In 2018 werd iedereen wakker geschud. De Algemene Verordening Gegevensbescherming zou voor iedereen die persoonsgegevens verzamelde en verwerkte betekenen dat er veel moest gaan veranderen.
Veel mensen voelen zich niet aangesproken. "Ik heb maar een simpele website," hoor je dan vaak. Of "Ik verzamel geen persoonsgegevens."
Vaak is dat helaas onwaar.
Persoonsgegevens (PG) zijn namelijk heel uitgebreid. Ja, een naam, e-mailadres en telefoonnummer zijn PGs. Dus met dat simpele contactformulier, verzamel je ze al.
Ja, een IP-adres en User-Agent (welke browser) zijn óók PGs. Dus die statistieken die je door Google Analytics laat verwerken? Tja...
Alles wat kan leiden tot een persoon valt onder de categorie persoonsgegevens. En alles, dat is heel breed.
De AVG, en überhaupt iedere vorm van netjes omgaan met andermans spullen en gegevens, vereist dat je nadenkt over wat je doet en waarom dat je dat doet. Van belang hierbij zijn drie kernwoorden die u kunnen helpen dit te bepalen: doel, grondslag en transparantie.
Geef aan wat je met de gegevens gaat doen. Vraag je bijvoorbeeld om een e-mailadres op een contactformulier, dan is dat omdat je een mailtje terug wilt kunnen sturen als antwoord op de vraag.
Hou je ook aan dat doel. Gebruik dat e-mailadres dus ook niet om toe te voegen aan je nieuwsbrief-bestand. Of om te verkopen of door te geven aan je buurman omdat die toevallig nog nieuwe klanten nodig heeft voor zijn bedrijf.
Waarom heb je nodig wat je vraagt? Natuurlijk vraag je om een e-mailadres bij een contactformulier. Of een adres als je een bestelling verwerkt. Maar heb je dat telefoonnummer wel nodig? En waarom vraag je eigenlijk om dat kvk-nummer of die kopie van dat paspoort?
De vraag die je jezelf dus moet stellen is: "Mag het een onsje minder zijn?" Want als je met minder gegevens hetzelfde doel kan bereiken, moet je ook niet meer willen vragen.
Ten slotte is het de bedoeling dat je transparant bent. Ja, je vraagt om dat e-mailadres. Ik geef je dat vrijwillig, maar nu wil ik eigenlij wel weten wat jij daar mee doet.
Als je dus je bezoekers zich aan laat melden voor de nieuwsbrief, zet er dan bij of je dit in eigen beheer hebt of dat je hier een derde partij zoals MailChimp voor gebruikt. Als je de facturatie af laat handelen door een betalingsprovider, noem hun naam.
De beste plaats hiervoor is de privacyverklaring. Hierin kun je dat soort dingen allemaal opnemen.
Uiteraard moet je misschien ook op je website wat aanpassen. Als je ook maar de minste of geringste persoonsgegevens vraagt, ben je eigenlijk al verplicht om die via een beveiligde verbinding te vragen. Een SSL-certificaat voor je website is dus verplicht.
Het maakt hierbij niet uit of dit een simpel Comodo Essential, een gratis Let's Encrypt of een uitgebreid Extended Validation certificaat is. Als er maar een geldig en veilig certificaat de verbinding beschermt.
Denk ook aan het up-to-date houden van je website en dan met name de systemen die daar achter zitten, zoals WordPress en Joomla. En al helemaal de plug-ins en thema's die te pas en te onpas worden gedownload, geïnstalleerd en vervolgens misbruikt.
Hoewel we inmiddels zelf wel een goed beeld hebben van wat de AVG inhoudt, blijven wij ook maar een hostingprovider en geen advocatenkantoor. Neem voor inhoudelijke vragen dan ook contact op met een juridisch onderlegd(e) persoon of organisatie voor meer in-depth informatie en antwoorden op uw vragen. Verder is er natuurlijk online ook veel informatie te vinden, bijvoorbeeld: