AVG

AVG/GDPR: Wat betekent deze wetgeving voor websites en webwinkels

Deze pagina is voor het laatst vernieuwd op 8 maart 2018

Wellicht komt het je bekend voor als datum: 25 mei 2018. Op die datum treedt de nieuwe privacywetgeving in werking, beter bekend als “algemene verordening gegevensbescherming” (AVG) of internationaal als “general data protection regulation” (GDPR). Via radio, televisie en internet wordt er een enorme bewustwording gecreëerd. Dat iedereen eens goed nadenkt over zijn online privacy, gezien de Facebook schandalen, vinden we dan ook een goede zaak!

 

Met de nieuwe wetgeving kiest de EU vanaf 2018 duidelijk een ander spoor. Er gelden straks voor iedere EU-burger overal dezelfde rechten, zowel binnen als buiten de EU en ieder bedrijf die zaken doet met een EU inwoner moet hier aan voldoen. De inwerkingtreding komt nu hard dichterbij en de consequenties overzien is noodzakelijk om tijdig klaar te zijn: contactformulieren, opt-in’s voor nieuwsbrieven, trackingscripts als Google Analytics, profiling en targeting/remarketing via Facebook ligt allemaal onder de loep. Organisaties hebben meer verantwoordelijkheden volgens de AVG. Zij moeten nog meer hun best doen om de privacy van hun klanten te beschermen. Organisaties die dit niet doen, kunnen hoge boetes opgelegd krijgen. Niet alleen door Nederlandse toezichthouders, maar ook door toezichthouders uit het buitenland.

 

Er komen dus verschillende scenario’s per bedrijf waarin je specifiek toestemming moet gaan verzamelen indien je met de persoonsgegevens wilt werken en/of actie onderneemt richting de gebruiker met deze data in de vorm van analyse en profilering.

 

Het grote voordeel voor de gebruiker van jouw website, en wanneer je zelf andere websites bezoekt, is dat er besloten is dat alle informatie hierover in begrijpelijke, Jip en Janneke, taal moet worden uitgelegd. Je mag dus niet een juridisch stuk zoals de algemene voorwaarden voorschotelen. Maar gewoon normale woorden in simpele zinnen!

Disclaimer

Met deze mail geven we je graag inzicht in de nieuwe AVG/GDPR regels met betrekking op je website. Wat je hiermee doet is uiteindelijk helemaal aan jezelf. Dubbel & Dwars geeft enkel een vrijblijvend advies omdat we uiteraard de marktontwikkelingen volgen om jou zo goed mogelijk van dienst te zijn. We zijn dan ook geen advocaten maar een technisch internetbureau.

 

Wanneer je hier vragen over hebt dan kan je ons altijd bereiken per Telefoon, E-mail en WhatsApp.

Ons advies:

 

Laat zien dat je hier als bedrijf mee bezig bent en dat je de wetgeving serieus neemt. Daarmee is het een kans om je online te onderscheiden van bedrijven die het niet doen.

 

Wat is er minimaal nodig in de praktijk om aan de wet te voldoen:

 

  • Het opstellen van een Privacy Verklaring in duidelijk en eenvoudig taalgebruik. Deze moet voldoen aan alle vereiste zoals beschreven in de wet en uitleg geven over het recht op inzage en het recht op vergetelheid.
  • Een beveiligde verbinding (SSL-certificaat) als je gegevens verwerkt.
  • Als je om persoonsgegevens vraagt, vraag dan zo min mogelijk gegevens.
  • Cookie informatie over de aanwezige cookies. Waar nodig moet er expliciet toestemming gegeven worden voor bepaalde cookies.

 

  1. Dit kan je zelf opstellen en daarna naar ons sturen. Uiteraard zorgen wij er dan voor dat dit geïmplementeerd wordt op je website.
  2. Binnen ons netwerk hebben wij een vaste prijs afgesproken bij een notaris voor klanten die dit niet zelf willen en/of kunnen doen. De kosten hiervoor bedragen eenmalig € 199,95. Uiteraard verzorgen wij dan het contact en de implementatie.

Waar moeten mijn website formulieren aan voldoen voor de AVG/GDPR

 

Geef duidelijk op de pagina aan wat het doel is van het formulier. Doe dit met een duidelijk koptekst. Voorbeelden van een koptekst zijn: account aanmaken, offerte aanvragen, solliciteer nu of aanmelden nieuwsbrief. De kopteksten geven duidelijk aan de aard van het formulier aan. Als je formulier dus één helder doel heeft waarvoor je de persoonsgegevens gebruikt is het niet nodig om apart toestemming te vragen om deze gegevens te mogen verwerken met behulp van een vakje (checkbox) die je aan moet vinken. Hetzelfde geldt voor het accepteren van de privacyverklaring, dit is nooit nodig. Vooral hierover is veel onduidelijkheid. Gelukkig heeft internetjurist Arnoud Engelfriet hier ons uitsluitsel over gegeven via de onderstaande tweets.

