Aan welke AVG regels moet jouw website of webshop voldoen?
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (“de AVG”) van kracht. Voor veel ondernemers is de AVG een ingewikkeld struikelblok. Sommigen krijgen er het gevoel van dat niks meer mag vanwege de privacy. Gelukkig is dat echt niet het geval. Ook onder de AVG kun je prima ondernemen, een website houden, nieuwsbrieven sturen en nog veel meer. Er is echt heel veel toegestaan, je moet alleen wel zorgen dat je het allemaal op de juiste manier doet. Dat klinkt misschien makkelijker gezegd dan gedaan, maar geen paniek! Ik ga het je hieronder uitleggen.
Achtergrond van de AVG
Voordat ik in ga op het effect van de AVG op jouw website of webshop, wil ik eerst een paar basisbegrippen uitleggen. Ik beperk me hierbij wel tot de begrippen die relevant zijn voor dit onderwerp.
persoonsgegevens
De AVG heeft betrekking op het verwerken van persoonsgegevens. Persoonsgegevens zijn alle gegevens die te zijn herleiden tot een persoon. Dit zijn natuurlijk gegevens als naam en adres, e-mail adres en geboortedatum, maar ook IP-adressen en zelfs bedrijfsgegevens van bijvoorbeeld zzp’ers. Het gaat om alle gegevens op basis waarvan je een persoon zou kunnen herkennen. Ook als je bepaalde kennis of apparatuur moet hebben om de informatie tot één specifiek persoon te kunnen herleiden, gaat het om persoonsgegevens.
Persoonsgegevens mogen niet worden verwerkt zonder een doel en een grondslag. Een doel kan zijn het verzenden van je nieuwsbrief, het versturen van een bestelling of cookies plaatsen om te kunnen zien hoe bezoekers zich gedragen op jouw website. Een geldige grondslag kan bijvoorbeeld een contract zijn, toestemming of gerechtvaardigd belang. Je mag ook alleen die persoonsgegevens verwerken die noodzakelijk zijn voor het doel waarvoor je verwerkt. Heb je genoeg aan een e-mailadres? Dan mag je niet ook om een telefoonnummer en/of geboortedatum vragen (tenzij dit voor jouw product of dienst wettelijk vereist is natuurlijk).
Verwerking persoonsgegevens
Je weet nu wat persoonsgegevens zijn, maar wanneer is er sprake van verwerking van persoonsgegevens? Bijna alles dat je doet met persoonsgegevens van een ander, is een verwerking. Opslaan, in beeld brengen, verzamelen, ordenen, bewerken, gebruiken, doorsturen, samenvoegen en verwijderen zijn de belangrijkste vormen van verwerken van persoonsgegevens. Je bent dus echt heel snel aan het verwerken.
Derden
Je mag persoonsgegevens van een ander natuurlijk niet delen met derden. Voor je website heb je echter wel te maken met een hele belangrijke “derde”, namelijk je webhoster. Dit is toegestaan, want zonder host heb jij natuurlijk ook geen website. Je hosting provider kan beschikking krijgen over persoonsgegevens van jouw bezoekers en klanten. Alles van jouw site wordt immers opgeslagen op hun servers en dat alleen al is een verwerking, of zij er verder nog iets mee doen of niet is dus niet relevant. Zorg er dus voor dat je een verwerkersovereenkomst afsluit met je hosting provider. Vaak is dit al opgenomen in de algemene voorwaarden van je webhoster, maar controleer dit wel even.
Hetzelfde geldt natuurlijk voor de bedrijven die je inschakelt voor online betalingen en je nieuwsbrief.
Het is echt belangrijk en je moet dit ook opnemen in je verwerkingsregister en privacyverklaring.
Verplichte documenten
Het is in principe verplicht om een verwerkingsregister bij te houden, waarin je opnoemt welke persoonsgegevens je verwerkt, met welk doel, hoe je ze beveiligt en nog een aantal andere zaken. Wat voor je website een belangrijk document is, is de privacyverklaring. Deze stel je vaak in één adem op met je verwerkingsregister. De privacyverklaring en het verwerkingsregister zijn echter wel twee verschillende documenten. Je kunt deze documenten aanvullen met een losse cookieverklaring, maar je kan de cookies ook verwerken in je privacyverklaring.
In de privacyverklaring vermeld je het volgende:
- De (contact)gegevens van de verantwoordelijke (jij dus);
- Of er derden toegang hebben tot de gegevens en wie dit zijn (bijvoorbeeld je boekhouder of webhoster, je hoeft zijn of haar (bedrijfs)naam niet te noemen;
- Of je met derden een verwerkersovereenkomst hebt (je hoeft de overeenkomst zelf niet te delen);
- De soorten persoonsgegevens die je verwerkt;
- Of je bijzondere persoonsgegevens verwerkt;
- Eventueel cookieverklaring, als je geen aparte cookieverklaring hebt of wilt;
- Welke categorieën van betrokkenen van wie je de persoonsgegevens verwerkt (bv. klanten, leveranciers, medewerkers);
- Op basis van welke grondslag je de gegevens verwerkt (toestemming, overeenkomst, de wet, eigen belang);
- Met wel doel je de gegevens verwerkt;
- Hoe de gegevens worden beveiligd (hierbij mag je ook verwijzen naar een intern beveiligingsbeleid);
- Welke rechten de betrokkenen hebben.
Dit is best omvangrijk, maar je hoeft het in principe ook maar één keer op te stellen. Daarna hoef je alleen maar af en toe wat aan te passen indien nodig. Het is wel belangrijk dat je hier echt aandacht aan besteed, want de boetes op het niet naleven van de AVG zijn hóóg! Je moet ook echt doen wat je in je privacyverklaring beweert te doen.
Als je twijfelt, laat dan een jurist meekijken of de privacyverklaring voor je opstellen, maar je kunt het ook zelf doen.
Cookies
Cookies zijn kleine bestandjes die worden geplaatst op het medium dat jouw websitebezoekers gebruiken. Dit is natuurlijk een heel privacygevoelige aangelegenheid, want hiermee verkrijg jij persoonsgegevens en bovendien plaats je iets bij een ander op zijn apparatuur. Dat is natuurlijk best een ding.
Sommige cookies zijn enkel functioneel en zorgen ervoor dat jouw site kan draaien en zichtbaar is. Je hoeft voor deze functionele cookies geen toestemming te vragen, want je hebt dan een gerechtvaardigd eigen belang. Ze zijn immers nodig om jouw website te laten draaien, waardoor jouw bedrijf zichtbaar en vindbaar is voor je (potentiele) klanten. Wel moet je laten weten dat jij deze cookies plaatst. Dat is best logisch, jij vindt het waarschijnlijk ook niet fijn als anderen zomaar zonder enige melding bestandjes op jouw telefoon of laptop zetten zonder dit te melden.
Het wordt andere koek bij tracking cookies, bijvoorbeeld voor google analytics. Deze cookies gebruiken IP adressen en data als locatie om te zien waar jouw bezoekers zich bevinden en hoe ze zich op jouw website gedragen. Zo kun jij volgen hoe jouw site bezocht wordt en daarop eventueel jouw bedrijfsvoering aanpassen. Hartstikke fijn natuurlijk, maar je verkrijgt dan wel persoonsgegevens, afhankelijk van je instellingen. Je kunt zelfs zien of een bezoeker via social media naar jouw site is gekomen of dat ze via jouw site naar jouw social media toe gaan. Dit is natuurlijk best ingrijpend voor de privacy. Toestemming is hiervoor dus absoluut een vereiste!
Ook als je marketing cookies of advertenties plaatst zul je toestemming moeten vragen.
Cookie tips:
- google analytics kun je zo instellen, dat de IP-adressen worden geanonimiseerd en dat google de gegevens van jouw site niet mag gebruiken. In dit geval zou je kunnen volstaan met een melding, maar dan moet je wel zeker weten dat je dit goed hebt ingesteld. Je moet dit ook gewoon opnemen in je privacyverklaring.
- Er bestaan sites waarmee je kunt testen welke cookies jouw site gebruikt. Check dit regelmatig en pas je cookieverklaring erop aan.
De cookiemelding
Voor het plaatsen van niet-functionele cookies heb je dus toestemming nodig. De makkelijkste manier voor deze toestemming is het instellen van een cookiemelding op je website. In zo’n cookiemelding zet je welk type cookies je gebruikt en vraag je toestemming voor het plaatsen ervan. De bezoeker moet dan actief op akkoord klikken om de website verder te gebruiken. Je kunt ook een optie creëren om bepaalde cookies wel en bepaalde cookies niet te plaatsen. Je moet er dan natuurlijk wel voor zorgen dat de website hierop reageert en de niet gewenste cookies dus ook echt niet plaatst. De keuze is aan jou, maar je mag geen cookies plaatsen zonder toestemming. Als iemand geen toestemming geeft en je past je website niet op die optie aan, dan kan deze bezoeker jouw site dus niet bezoeken.
Toestemming met vinkjes
Dit is echt heel belangrijk! Toestemming moet een actieve toestemming zijn. Veel (soms hele grote) bedrijven, hebben een cookiemelding als “met het verder gebruiken van deze site gaat u akkoord met het plaatsen van cookies”. Er is geen protest, dus ik mag cookies plaatsen is dan de gedachte. Die vlieger gaat echter niet op!
Hetzelfde geldt voor vooraf ingevulde vinkjes. Probeer namelijk maar te bewijzen dat iemand die melding heeft gezien en bewust akkoord is gegaan, als jij die vinkjes al hebt gezet of er überhaupt geen toestemmingsbutton is. Zorg er dus voor dat je altijd werkt met vinkjes of toestemmingsknoppen die gebruikers van je site actief moeten aanklikken of -vinken! Ik kan dit niet vaak genoeg benadrukken.
Gratis tip van de jurist: dit hele vinkjesverhaal geldt ook voor het van toepassing verklaren van je algemene voorwaarden. Klanten moeten echt zelf het vinkje zetten voor akkoord.
Nieuwsbrief en gratis weggevers
Vaak bieden ondernemers gratis weggevers aan op hun site. Om deze te kunnen ontvangen, moet je dan je e-mail adres en naam achter laten en dan krijg je het document of de link gratis en voor niets in je mailbox. Hartstikke top natuurlijk en dit moet je ook vooral blijven doen. Let er alleen wel op dat je echt alleen vraagt naar de gegevens die nodig zijn voor het versturen van je weggever. Laatst moest ik zelf ergens mijn geboortedatum en telefoonnummer invoeren. Ik haak dan af, want wat moet jij nou met mijn geboortedatum? Ik wil alleen gratis informatie van jou ontvangen.
Vaak wordt zo’n gratis weggever gekoppeld aan een inschrijving op een nieuwsbrief. Mag dit volgens de AVG? Ja dat mag, als je het goed doet.
Dit doe je door bij de gratis weggever te vermelden dat de aanvrager zich daarbij ook aanmeldt voor jouw nieuwsbrief en daar een hokje voor een vinkje bij te zetten. Zonder vinkje kan het verzoek om de weggever niet worden verzonden, óf komt het e-mailadres gewoon niet op je mailinglist. *edit: Het is echter niet toegestaan het aanmelden op je nieuwsbrief als voorwaarde te stellen voor de weggever. Als iemand het vinkje voor toestemming voor de nieuwsbrief niet aanvinkt, mag je die e-mailadres dus ook niet op je mailinglist erbij zetten. Het is dus eigenlijk niet echt het koppelen van de weggever aan de nieuwsbrief, maar meer het gelijktijdig aanmelden voor beide.
Wil je het echt goed doen? Stuur dan voordat iemand op de nieuwsbrievenlijst komt eerst een mail met een link om zich definitief in te schrijven op jouw mailinglist. * edit: Je kunt ook in de mail waarin je de weggever verstuurt een link zetten waarmee de ontvanger zich actief kan aanmelden op je nieuwsbrief.
In alle gevallen dien je natuurlijk ook een opt-out te geven. Men moet op elk gewenst moment zichzelf van de mailinglist kunnen verwijderen.
Webshops
De meeste websites zullen enkel te maken hebben met cookies, gratis weggevers en nieuwsbrieven. Webshops vragen natuurlijk wel behoorlijk wat meer gegevens van hun klanten dan de gemiddelde website.
Heb jij een webshop? Let dan op het volgende:
- Denk goed na over welke persoonsgegevens je echt nodig hebt van je klanten.
Natuurlijk heb je adresgegevens en een naam nodig en krijg je de bankgegevens van je klant bij de betaling. Ook een e-mailadres heb je waarschijnlijk nodig. Over het vragen van overige gegevens dien je echt goed na te denken. Je mag immers niet meer persoonsgegevens verwerken dan nodig voor het doel van de verwerking (het versturen van de bestelling en de betaling). Je hoeft voor dit soort verwerkingen geen aparte toestemming te vragen. De gegevens zijn nodig voor het uitvoeren van de overeenkomst: de klant wil dat jij je product naar hem opstuurt tegen betaling. Dat kan niet zonder naam en adres. - Zorg voor toestemming bij abonneren op de nieuwsbrief.
Ik schreef het hierboven ook al: werk ook bij de nieuwsbrief (en algemene voorwaarden) met vinkjes. Wil je jouw klanten op de hoogte houden van aanbiedingen en nieuwtjes in jouw webshop? Laat de klant dan bij het bestellen, net als bij de algemene voorwaarden, actief een vinkje zetten voor akkoord.
Doe je dit niet? Dan heb je geen poot om op te staan als jij ooit ergens moet gaan bewijzen dat je toestemming hebt gekregen.
Ik hoop dat ik je met het bovenstaande duidelijkheid heb kunnen geven over de AVG. Het is ècht niet moeilijk, je moet het alleen in het begin even tijd insteken om het te snappen en te regelen. Kom je er niet helemaal uit? Neem dan vooral contact op!
2 gedachten over “Websites houden in het AVG tijdperk”
Hoi,
Jij zegt het volgende:
Dit doe je door bij de gratis weggever te vermelden dat de aanvrager zich daarbij ook aanmeldt voor jouw nieuwsbrief en daar een hokje voor een vinkje bij te zetten. Zonder vinkje kan het verzoek om de weggever niet worden verzonden, ?f komt het e-mailadres gewoon niet op je mailinglist.
Kan je daarbij een stukje toelichten, hoezo dit volgens jou mag? Als je namelijk zonder vinkje geen weggever kan krijgen, dan betekent dit dat je verplicht bent om op de mailinglijst te komen. Geen vrijelijk toestemming lijkt me dit.
Hi Kim,
Scherp! Klopt helemaal wat je zegt. Je mag het aanmelden op een nieuwsbrief niet als voorwaarde stellen voor het ontvangen van een gratis weggever.
Dit is wat ik bedoelde met ?kan niet worden verstuurd?. Natuurlijk een veel te korte conclusie waarbij het helemaal niet duidelijk is wat er wel en niet is toegestaan.
Je kunt wel een vinkje laten zetten, maar dit mag niet van invloed zijn op het wel of niet ontvangen van de weggever. W?l dien je ervoor te zorgen dat iemand ook daadwerkelijk niet op de mailinglist terecht komt als het vinkje niet wordt gezet. Een andere optie is nog om de weggever per e-mail te versturen en in die e-mail te vragen om toestemming voor plaatsing op de mailinglist.
Is jouw vraag hiermee beantwoord?
Bedankt voor je oplettendheid, ik zal het stukje even aanpassen in de blog, want ik heb dat inderdaad totaal niet duidelijk verwoord.