Webmastery

Social Media & Webredactie

Checklist: voldoet jouw website aan de nieuwe privacywet?

· ·

Het is je vast niet ontgaan: vanaf 25 mei a.s. moet elke organisatie in Europa voldoen aan de nieuwe privacywet AVG (Algemene verordening gegevensbescherming). Er gaan nieuwe regels gelden voor het verwerken en bewerken van persoonsgegevens. Dit is ook van toepassing op jouw website.

De nieuwe privacywet gaat over verantwoordelijkheid en transparantie. Wat ga je doen met persoonsgegevens die je online verzamelt en ga je daar verantwoordelijk mee om? Welke organisaties hebben nog meer inzicht in deze gegevens?

Bijvoorbeeld: met een inlog-omgeving op je website of een formulier verzamel je persoonsgegevens. Volgens de nieuwe privacywet is het niet toegestaan deze gegevens voor een andere doel te gebruiken dan tijdens het opvragen is vermeld. Ik zet voor je op een rij waar je op moet letten als je beheerder bent van een website.

Checklist website

In het kort: kun je niet verantwoorden waarom jouw website persoonsgegevens verzamelt en opslaat? Stop dan met het verzamelen van deze data en verwijder alle opgeslagen data.

Handige tip: met deze compliance test check je snel en gratis of je website aan de AVG voldoet. En onderstaande checklijst helpt je verder.

Check: verplicht op je website

  • Een duidelijke privacyverklaring waarin je vertelt wat je met de persoonsgegevens doet en welke derde partijen hier toegang toe hebben. Wanneer je persoonsgegevens opvraagt en opslaat, ben je als organisatie verantwoordelijk voor deze gegevens.
  • Een cookiemelding (zodat de bezoeker toestemming kan geven voor het plaatsen van cookies) en een cookieverklaring (een pagina met uitleg wat voor soort cookies je website plaatst).
  • Formulieren met persoonsgegevens dienen altijd te worden verstuurd via een beveiligde (SSL) verbinding.

Check: verzamelt je website niet onrechtmatig persoonsgegevens?

  • Op formulieren mag je mensen niet automatisch inschrijven voor je nieuwsbrief of een checkbox hiervoor van te voren laten aanvinken.
  • Heb je toestemming van iedereen die op foto’s staat? Breng hen anders alleen onherkenbaar in beeld. Krijg je beeld aangeleverd van een organisatie, dan valt deze regel onder hun eigen verantwoordelijkheid.
  • Controleer of je gebruikmaakt van diensten buiten de EU (zoals een betaalmodule). Ga na of ze voldoen aan de AVG (GDPR in het Engels).

Check: waar vraag je om persoonsgegevens, hoe leg je ze vast of toon je ze?

Denk hierbij aan algemene gegevens als naam, adres, e-mailadres, geboortedatum, maar ook ip-adres en gedrag, zoals:

  • Gegevens van bezoekers via formulieren, zoals het contactformulier en een winactie-formulier
  • Gegevens van bezoekers via statistieken, zoals Google Analytics
  • Gegevens van bezoekers via plug-ins
  • Gegevens van nieuwsbriefabonnees
  • Gegevens van medewerkers via pagina ‘ons team’
  • Gegevens van medewerkers via nieuwsberichten over medewerkers
  • Gegevens van medewerkers via auteursgegevens bij nieuwsberichten
  • Gegevens van klanten via de webshop
  • Gegevens van klanten via nieuwsberichten over klanten

Check: wie kunnen bij deze gegevens?

  • Wie heeft een inlog op deze website? Is deze inlog veilig (hebben ze een goed wachtwoord)?
  • Wie heeft een inlog voor het cms?
  • Is er een webbouwer met toegang tot de site?
  • Is er een webhoster met toegang tot de site?
  • Wordt de versie van het cms vaak genoeg geupdate, zodat de kans op hacks minimaal is?

Check: wordt er door alle partijen veilig mee omgegaan?

  • Voor alle gegevens die je verzamelt op je website, moet je kunnen legitimeren waarom je die verzamelt. Dit mag als:
    • De wet dit van je vereist
    • Het afgesproken is in een overeenkomst
    • Je expliciete toestemming hebt, zoals een geaccepteerde cookiemelding
    • Het verzamelen te rechtvaardigen is.
  • Worden de gegevens door niemand langer bewaard dan nodig? (Denk hierbij ook aan het bewaren van backups)

nieuwe privacywet

Social Media

Ook op social media moeten mensen actief instemmen met het gebruik van hun data voor andere doeleinden. Kort samengevat vallen ingevoerde persoonsgegevens onder de verantwoordelijkheid van het social media-kanaal zelf. Om die reden heb je waarschijnlijk al nieuwe privacy-verklaringen moeten accepteren op bijvoorbeeld Facebook, Twitter of Instagram. Alleen als adverteerder kunnen persoonsgegevens onder jouw verantwoordelijkheid vallen, bijvoorbeeld als je gebruik maakt van targeting.

Check: let bij het maken van social media-berichten vooral op:

  • Het maken van polls. Vermijd hiermee het vragen naar privacy-gevoelige onderwerpen.
  • Het uitwisselen van content op verschillende kanalen. Heb je bijvoorbeeld expliciet toestemming om iemands foto op Facebook te plaatsen, zet deze dan niet ongevraagd ook op Instagram.
  • Net als op je website geldt ook hier: heb je toestemming van ieder persoon die op de foto staat? Breng diegene anders alleen onherkenbaar in beeld.
  • Vraag op social media nooit om het verzenden van gegevens, maar verwijs naar een (beveiligd) formulier op je website.

Interessant? Deel de blog met vrienden en collega's.

Over Janneke Kaim

Janneke is communicatieadviseur en verzorgt de interne en externe communicatie van Webmastery. Ze laat graag zien dat mensen met een aandoening hier de kans krijgen om te werken. En dat we steengoed werk leveren en altijd op de hoogte zijn van de laatste trends op social media.

Neem contact op voor meer informatie