 

  • Toestemming bij contactformulier is niet nodig. De toestemming volgt uit de aard van het formulier.
  • Een akkoord op de privacyverklaring is ook nooit nodig.
  • Wel is het een goed advies om een regel toe te voegen met een link waar gebruikers de Privacy Verklaring kunnen lezen als ze dit willen.

 

Wat je wel moet doen is duidelijk in de privacyverklaring vermelden wat je met deze gegevens gaat doen en hoe lang het bewaard wordt. Meer hierover is te lezen via de volgende bronnen:

 

 

Wat wel zo privacyvriendelijk is om te doen betreft het plaatsen van een link naar de privacyvoorwaarden zodat een bezoeker niet ergens onderaan de pagina (footer) moet gaan zoeken. Een mooi voorbeeld hiervan is de volgende tekst die ICTRecht plaats bij het inschrijven van de nieuwsbrief: “Uw adres wordt alleen gebruikt voor onze maandelijkse nieuwsbrief. Lees ook onze privacyverklaring.” Waarbij het woord privacyverklaring is gelinkt. Het mooie hieraan is dat de tekst ook van te voren aangeeft hoe vaak je de nieuwsbrief kan verwachten.

Cookies

Ook een cookiewall (verplicht accepteren voor toegang) mag volgens de huidige wetgeving niet.

 

Daarbij gaat de voorkeur binnen het voorstel van de e-privacywetgeving ernaar uit dat deze instellingen op een centrale plaats worden beheerd, bijvoorbeeld in de browserinstellingen.

 

Het is nog lastig te voorspellen hoe dit zich gaat ontwikkelen, maar voorlopig zal een vorm van een cookie-melding/pop-upbox om toestemming te krijgen nog de meest praktische oplossing zijn.

 

In het huidige cookiebeleid van veel websites ga je met een druk op de knop akkoord met functionele, analytische en trackingcookies en hier wordt vaak een vage en algemene tekst voor gebruikt.

 

Dit zal volgens de officiële wetgeving niet meer volstaan. Het is echter ook niet te doen om voor alle trackingcookies en toepassingen een voor een toestemming te geven. De consument zal geen idee hebben wat dit allemaal betekent en dus vaak ook geen toestemming geven.

 

Het wordt afwachten wat de grote spelers gaan doen en wat de jurisprudentie hierover gaat worden. Om het werkbaar te houden is het voorlopig een optie om een soft opt-in te gebruiken, dit is het meest gebruiksvriendelijk om te implementeren. Let hierbij op het volgende:

 

  • Geef de gebruiker de mogelijkheid een keuze te maken voordat de cookies worden geplaatst bij een eerste bezoek.
  • Geef voldoende informatie over welke cookies worden geplaatst en wat het doel hiervan is.
  • Wanneer er een duidelijke cookiemelding is gegeven en gebruikers besluiten door te browsen of akkoord te geven, zou deze bevestigende actie mogelijk genoeg kunnen zijn voor toestemming.
  • Geef altijd een optie voor een opt-out door een control center aan te bieden waarin gebruikers de huidige instellingen kunnen bekijken en kunnen wijzigen.

 

Er bestaat niet één perfecte oplossing om aan alle richtlijnen te voldoen. Iedere situatie is anders en de wetgeving is op dit moment nog op meerdere manieren te interpreteren.

Cookie implementatie voorbeeld Coolblue

 

Uiteraard komen we als goed voorbeeld weer eens uit bij Coolblue. Alles in begrijpelijke taal en nog met een humoristische twist ook.

“Cookies, voor de lekkere track

 

Coolblue deelt cookies uit wanneer je één van onze webshops of Coolblue.nl bezoekt. Sorry, geen lange vingers, biscuits of gevulde koeken die je eetlust bederven. Maar kleine (tijdelijke) tekstbestanden voor je pc. Nieuwsgierig naar ons assortiment cookies?

 

Dankzij cookies hoef je niet steeds dezelfde informatie in te voeren of te downloaden wanneer je bij ons terugkomt. Lekker handig! Bovendien helpen ze ons inzien hoe je onze sites gebruikt en hoe wij de boel beter en klantvriendelijker kunnen maken. Het moet gezegd worden: we gebruiken ze ook voor marketingdoeleinden.

 

Het staat je vrij om cookies uit te schakelen. Hou er dan wel rekening mee dat de websites niet optimaal werken.”

Cookie implementatie voorbeeld Marketingfacts

Een cookiewall? Irritant he? Helaas ontkomen we er ook op Marketingfacts niet aan. We zijn wettelijk verplicht om je te informeren en je toestemming te vragen voor het gebruik van cookies en soortgelijke technieken. We doen dat middels deze cookiewall omdat dit voor ons de enige werkbare oplossing is.

