Minimale eisen AVG voor websites en webshops

Veel kleine organisaties of zzp-ers met een website of webshop verzamelen op zeer kleine schaal persoonsgegevens, maar moeten desalniettemin actie ondernemen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 van toepassing is. Deze groep verwerkt bijvoorbeeld alleen persoonsgegevens van werknemers en persoonsgegevens die op de website worden verzamelen door middel van onder andere:

  • Google Analytics
  • Contactformulier (of antwoordformulier)
  • Nieuwsbriefaanmelding

Vaak is het voor hen niet mogelijk om een juridisch expert in te schakelen en hebben ze geen tijd en ruimte om zich te verdiepen in de AVG. Daarbij is slechts een deel van de AVG relevant voor deze groep. Voor hen heb ik de volgend handleiding opgesteld:

Handleiding voor kleinere organisaties en zzp-ers om te voldoen aan de AVG

 

Deze handleiding is gericht op kleine organisaties en zzp-ers die voornamelijk persoonsgegevens verzamelen door middel van een website of webshop.

Voordat je begint met deze handleiding is het goed om te checken of jouw organisatie of bedrijf voldoet aan de volgende kenmerken. Als dit namelijk niet zo is, dan kan het zijn dat deze stappen niet voldoende zijn om aan de eisen van de AVG te voldoen.

  • Het bedrijf heeft minder dan 250 werknemers
  • Je verzamelt persoonsgegevens van klanten op een of meerdere van de volgende manieren:
    • via Google Analytics
    • met een contact- of antwoordformulier
    • met een nieuwsbriefaanmelding
    • door een persoonlijk account
    • door een aankoop
  • Je verzamelt enkel gewone persoonsgegevens
  • Je doet niet aan profilering of geautomatiseerde besluitvorming

 

Met deze 6 stappen voldoet u aan de AVG

    1. Stel een SSL-verbinding
      In de AVG staat dat je verplicht bent om een digitale beveiliging in te stellen om de persoonsgegevens te beschermen. Dit betekent niet per se dat je verplicht bent om een SSL-certificaat op je website in te stellen, maar het is wel de meest logische en laagdrempelige manier om dit te doen. Daarnaast is het met de aanpassingen die Google komende zomer gaat doorvoeren in het oogschouw sowieso geen slecht idee om te doen, de zoekmachine gaat namelijk vanaf juli 2018 websites zonder SSL-certificaat als onveilig beschouwen. Als je deze nog niet hebt, kun je het beste bij je huidige host een aanvraag doen.
    1. Google Analytics
      Wanneer je gebruik maakt van Google Analytics ben je verplicht om de volgende handelingen te doen:
    • Een bewerkingsovereenkomst met Google afsluiten
    • Google niet het volledige IP-adres van bezoekers laten verwerken
    • Gegevens delen met Google uitzetten
    • Informeren over Google Analytics
    • Gebruikers een opt-out mogelijkheid bieden
    • Bekijk hier hier je dit het beste kunt doen
    1. Contactformulier, nieuwsbrief, persoonlijk account etc.
      Wanneer je op je website of webshop op deze plekken persoonsgegevens verzamelt, moet je goed nagaan of hier niet meer gegevens worden gevraagd dan strikt noodzakelijk. In de AVG staat namelijk dat enkel de gegevens verzameld mogen worden die noodzakelijk zijn voor het doel waarvoor ze worden verzameld. In het contactformulier is het, voor het doel van het contactformulier, vaak niet nodig om bijvoorbeeld ook een adres op te vragen.
      Daarbij zijn deze websites verplicht om een selectievakje bij de invoer van de persoonsgegevens te plaatsen waarmee ze expliciet toestemming krijgen. Bij dit selectievakje moet een directe verwijzing staan naar de privacyverklaring.
    Heeft u hulp nodig bij het AVG proof maken van uw website?
    Bel: +06 45 28 36 26 of mail: info@ticweb.nl
    1. Privacyverklaring
      Praktisch iedereen die persoonsgegevens verzameld is verplicht zijn verplicht een privacyverklaring op te stellen en op een goed vindbare plek op de website plaatsen. Wanneer een bezoeker akkoord moet gaan op een van de voorwaarden die in de privacyverklaring staat, moet er ook direct een link naar de privacyverklaring worden weergegeven.
    1. Register van verwerkingen
      Praktisch iedereen die persoonsgegevens verzameld is verplicht een register van verwerkingen op te stellen. Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die je verwerkt. De AVG schrijft voor welke informatie de verantwoordelijke of verwerker in het register moet zetten. Als de Autoriteit Persoonsgegevens daar om vraagt, moet je het register direct kunnen laten zien.
      Wat is dan het verschil tussen een privacyverklaring en het register van verwerkingen?
      Het register van verwerkingen is bedoeld om een overzicht te geven van de interne verwerkingen. Hierin wordt bijvoorbeeld ook opgenomen wat er met persoonsgegevens van werknemers van de organisatie gebeurt. De privacyverklaring is daarentegen een document dat bedoeld is voor externe betrokkenen. Bezoekers van een website kunnen in de privacyverklaring zien wat er met hun gegevens gebeurt.
    1. Verwerkingsovereenkomsten
      Wanneer je persoonsgegevens deelt met andere partij moet er met deze partij (de zogenaamde ‘bewerker’) een overeenkomst worden afgesloten: de verwerkingsovereenkomst of bewerkersovereenkomst. Dit is een gedeelde verantwoordelijkheid. Als dit niet gebeurt kunnen zowel de verantwoordelijke als de bewerker kunnen hier door de Autoriteit Persoonsgegevens op worden aangesproken.
      In de praktijk hebben veel kleine organisaties enkel een samenwerking met een partij die de hosting van de website verzorgd en bijvoorbeeld een externe boekhouder.
      Neem contact op met deze partijen en vraag of zij een standaard bewerkersovereenkomst hebben die u alleen hoeft te tekenen.

Leave a Comment

Your email address will not be published.