Websites en cookies binnen de GDPR wet

Op 25 mei van dit jaar treedt de nieuwe algemene verordening gegevensbescherming in werking. Deze wetgeving heeft grote gevolgen voor de manier waarop bedrijven met privacygevoelige gegevens om moeten gaan.

Waarom is dit voor mij van belang?

Eigenlijk elke website maakt tegenwoordig wel gebruik van cookies of verwerkt persoonsgegevens. Wanneer er bijvoorbeeld Google Analytics in een website wordt gebruikt of er social sharing buttons zichtbaar zijn, worden er al gegevens van de gebruikers in cookies opgeslagen. Wanneer de website een contactformulier of een aanmeldformulier voor een nieuwsbrief bevat, dan worden er al persoonsgegevens verwerkt.

In veel gevallen gaat het, bij bijvoorbeeld cookies, om anonieme gegevens. Echter zijn er binnen de nieuwe GDPR/AVG een aantal gegevens die daarvoor niet als privacygevoelig golden, maar in de nieuwe situatie wel. Een IP-adres wordt onder de nieuwe wetgeving bijvoorbeeld al als een tot een persoon herleidbaar gegeven (persoonsgegeven) gerekend. Bovendien zijn de boetebedragen die opgelegd kunnen worden behoorlijk hoog (tot € 20.000.000).

Wat zijn dan precies de nieuwe regels?

Hier begint het lastig te worden. De AVG is een gevolg van de nieuwe Europese GDPR wetgeving. Deze verordening is hier in zijn totaal te lezen en bevat 88 pagina’s met regelgeving:

http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&qid=1490179745294&from=en

Omdat dit regelgeving is die breed toegepast en gehandhaafd moet worden, is deze heel algemeen opgesteld. Er staan dus geen concrete aanwijzingen in wat je bijvoorbeeld met cookies moet doen. Sterker nog, cookies worden helemaal niet expliciet genoemd.

Wat raden jullie mij aan?

Het is onmogelijk om een concrete lijst te maken met de zaken die je in een website zou moeten controleren om te voldoen aan de wetgeving. Daarvoor zijn er gewoonweg teveel verschillende manieren waarop je een website kunt ontwikkelen en inrichten. In de basis zijn er wel twee zaken waar goed naar gekeken moet worden:

Persoonsgegevens

Wanneer je in je website persoonsgegevens verwerkt (dus je laat een gebruiker gegevens van zichzelf invullen), dan moet je ervoor zorgen dat je de volgende zaken goed regelt:

  1. Laat de gebruiker duidelijk weten wat er met zijn gegevens gebeurt alvorens hij/zij de gegevens invoert.
  2. Verstuur de gegevens altijd via een beveiligde verbinding.
  3. Kijk goed naar de plek waar je de gegevens opslaat en de manier waarop de gegevens opgeslagen worden. Vraag jezelf af of je deze gegevens wel op moet slaan. Wil je ze inderdaad opslaan, laat dan iemand die zich heeft verdiept in de GDPR/AVG kijken naar de wijze van opslaan. Zo weet je zeker dat het aan de verordening voldoet.

Cookies

Hoewel in de GDPR/AVG cookies niet letterlijk genoemd worden, vallen ze er wel onder wanneer ze aan bepaalde voorwaarden voldoen. Een belangrijke basis van de hele wetgeving is dat gebruikers te allen tijde weten wat er met hun persoonsgegevens gebeurt, deze kunnen inzien en ze ook te allen tijde de mogelijkheid hebben om hun toestemming weer in te trekken. Je moet dus eigenlijk zo open en eerlijk mogelijk vertellen wat je website allemaal doet. Vanzelfsprekend moet er ook bij elke situatie waarin persoonsgegevens opgeslagen worden gespecificeerde, expliciete en rechtmatige doeleinden worden vastgelegd.

Om de website aan de privacy-eisen te laten voldoen, moeten de volgende stappen worden genomen:

  1. Zorg dat er in elke website een pagina zit waarin in heldere taal wordt uitgelegd welke cookies de website plaatst, hoe lang ze worden bewaard, of ze informatie delen met derden en waarvoor ze worden gebruikt. In deze pagina zou je voor de cookies die toestemming vereisen ook meteen de gebruiker zelf de mogelijkheid moeten bieden om deze cookies aan en uit te zetten.
  2. Bij een eerste bezoek aan de website moet de gebruiker direct duidelijk worden welke cookies worden geplaatst. Ook moet er gelinkt worden naar de pagina met de uitleg over de gebruikte cookies. Een goed voorbeeld van zo’n melding is te zien op de website van NPO:

    Een dergelijke melding mag niet de toegang tot de website blokkeren, een zogenoemde cookiewall. Je moet altijd de website kunnen bezoeken, ook zonder cookie-toestemming te hebben gegeven.

    Er is één situatie waarin de melding niet getoond hoeft te worden en dat is wanneer de website enkel functionele cookies plaatst, die nodig zijn voor een goede werking van de website. In de praktijk zal dit niet veel voorkomen aangezien de meeste websites Google Analytics gebruiken.

    Voor Google analytics geldt dat je dit in de website mag toepassen en ook automatisch mag gebruiken, mits je dit op een juiste manier hebt ingesteld. Je moet dan de verwerkersovereenkomst met Google ondertekenen, de IP-adressen anoniem verwerken, het gegevens delen met Google uitzetten en de gebruiker informeren over het feit dat je analytics gebruikt.

  3. Neem in de interface van de website een duidelijke link op naar een pagina waar na het eerste bezoek deze instellingen alsnog kunnen worden aangepast.

Hulp nodig?

Wij kunnen u helpen door uw website eerst aan een scan te onderwerpen. Hierin kijken we welke persoonsgegevens worden verwerkt, hoe ze worden opgeslagen en welke cookies de website plaatst. Op basis van deze scan kunnen we vervolgens uw website zo aanpassen dat hij aan de nieuwe wetgeving voldoet.

Vragen? Neem dan vrijblijvend contact met ons op.

Disclaimer: we hebben uitgebreid onderzoek gedaan bij het opstellen van deze blogs. Echter zijn we niet juridisch aansprakelijk voor de inhoud en hier kunnen geen rechten aan worden ontleend. 

Laat een reactie achter

Neem contact met ons op

We zijn op dit moment niet online. Mail een bericht en we nemen zo spoedig mogelijk contact met je op.

Geef een zoekterm en druk op enter

Snelheid rankingfactor Google mobileFriends of Search 2018 - James Whittaker