Zo maak je jouw website AVG-proof

Charlotte Wigny
leestijd
Zo maak je jouw website AVG-proof

Of je nu een ondernemer bent dan wel een vrijwilliger bij een vereniging of stichting, op 25 mei 2018 dien je te voldoen aan de Algemene verordening gegevensbescherming (AVG). Indien je een website beheert, wil je uiteraard weten wat vanuit de AVG aandachtspunten zijn voor je site. In dit artikel zetten we ze voor je op een rij.

Wat houdt de AVG in?

De AVG, ook wel bekend als de General Data Protection Regulation (GDPR), vervangt vanaf 25 mei 2018 onze Nederlandse privacywet: de Wet bescherming persoonsgegevens (Wbp). De AVG geldt straks voor alle lidstaten van de Europese Unie.

Het voornaamste doel van de AVG is het beter waarborgen van de privacy van burgers. De verordening bevat daarom uitgebreide privacyrechten voor burgers. Daarnaast worden er meer verantwoordelijkheden neergelegd bij organisaties met betrekking tot gegevensverwerking. Iedereen die persoonsgegevens verwerkt, dient dit vanaf 25 mei 2018 volgens de regels van de AVG te doen. Doe je dit niet? Dan kun je een hoge boete opgelegd krijgen.

Tip: Wil je meer lezen over de algemene uitgangspunten van de AVG, de verplichtingen voor ondernemers of de privacyrechten van betrokkenen? Lees dan ons artikel ‘De AVG: wat moet je als ondernemer weten?

Ontwikkel websites op betrouwbare en stabiele webhosting. Inclusief SSL en zakelijke e-mail.

6 AVG-tips voor je website

De AVG stelt geen specifieke technische eisen aan je website. In de wet staat bijvoorbeeld niet dat je een SSL-certificaat moet hebben. Het is wettelijk wel verplicht om aan te tonen dat je websitebeveiliging op orde is. Jij dient er dus alles aan te doen om gegevens van klanten, leden en donateurs veilig te verwerken. Ga om te beginnen na of je persoonsgegevens op jouw website verwerkt. Zo ja, noteer welke gegevens dit zijn en bedenk welke maatregelen jij moet nemen om je website optimaal te beveiligen. Wij denken graag met je mee, daarom vind je hieronder een beknopte checklist.

Let op: Wij zijn geen juristen, dus twijfel je of heb je aanvullende vragen? Neem dan contact op met een juridische partij die gespecialiseerd is in ict-vraagstukken.

1. Zorg voor een duidelijke privacyverklaring

Mogelijk heb je al een privacyverklaring op je website staan. Voor de AVG moet jouw privacyverklaring nog transparanter zijn. Je dient bijvoorbeeld toe te lichten hoe lang je persoonsgegevens bewaart en of je deze gegevens deelt met anderen. Verder dien je jouw klanten te attenderen op hun rechten en de mogelijkheid tot het indienen van een klacht bij de Autoriteit Persoonsgegevens (AP). Benieuwd wat er precies in je privacyverklaring moet staan? Bekijk dan deze handige checklist van Charlotte’s Law.

2. Vraag op een correcte manier toestemming

Bevat jouw website een contact- of downloadformulier? Zorg er dan voor dat je deze gegevens alleen gebruikt om contact op te nemen of een download toe te sturen. Je mag zonder expliciete toestemming (opt-in) deze persoon niet abonneren op een nieuwsbrief of een andere mailing.

Als organisatie moet je kunnen aantonen dat een bezoeker vrijwillig en specifiek voor bepaalde informatie toestemming heeft gegeven. Wil je dus dat een websitebezoeker zich aanmeldt voor je nieuwsbrief? Doe dit dan via een apart aanvinkboxje. Hierbij is het belangrijk dat je specifiek en duidelijk uitlegt welke informatie je toestuurt. Vermeld ook in welke vorm en frequentie je dit wilt doen. Verder is het goed om te weten dat het gebruik van vooraangevinkte boxjes niet langer is toegestaan.

Werk je met MailChimp? MailChimp heeft diverse maatregelen genomen om organisaties te helpen met de AVG. Meer informatie vind je op het blog van MailChimp.

