen aan de eisen die hierboven staan beschreven. Vergeet ook je lead-magnets niet!
  • Als iemand nog geen 16 jaar is, moet iemand met ouderlijk gezag (mede)toestemming geven
  • Overbodig om te vermelden eigenlijk, maar toch: je mag iemand natuurlijk niet meer mailen als iemand zich uitschrijft voor je nieuwsbrieven
  • Een ‘noreply@’-e-mailadres mag onder de nieuwe wetgeving niet meer. Als je dat nu gebruikt als afzender voor je (nieuwsbrief)mailverkeer, dan moet je dat aanpassen naar een adres waar de ontvanger wel naar kan mailen
  • Alleen iemands naam en mailadres vallen onder ‘gewone informatie’ die je mag opvragen. Vraag je bijvoorbeeld om een geboortedatum, dan moet je laten weten waarom (een verrassing op je verjaardag).
  • Ga na of de softwareleverancier van jouw nieuwsbrief AVG-proof is

Zie de AVG als een kans, het is verhelderend en een frisse wind door jouw klantengegevens!

Verder adviseer ik online ondernemers om het als een kans te zien. Hoe dan? Doordat je transparanter in je communicatie naar de klant moet worden. Dat betekent dan ook dat je klantgericht én dus persoonlijker zal kunnen communiceren. Als je dat op de juiste manier doet, gaat je klant dat ongetwijfeld waarderen.

Share this post



Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *