Zo maak je jouw website AVG-proof

Charlotte Wigny

26-04-2018

9minutenleestijd

Security Website

Of je nu een ondernemer bent dan wel een vrijwilliger bij een vereniging of stichting, op 25 mei 2018 dien je te voldoen aan de Algemene verordening gegevensbescherming (AVG). Indien je een website beheert, wil je uiteraard weten wat vanuit de AVG aandachtspunten zijn voor je site. In dit artikel zetten we ze voor je op een rij.

Wat houdt de AVG in?

De AVG, ook wel bekend als de General Data Protection Regulation (GDPR), vervangt vanaf 25 mei 2018 onze Nederlandse privacywet: de Wet bescherming persoonsgegevens (Wbp). De AVG geldt straks voor alle lidstaten van de Europese Unie.

Het voornaamste doel van de AVG is het beter waarborgen van de privacy van burgers. De verordening bevat daarom uitgebreide privacyrechten voor burgers. Daarnaast worden er meer verantwoordelijkheden neergelegd bij organisaties met betrekking tot gegevensverwerking. Iedereen die persoonsgegevens verwerkt, dient dit vanaf 25 mei 2018 volgens de regels van de AVG te doen. Doe je dit niet? Dan kun je een hoge boete opgelegd krijgen.

Tip: Wil je meer lezen over de algemene uitgangspunten van de AVG, de verplichtingen voor ondernemers of de privacyrechten van betrokkenen? Lees dan ons artikel ‘De AVG: wat moet je als ondernemer weten?’

6 AVG-tips voor je website

De AVG stelt geen specifieke technische eisen aan je website. In de wet staat bijvoorbeeld niet dat je een SSL-certificaat moet hebben. Het is wettelijk wel verplicht om aan te tonen dat je websitebeveiliging op orde is. Jij dient er dus alles aan te doen om gegevens van klanten, leden en donateurs veilig te verwerken. Ga om te beginnen na of je persoonsgegevens op jouw website verwerkt. Zo ja, noteer welke gegevens dit zijn en bedenk welke maatregelen jij moet nemen om je website optimaal te beveiligen. Wij denken graag met je mee, daarom vind je hieronder een beknopte checklist.

Let op: Wij zijn geen juristen, dus twijfel je of heb je aanvullende vragen? Neem dan contact op met een juridische partij die gespecialiseerd is in ict-vraagstukken.

1. Zorg voor een duidelijke privacyverklaring

Mogelijk heb je al een privacyverklaring op je website staan. Voor de AVG moet jouw privacyverklaring nog transparanter zijn. Je dient bijvoorbeeld toe te lichten hoe lang je persoonsgegevens bewaart en of je deze gegevens deelt met anderen. Verder dien je jouw klanten te attenderen op hun rechten en de mogelijkheid tot het indienen van een klacht bij de Autoriteit Persoonsgegevens (AP). Benieuwd wat er precies in je privacyverklaring moet staan? Bekijk dan deze handige checklist van Charlotte’s Law.

2. Vraag op een correcte manier toestemming

Bevat jouw website een contact- of downloadformulier? Zorg er dan voor dat je deze gegevens alleen gebruikt om contact op te nemen of een download toe te sturen. Je mag zonder expliciete toestemming (opt-in) deze persoon niet abonneren op een nieuwsbrief of een andere mailing.

Als organisatie moet je kunnen aantonen dat een bezoeker vrijwillig en specifiek voor bepaalde informatie toestemming heeft gegeven. Wil je dus dat een websitebezoeker zich aanmeldt voor je nieuwsbrief? Doe dit dan via een apart aanvinkboxje. Hierbij is het belangrijk dat je specifiek en duidelijk uitlegt welke informatie je toestuurt. Vermeld ook in welke vorm en frequentie je dit wilt doen. Verder is het goed om te weten dat het gebruik van vooraangevinkte boxjes niet langer is toegestaan.

Werk je met MailChimp? MailChimp heeft diverse maatregelen genomen om organisaties te helpen met de AVG. Meer informatie vind je op het blog van MailChimp.

3. Let op met WordPress-plugins

Ongeveer 30% van alle websites is gebouwd met WordPress. Heb jij een WordPress-website gemaakt? Houd er dan rekening mee dat je WordPress-plugins in lijn dienen te zijn met de AVG. Verzamel via je plugins dus geen onnodige gegevens, en deel niet zomaar zonder een verwerkersovereenkomst gegevens met derden. We raden je aan een overzicht te maken van de WordPress-plugins op je site. Vervolgens kun je per plugin nagaan welke gegevens deze verzamelt. Een overzicht van je plugins vind je onder ‘Plugins’ in de sidebar van je WordPress-Dashboard.

Een overzicht gemaakt? Goed bezig. Ga nu na of de plugins voldoen aan de AVG. Dit kun je veelal vinden op de website van de pluginmaker of via WordPress.org. Via WordPress.org kun je bijvoorbeeld onder het ‘Support’-tabje van een specifieke plugin zoeken op ‘GDPR’. Geen resultaten gevonden of twijfel je? Stuur dan gerust de makers van de plugin een berichtje of ga op zoek naar een andere plugin die wel aan de vereisten voldoet.

4. Verwijder onnodige accounts

Organisaties zijn volgens de AVG verplicht om alleen bevoegde medewerkers toegang tot persoonsgegevens te geven. Dit geldt uiteraard ook voor de back-end van je website. Ga dus na wie er toegang hebben tot jouw website. Verwijder vervolgens de gebruikers voor wie toegang voor hun werkzaamheden niet vereist is.

5. Versleutel gegevens

Vanuit de AVG is het verplicht om je gegevens veilig op te slaan. Wij raden je aan om klantgegevens versleuteld op te slaan. Versleutelde gegevens zijn namelijk minder waardevol voor kwaadwillende derden dan onversleutelde gegevens. Er bestaan diverse tools om gegevens te versleutelen. Denk bijvoorbeeld aan 7-zip of AESCrypt.

Daarnaast kun je een https-verbinding op je website tot stand brengen. Een https-verbinding is een versleutelde verbinding waarmee websitegebruikers gegevens versleuteld naar jou als website-eigenaar sturen. Een https-verbinding kun je tot stand brengen met een SSL-certificaat.

Leestip

Artikel

Wat is SSL? Ontdek alles over de verschillende certificaten

Met SSL creëer je een veilige websiteverbinding voor je bezoekers. Wil je weten wat SSL precies is? Lees dan deze gids.

Lees artikel

6. Vraag actief akkoord voor cookies

Op dit moment geldt voor cookies de Nederlandse cookiewet. Deze zal naar verwachting in 2019 plaatsmaken voor de e-Privacyverordening (EPV). Dit duurt nog even, maar het is handig om de nieuwe regels direct mee te nemen in je privacybeleid. De EPV zal namelijk naast de AVG van kracht zijn. Er bestaan verschillende soorten cookies:

• Functionele cookies – Deze cookies zijn nodig om je website te laten werken. Denk aan het tonen van een product in het winkelmandje.
• Analytische cookies – Hiermee krijg je inzicht in de statistieken van je website. Google Analytics maakt bijvoorbeeld gebruik van analytische cookies.
• Marketing-cookies (ook wel tracking-cookies genoemd) – Met deze cookies volg je het surfgedrag van bezoekers. Bedrijven kunnen met deze informatie gerichte aanbiedingen doen.

Cookies mogen momenteel worden geplaatst, mits er toestemming voor is verkregen, ze functioneel van aard zijn of ze geen/geringe invloed hebben op de persoonlijke levenssfeer van de betrokkene (ICTRecht, website ICTRecht: https://ictrecht.nl/2017/01/13/de-e-privacyverordening-eindelijk-de-nederlandse-cookiewet-op-de-schop/, 13 januari  2017). Ook in de nieuwe situatie hoeven je websitegebruikers geen toestemming te geven voor functionele cookies. Analytische cookies mag je toepassen, mits ze voor eigen gebruik zijn en niet gedeeld worden met derden. Gebruik je Google Analytics? Stel Google Analytics dan ‘privacyvriendelijk’ in.

Wat rest zijn de marketing-cookies. Voor het gebruik van deze cookies moet je toestemming blijven vragen. Bovendien kunnen internetgebruikers met ingang van de EPV via hun browserinstellingen marketing-cookies accepteren of weigeren. De instellingen mogen niet worden genegeerd, wel mag je vragen of een gebruiker alsnog de marketing-cookies wil toestaan. Een cookie-wall – het niet weergeven van de website voor bezoekers die niet akkoord gaan met cookies – is niet langer toegestaan.

Ons advies? Ga na welke cookies je gebruikt op je site. Verwijder onnodige cookies en vraag indien nodig toestemming aan je websitebezoekers voor de cookies. Dit kun je doen middels een cookiebanner met een verwijzing naar je cookieverklaring. Heb je hulp nodig bij het opstellen van een cookiebanner en/of cookieverklaring? Lees dan het artikel van ICTRecht.

En hoe zit het dan met…

Op internet kun je diverse artikelen, checklists en websitecheckers vinden over de vereisten die de AVG aan je website stelt. Helaas zien we het vaak gebeuren dat deze informatiebronnen website-eigenaren onnodig bang maken. Niet alles wat geschreven wordt, is namelijk een vereiste voor de AVG. Hieronder vind je enkele (technische) aspecten die niet direct relevant zijn voor de AVG.

IPv6

Dankzij het internetprotocol (IP) kunnen computers met elkaar communiceren. Op dit moment kennen we 2 versies van het internetprotocol: versie 4 en versie 6. Internetprotocol versie 4 noemen we IPv4, en internetprotocol versie 6 heet IPv6. IPv6 is voornamelijk ontwikkeld om het tekort aan beschikbare IP-adressen te verhelpen. IPv6 levert geen directe bijdrage aan de veiligheid van een website en is daarom niet van belang voor de AVG.

HSTS

HSTS staat voor ‘HTTP strict transport security’. Dit is een beveiligingsmechanisme tegen zogeheten downgrade-aanvallen. Door het mechanisme kunnen webservers vereisen dat webbrowsers alleen beveiligde https-verbindingen kunnen gebruiken, in plaats van het onveilige http-protocol. Zoals gezegd is een https-verbinding aan te raden, maar geen vereiste voor de AVG. Dit geldt ook voor HSTS.

DNSSEC

Domain Name System (DNS) is het systeem dat wordt gebruikt om namen van computers naar numerieke adressen (IP-adressen) te vertalen en omgekeerd. Met DNSSEC ben je er zeker van dat de DNS naar het juiste IP-adres wordt doorgezet. Goed om te weten: bijna alle domeinen die Hostnet aanbiedt, zijn standaard beveiligd met DNSSEC.

Het serveren van onjuiste DNS-records door kwaadwillenden is een lastige klus en komt om die reden bijna niet voor. Daarnaast zullen gebruikers nooit een geldig SSL-certificaat tegenkomen op verkeerd geserveerde domeinnamen. Het risico op hacks en datalekken is zonder het gebruik van DNSSEC daarom erg klein. DNSSEC is dus een kleine stap naar een veiligere website, maar is niet nodig om te kunnen voldoen aan de AVG.

Meer weten over DNS en DNSSEC? Lees dan ons artikel ‘Wat is DNS?’.

Hostnet en de AVG

Als je samenwerkt met partijen die in jouw opdracht persoonsgegevens verwerken, dan ben je verplicht met iedere verwerker een verwerkersovereenkomst te sluiten. Dit dien je ook te doen met je hostingpartij. Ben je klant bij Hostnet? Dan ontvang je in de komende weken een bericht waarin we je vragen via Mijn Hostnet een verwerkersovereenkomst af te sluiten.

Heb je voor die tijd al vragen? Neem dan contact op met onze Klantenservice. Onze Klantenservice is telefonisch bereikbaar op 020-7500800, via de chat op Hostnet.nl of via sales@hostnet.nl.

What’s next?

Het AVG-proof maken van je website is een stap in de goede richting. Maar vergeet ook zeker niet de andere processen binnen jouw organisatie na te lopen. Je bent vanuit de AVG bijvoorbeeld ook verplicht:

• om alle verwerkingen van persoonsgegevens in een register te documenteren (registerplicht);
• bij de ontwikkeling van producten en diensten voldoende rekening te houden met privacy (privacy by design);
• indien nodig te werken met een Privacy Impact Assessment (PIA);
• een functionaris voor de gegevensbescherming aan te stellen (dit is niet voor iedere organisatie verplicht, maar mag wel altijd);
• datalekken te registreren (ook indien je deze niet bij de AP hoeft te melden);
• verwerkersovereenkomsten te sluiten met de partijen met wie je samenwerkt.

Denk er daarnaast aan dat de AVG betrokkenen meer privacyrechten geeft. Als verantwoordelijke voor de verwerking van persoonsgegevens ben je verplicht gehoor te geven aan deze rechten.

Voor meer informatie over de AVG verwijzen we je graag door naar de sites van ICTRecht, de Autoriteit Persoonsgegevens en het Ministerie van Justitie en Veiligheid.

v.a. 1 , – p/m

Webhosting

Ontwikkel razendsnel websites op betrouwbare en snelle webhosting. Inclusief uitgebreide features.

• 7 dagen p/w hostingsupport
• Installeer in 1 klik WordPress
• Gratis Wildcard SSL
• Zakelijke e-mail
• Stabiel en razendsnel platform
• Direct opgeleverd

Naar webhosting