3. Let op met WordPress-plugins

Ongeveer 30% van alle websites is gebouwd met WordPress. Heb jij een WordPress-website gemaakt? Houd er dan rekening mee dat je WordPress-plugins in lijn dienen te zijn met de AVG. Verzamel via je plugins dus geen onnodige gegevens, en deel niet zomaar zonder een verwerkersovereenkomst gegevens met derden. We raden je aan een overzicht te maken van de WordPress-plugins op je site. Vervolgens kun je per plugin nagaan welke gegevens deze verzamelt. Een overzicht van je plugins vind je onder ‘Plugins’ in de sidebar van je WordPress-Dashboard.

Een overzicht gemaakt? Goed bezig. Ga nu na of de plugins voldoen aan de AVG. Dit kun je veelal vinden op de website van de pluginmaker of via WordPress.org. Via WordPress.org kun je bijvoorbeeld onder het ‘Support’-tabje van een specifieke plugin zoeken op ‘GDPR’. Geen resultaten gevonden of twijfel je? Stuur dan gerust de makers van de plugin een berichtje of ga op zoek naar een andere plugin die wel aan de vereisten voldoet.

4. Verwijder onnodige accounts

Organisaties zijn volgens de AVG verplicht om alleen bevoegde medewerkers toegang tot persoonsgegevens te geven. Dit geldt uiteraard ook voor de back-end van je website. Ga dus na wie er toegang hebben tot jouw website. Verwijder vervolgens de gebruikers voor wie toegang voor hun werkzaamheden niet vereist is.

5. Versleutel gegevens

Vanuit de AVG is het verplicht om je gegevens veilig op te slaan. Wij raden je aan om klantgegevens versleuteld op te slaan. Versleutelde gegevens zijn namelijk minder waardevol voor kwaadwillende derden dan onversleutelde gegevens. Er bestaan diverse tools om gegevens te versleutelen. Denk bijvoorbeeld aan 7-zip of AESCrypt.

Daarnaast kun je een https-verbinding op je website tot stand brengen. Een https-verbinding is een versleutelde verbinding waarmee websitegebruikers gegevens versleuteld naar jou als website-eigenaar sturen. Een https-verbinding kun je tot stand brengen met een SSL-certificaat.

6. Vraag actief akkoord voor cookies

Op dit moment geldt voor cookies de Nederlandse cookiewet. Deze zal naar verwachting in 2019 plaatsmaken voor de e-Privacyverordening (EPV). Dit duurt nog even, maar het is handig om de nieuwe regels direct mee te nemen in je privacybeleid. De EPV zal namelijk naast de AVG van kracht zijn. Er bestaan verschillende soorten cookies:

  • Functionele cookies – Deze cookies zijn nodig om je website te laten werken. Denk aan het tonen van een product in het winkelmandje.
  • Analytische cookies – Hiermee krijg je inzicht in de statistieken van je website. Google Analytics maakt bijvoorbeeld gebruik van analytische cookies.
  • Marketing-cookies (ook wel tracking-cookies genoemd) – Met deze cookies volg je het surfgedrag van bezoekers. Bedrijven kunnen met deze informatie gerichte aanbiedingen doen.

Cookies mogen momenteel worden geplaatst, mits er toestemming voor is verkregen, ze functioneel van aard zijn of ze geen/geringe invloed hebben op de persoonlijke levenssfeer van de betrokkene (ICTRecht, website ICTRecht: https://ictrecht.nl/2017/01/13/de-e-privacyverordening-eindelijk-de-nederlandse-cookiewet-op-de-schop/, 13 januari  2017). Ook in de nieuwe situatie hoeven je websitegebruikers geen toestemming te geven voor functionele cookies. Analytische cookies mag je toepassen, mits ze voor eigen gebruik zijn en niet gedeeld worden met derden. Gebruik je Google Analytics? Stel Google Analytics dan ‘privacyvriendelijk’ in.

Wat rest zijn de marketing-cookies. Voor het gebruik van deze cookies moet je toestemming blijven vragen. Bovendien kunnen internetgebruikers met ingang van de EPV via hun browserinstellingen marketing-cookies accepteren of weigeren. De instellingen mogen niet worden genegeerd, wel mag je vragen of een gebruiker alsnog de marketing-cookies wil toestaan. Een cookie-wall – het niet weergeven van de website voor bezoekers die niet akkoord gaan met cookies – is niet langer toegestaan.

Ons advies? Ga na welke cookies je gebruikt op je site. Verwijder onnodige cookies en vraag indien nodig toestemming aan je websitebezoekers voor de cookies. Dit kun je doen middels een cookiebanner met een verwijzing naar je cookieverklaring. Heb je hulp nodig bij het opstellen van een cookiebanner en/of cookieverklaring? Lees dan het artikel van ICTRecht.

En hoe zit het dan met…

Op internet kun je diverse artikelen, checklists en websitecheckers vinden over de vereisten die de AVG aan je website stelt. Helaas zien we het vaak gebeuren dat deze informatiebronnen website-eigenaren onnodig bang maken. Niet alles wat geschreven wordt, is namelijk een vereiste voor de AVG. Hieronder vind je enkele (technische) aspecten die niet direct relevant zijn voor de AVG.

IPv6

Dankzij het internetprotocol (IP) kunnen computers met elkaar communiceren. Op dit moment kennen we 2 versies van het internetprotocol: versie 4 en versie 6. Internetprotocol versie 4 noemen we IPv4, en internetprotocol versie 6 heet IPv6. IPv6 is voornamelijk ontwikkeld om het tekort aan beschikbare IP-adressen te verhelpen. IPv6 levert geen directe bijdrage aan de veiligheid van een website en is daarom niet van belang voor de AVG.

HSTS

HSTS staat voor ‘HTTP strict transport security’. Dit is een beveiligingsmechanisme tegen zogeheten downgrade-aanvallen. Door het mechanisme kunnen webservers vereisen dat webbrowsers alleen beveiligde https-verbindingen kunnen gebruiken, in plaats van het onveilige http-protocol. Zoals gezegd is een https-verbinding aan te raden, maar geen vereiste voor de AVG. Dit geldt ook voor HSTS.

DNSSEC

Domain Name System (DNS) is het systeem dat wordt gebruikt om namen van computers naar numerieke adressen (IP-adressen) te vertalen en omgekeerd. Met DNSSEC ben je er zeker van dat de DNS naar het juiste IP-adres wordt doorgezet. Goed om te weten: bijna alle domeinen die Hostnet aanbiedt, zijn standaard beveiligd met DNSSEC.

Het serveren van onjuiste DNS-records door kwaadwillenden is een lastige klus en komt om die reden bijna niet voor. Daarnaast zullen gebruikers nooit een geldig SSL-certificaat tegenkomen op verkeerd geserveerde domeinnamen. Het risico op hacks en datalekken is zonder het gebruik van DNSSEC daarom erg klein. DNSSEC is dus een kleine stap naar een veiligere website, maar is niet nodig om te kunnen voldoen aan de AVG.

Meer weten over DNS en DNSSEC? Lees dan ons artikel ‘Wat is DNS?’.

Hostnet en de AVG

Als je samenwerkt met partijen die in jouw opdracht persoonsgegevens verwerken, dan ben je verplicht met iedere verwerker een verwerkersovereenkomst te sluiten. Dit dien je ook te doen met je hostingpartij. Ben je klant bij Hostnet? Dan ontvang je in de komende weken een bericht waarin we je vragen via Mijn Hostnet een verwerkersovereenkomst af te sluiten.

Heb je voor die tijd al vragen? Neem dan contact op met onze Klantenservice. Onze Klantenservice is telefonisch bereikbaar op 020-7500800, via de chat op Hostnet.nl of via sales@hostnet.nl.

What’s next?

Het AVG-proof maken van je website is een stap in de goede richting. Maar vergeet ook zeker niet de andere processen binnen jouw organisatie na te lopen. Je bent vanuit de AVG bijvoorbeeld ook verplicht:

  • om alle verwerkingen van persoonsgegevens in een register te documenteren (registerplicht);
  • bij de ontwikkeling van producten en diensten voldoende rekening te houden met privacy (privacy by design);
  • indien nodig te werken met een Privacy Impact Assessment (PIA);
  • een functionaris voor de gegevensbescherming aan te stellen (dit is niet voor iedere organisatie verplicht, maar mag wel altijd);
  • datalekken te registreren (ook indien je deze niet bij de AP hoeft te melden);
  • verwerkersovereenkomsten te sluiten met de partijen met wie je samenwerkt.

Denk er daarnaast aan dat de AVG betrokkenen meer privacyrechten geeft. Als verantwoordelijke voor de verwerking van persoonsgegevens ben je verplicht gehoor te geven aan deze rechten.

Voor meer informatie over de AVG verwijzen we je graag door naar de sites van ICTRecht, de Autoriteit Persoonsgegevens en het Ministerie van Justitie en Veiligheid.

Product
v.a. 1 , p/m

Webhosting

Ontwikkel razendsnel websites op betrouwbare en snelle webhosting. Inclusief uitgebreide features.

  • 7 dagen p/w hostingsupport
  • Installeer in 1 klik WordPress
  • Gratis Wildcard SSL
  • Zakelijke e-mail
  • Stabiel en razendsnel platform
  • Direct opgeleverd
Delen
Charlotte Wigny

Tot voor kort was Charlotte werkzaam als Communicatiemedewerker bij Hostnet. Hierbij hield zij zich bezig met het schrijven en redigeren van allerlei communicatie-uitingen. Een goede mix van haar passie voor taal en haar interesse in technologie.

Reacties 28
  • Vraagje: een persoon vraagt zich af welke data wij over hem/haar beschikken en wil dit graag inzien (wat zijn recht is). Het lijkt me niet dat ik deze per e-mail kan gaan versturen. Zijn hier ook regels/oplossingen voor?

    • Beste Richard,

      Die zijn er zeker. Op de website van de Autoriteit Persoonsgegevens vind je meer informatie over het recht van inzage en de veelgestelde vragen over dit onderwerp: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/recht-op-inzage.

      Mocht je er niet uitkomen, dan kun je eventueel ook telefonisch contact opnemen met de Autoriteit Persoonsgegevens.

      Met vriendelijke groet,

      Charlotte

  • Duidelijk artikel Charlotte!

    • Dankjewel, Cindy!

  • Charlotte, moet ik als eenmanszaak en management consultant speciale acties ondernemen. De website is niet in wordpress/geen plugins, geen personeel, geen verzamelde gegevens van klanten e.d., contact formulier is er maar kent geen actief gebruik en binnenkomende emails worden verwijderd, nieuwsbrief is niet van toepassing …… Alles beveiligd conform laatste standaard….

    Echter 1 gewetensvraag … zoals zovele ondernemers ook een FB pagina waarop wat reclame uitingen. Wat FB hier mee doet weten we inmiddels allemaal. Kan dit binnen de AVG?

    • Beste Eric,

      Bedankt voor je vragen. Ook als je een eenmanszaak hebt, dien je gepaste maatregelen te nemen voor de AVG. Uit je reactie maak ik op dat je op je website enkel persoonsgegevens verzamelt via een contactformulier. Ondanks dat het formulier weinig gebruikt wordt, is het goed om na te gaan of je met het formulier enkel de gegevens verzamelt die je nodig hebt. Vraag je bijvoorbeeld naam, adres, e-mailadres en telefoonnummer in je formulier? En neem je vervolgens altijd telefonisch of via e-mail contact op? Dan heb je de adresgegevens niet nodig, en dien je dat veld te verwijderen. Voor de AVG is het namelijk belangrijk dat je alleen de gegevens verzamelt die je echt nodig hebt. De verzamelde gegevens dien je vervolgens ook alleen te gebruiken om contact op te nemen met die persoon. Wij raden je aan dit in een privacyverklaring op je website te vermelden.

      Verder kun je voor de zekerheid nog even nadenken of je website gebruikmaakt van cookies (gebruik je bijvoorbeeld Google Analytics, dan gebruik je ook cookies) en of je website gekoppeld is aan software van derden. Denk bijvoorbeeld aan een boekhoudpakket.

      Het gebruik van socialmedia-kanalen zoals Facebook is uiteraard toegestaan binnen de AVG, mits de social media voldoen aan de wetgeving. Facebook is momenteel bezig om het platform in orde te maken voor de AVG. Mocht je hier meer over willen weten, dan verwijs ik je door naar: https://www.facebook.com/business/gdpr

      Met vriendelijke groet,
      Charlotte

  • Goed artikel. Dank je!

    • Graag gedaan, Anco!

  • Heel fijn en duidelijk dit artikel! Met alle linkjes naar andere pagina’s met informatie heb ik zo een compleet overzicht van wat ik moet doen ivm de AVG. Bedankt Charlotte!

    • Beste Jolanda,

      Goed om te horen! Ik wens je veel succes met de wijzigingen!

