Hoe maak je jouw website AVG-proof?

Het verzamelen van persoonsgegevens begint vaak al op de website. Via een contactformulier, een offerte-aanvraag of misschien zelfs wel een bestelling. Hoe je moet omgaan met deze persoonsgegevens, daar draait het om bij de nieuwe privacywet. In dit artikel leg ik stapsgewijs uit wat dat betekent voor je website.

Disclaimer: Ik ben geen jurist. Wil je meer weten over de wetgeving en wat dat voor jouw specifieke situatie betekent neem dan contact op met een jurist of lees meer over de AVG op de website Autoriteit Persoonsgegevens. Dit artikel is bedoeld om je bewust te maken dat de nieuwe wet misschien ook gevolgen heeft voor jouw website en hoe je jouw website hierop aanpast.

Wat zijn persoongegevens?

Even terug naar het begin, over wat voor gegevens hebben we het nu eigenlijk? Persoongegevens zijn gegevens waarmee je direct of indirect de identiteit van een persoon kunt vaststellen. Bijvoorbeeld een naam, (e-mail)adres of telefoonnummer. Er zijn ook persoonsgegevens die extra privacy-gevoelig zijn, zoals ras, godsdienst of gezondheid. Dit zijn de bijzondere persoonsgevens.

#1 Vraag niet meer informatie dan nodig is

Kijk nog eens kritisch naar de formulieren op je website. Heb je echt alle gegevens nodig die je in het formulier opvraagt? Heb je bijvoorbeeld adresgegevens nodig als je eigenlijk altijd per mail communiceert. En zo zijn er misschien nog wel meer gegevens. Als je de overbodige velden uit je formulier haalt, wordt je formulier er alleen maar beter van. Een kort formulier levert vaak meer reacties op.

Wees bij het opvragen van bijzondere persoonsgegevens extra kritisch. Is het versturen via de website de beste manier of kunnen ze misschien beter via een beveiligde mail worden verstuurd.

#2 Verwijder persoonsgegevens na gebruik

Ingevulde formulieren krijg je meestal via de mail binnen. Daarnaast worden de inzendingen ook nog in de website opgeslagen. Dat kan handig zijn voor als een mailtje niet aankomt, maar je hoeft de gegevens niet voor altijd te bewaren. Volgens de AVG mag je de gegevens niet langer bewaren dan noodzakelijk voor jouw doel. Dus gooi ze af en toe weg of laat ze automatisch verwijderen.

Automatisch inzendingen verwijderen
Zijn jouw formulieren gemaakt met de plugin Gravity Forms, overweeg dan de plugin Wider Gravity Forms Stop Entries te installeren. Deze plugin zorgt ervoor dat het ingevulde formulier, nadat het verstuurd is naar je e-mailadres, direct weer wordt verwijderd uit de website.

#3 Zorg voor een veilige website

Als je persoonsgegevens opvraagt en opslaat dan ben jij er verantwoordelijk voor dat deze gegevens veilig worden opgeslagen.

Beveilig je website met een SSL-certicaat, https://
Met een SSL certificaat, herkenbaar aan het groene slotje in de adresbalk, versleutel je de informatie die van en naar de website wordt verstuurd. Heb jij een formulier op je website waar je persoonsgegevens opvraagt, dan is dit SSL certificaat een must. Er zijn steeds meer hosting providers die het SSL certicaat gratis aanbieden bij hun abonnement, zoals Antagonist en Siteground. Andere providers vragen daar een aparte jaarlijkse bijdrage voor.

Plugin Really Simple SSL
Nadat de hosting provider het SSL certificaat heeft geïnstalleerd, of je hebt dit zelf gedaan via het control panel, moet het adres van de webite nog worden omgezet naar https://. Hiervoor is de plugin Really Simple SSL erg handig. De plugin controleert of SSL goed is geïnstalleerd en zet de website in één keer om naar https://.

Beveiliging website
Een SSL certificaat beveiligt dus alleen de verbinding. Voor een veilige website is meer nodig: goede hosting, het up-to-date houden van WordPress, plugins die actief onderhouden worden, sterke wachtwoorden om maar een paar voorwaarden te noemen.

#4 Wie heeft er nog meer toegang tot de gegevens

Met alle partijen die toegang tot de persoonsgegevens moet je een verwerkingovereenkomst afsluiten.De hosting provider of een externe websitebeheerder bijvoorbeeld, zij hebben direct toegang tot de website. Maar denk ook aan:

  • Google als je statistieken verzamelt via Google Analytics;
  • Mailchimp of andere nieuwsbriefdienst als je nieuwsbrieven verstuurt;
  • Dropbox, Amazon of een andere externe opslag als je de website-backups in de cloud opslaat.

Waarschijnlijk heb je al een verwerkingsovereenkomst van hun ontvangen. Zo niet, informeer dan eens bij deze partijen of stel zelf een vewerkingsovereenkomst op. Want ook al laat je de gegevens door een andere partij verwerken, jij blijft verantwoordelijk voor de naleving van de Algemene Verordening Gegevensbescherming (AVG).

#5 Privacyverklaring

Je bent verplicht je klanten en toekomstige klanten te vertellen wat je met hun persoongegevens doet. Een privacyverklaring op de website is daarvoor een goede plek. Hierin vermeld je o.a.

  • Doel gegevens: waarvoor worden gegevens verzameld?
  • Gevolgen van het niet verstrekken van de gegevens: een contactformulier zonder e-mailadres gaat bijvoorbeeld niet werken.
  • Delen gegevens: wie heeft er behalve jijzelf nog meer toegang tot de gegevens?
  • Opslag van de gegevens: Hoelang worden gegevens opgeslagen?
  • Beveiliging van de gegevens: omschrijf ook hoe de gegevens van personen worden beveiligd.
  • Rechten van de personen waarvan je de persoonsgegevens verzameld: het recht op inzage, correctie, vergetelheid en dataportabiliteit en hoe ze gebruik kunnen maken van deze rechten.