      Met vriendelijke groet,

      Charlotte

  • Hallo Charlotte, Ik heb jou artikel: Zo maak je jouw…..etc. gelezen. Wij zijn een clubje van 4 hobby fotografen en beheren een aantal FB-sites. Alle sites zijn niet-commercieel en we verwerken ook geen persoonsgegevens. Wel maken wij in de stad waarin wij wonen evenementen foto’s met een stukje redactie/toelichting. We hebben zo ongeveer 50.000 bezoekers wekelijks van onze sites. We vragen steeds toestemming om een foto te maken/plaatsen. Momenteel gaan er nogal wat indianenverhalen rond wat wij wel mogen, vooral niet mogen in het kader van de A.V.G. Gaarne jouw advies in deze.

  • Hallo Charlotte,
    ik gebruik mijn website eigenlijk niet meer , ik heb een rallyteam/stichting en publiceerde eigenlijk alleen info van ons team en foto’s.
    moet ik dan ook van alles regelen voor de privacy wet, want anders stop ik gewoon met de website.
    met vriendelijke groet,
    steph

  • Accoord

  • Beste Charlotte, Voor een klant ben ik bezig om een offerte module op de website te installeren. Klanten kunnen dan op de website hun gegevens invullen en een paar vragen beantwoorden. Hierna ontvangen ze in hun mailbox een uitgebreide offerte. Wat moet ik doen om alles AVG proof te maken? Kan hier niet veel over vinden?

    • Beste Lianka,

      Dankjewel voor je reactie. Iedere situatie is natuurlijk anders, maar ik raad je in ieder geval aan:

      1. Ga na of de websitebeveiliging op orde is. Website-eigenaren dienen er namelijk alles aan te doen om gegevens van klanten, leden of donateurs veilig te verwerken. Wij raden je bijvoorbeeld aan om klantgegevens versleuteld op te slaan en een https-verbinding tot stand te brengen.
      2. Zorg voor een duidelijke privacyverklaring. Op de website van Charlotte’s Law vind je een handige checklist: https://www.charlotteslaw.nl/2018/01/is-privacyverklaring-al-avg-gdpr-ready/
      3. Vraag toestemming en gebruik de gegevens alleen om de offerte toe te sturen. Je mag zonder expliciete toestemming (opt-in) deze persoon niet abonneren op een nieuwsbrief of een andere mailing.

      Voor aanvullende vragen verwijs ik je graag door naar juridische partijen zoals ICTRecht (https://ictrecht.nl/) of Charlotte’s Law (https://www.charlotteslaw.nl/). Ook zou je een kijkje kunnen nemen op https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving of contact op kunnen nemen met de Autoriteit Persoonsgegevens.

      Heel veel succes!

      Met vriendelijke groet,

      Charlotte

  • Prima. Akkoord

  • Duidelijk en helder opgesteld, dank jullie wel.

  • Okay!

  • thanks

  • Dank

  • Oke

  • Oké

  • Duidelijke uitleg Hostnet !

    • Bedankt, Abel! Dat vinden we fijn om te horen.

  • Goedemorgen,
    Zou je dit proces ook uit handen kunnen geven? Zodat een ander de website AVG proof maakt?
    En als je de factuur per mail stuurt hoe werkt het dan?
    Warme groet,
    Engel

    • Beste Engel,

      Dankjewel voor je vragen. Er zijn inderdaad partijen die websites AVG-proof maken. Je kunt via Google een organisatie proberen te zoeken die dit voor je uit handen neemt. Hostnet biedt dit niet aan.
      Om antwoord te geven op je laatste vraag: ja, maar het hangt wel af van de hoeveelheid en gevoeligheid van de persoonsgegevens die in de factuur zijn opgenomen. Bij twijfel kun je het best contact opnemen met een jurist

      Ik hoop dat je antwoord op je vragen hebt.

      Groetjes,

      Lysanne

Reageer

Praat mee over dit onderwerp

  • Laat hier jouw reactie achter.
  • Vul jouw naam in.
  • Vul jouw e-mailadres in.

Met het plaatsen van mijn reactie ga ik ermee akkoord dat Hostnet Academy (indien van toepassing) een afbeelding van https://en.gravatar.com/ toont die gekoppeld is aan het door mij opgegeven e-mailadres. Ook ben ik mij bewust van de gedragscode van Hostnet Academy.