 

Op Marketingfacts gebruik we:

 

  • Functionele cookies. Deze cookies zijn noodzakelijk voor het functioneren van de website. Zo wordt er op Marketingfacts gebruikgemaakt van cookies om in te kunnen loggen en te reageren.
  • Via Google Analytics worden geanonimiseerd gegevens over het surfgedrag verzameld. Zo kunnen wij zien hoe bezoekers zoals jij de website gebruiken en op basis daarvan de website verbeteren.
  • Om advertenties te serveren, wordt een cookie van DoubleClick geplaatst. Deze cookie houdt geen surfgedrag en persoonlijke informatie bij en zorgt er alleen voor dat niet continu dezelfde advertenties worden getoond. Dit wordt ook wel een ‘frequency cap’ genoemd. Adverteerders kúnnen de cookies die zij plaatsen gebruiken om informatie over bezoekers te verzamelen. Dit heeft niet onze voorkeur, maar we hebben daar helaas geen invloed op.

Overzicht van gebruikte cookies

 

Hieronder wordt beschreven welke cookies Marketingfacts zelf plaatst en van welke third-party cookies gebruik worden gemaakt.

Lees Meer

Google Analytics

 

Via Google Analytics worden op Marketingfacts geanonimiseerd gegevens over het surfgedrag verzameld. Zo kunnen wij zien hoe bezoekers zoals jij de website gebruiken. Wij gebruiken deze informatie om gefundeerde beslissingen te nemen over de inrichting van onze website. Tevens optimaliseren wij hiermee de werking van de website. De verkregen informatie wordt door Google opgeslagen op servers in de Verenigde Staten. Google verstrekt deze informatie ook aan adverteerders om inzicht in de effectiviteit van hun campagnes te kunnen bieden. Google kan deze informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover deze derden de informatie namens Google verwerken. Wij hebben hier geen invloed op. Wij hebben Google niet toegestaan de verkregen analyticsinformatie te gebruiken voor andere Google-diensten. Lees het privacybeleid van Google voor meer informatie, alsook het specifieke privacybeleid van Google Analytics.

 

Wil je niet dat je klikgedrag wordt bijgehouden? Dan kun je via de website van Google een browser-plugin downloaden die dit voorkomt. Deze instelling geldt dan voor alle websites die je bezoekt, dus niet alleen voor Marketingfacts. Je kunt de browser-plugin hier downloaden.

 

Functionele cookies

 

Kernfuncties
Dit zijn cookies die strict noodzakelijk zijn voor het functioneren van de website. Zonder deze cookies kunnen bepaalde onderdelen niet worden gebruikt. Zo wordt er op Marketingfacts gebruikgemaakt van cookies om in te kunnen loggen en te reageren. Ook worden cookies gebruikt om instellingen en voorkeuren te onthouden.

 

Sociale knoppen
Op de site zijn knoppen opgenomen om pagina’s te kunnen promoten of delen op Facebook, Twitter, Google Plus en LinkedIn. Deze knoppen zijn stukjes code van de sociale media zelf en maken gebruik van een cookie. Deze cookie onthoudt dat je ingelogd bent zodat je niet iedere keer op Twitter of Facebook hoeft in te loggen zodra je iets wilt delen. Om te zien wat zij met persoonsgegevens doen die zij met deze code binnen krijgen, kun je de privacyverklaringen van FacebookTwitterGoogle+ en LinkedIn (welke regelmatig kunnen wijzigen) inzien.

 

Embedded content
In blogartikelen kan gebruik worden gemaakt van content die op andere sites wordt gehost en op Marketingfacts wordt ontsloten. Denk hierbij aan Slideshare-presentaties, YouTube-video’s en Storify. Op vergelijkbare wijze als de sociale knoppen maken deze codes vaak gebruik van cookies. Wat zij met de cookies en persoonsgegevens doen, kun je vinden in het privacybeleid van de desbetreffende dienst. Wij hebben hier geen controle over.

Om Google Analytics privacyvriendelijk te maken, dien je de volgende stappen te doorlopen:

 

Zie hier hoe -> https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_privacyvriendelijk_instellen_google_analytics.pdf

 

  1. Bewerkersovereenkomst met Google afsluiten. Als verantwoordelijke dien je een bewerkersovereenkomst af te sluiten met Google.
  2. IP-adressen anoniem verwerken. Google biedt de mogelijkheid om het laatste gedeelte van het IP-adres van websitebezoekers te verwijderen.
  3. Gegevens delen met Google uitzetten:
    • uitsluitend andere Google-producten;
    • anoniem met Google en andere;
    • technische ondersteuning;
    • (toegang voor Google-)accountspecialisten.
  4. Informeren over het gebruik van Google Analytics. Informeer de bezoeker dat:
    • Google Analytics cookies gebruikt;
    • een bewerkersovereenkomst is afgesloten
    • de gegevens anoniem worden verwerkt;
    • ‘gegevens delen’ is uitgeschakeld;
    • er geen gebruik wordt gemaakt van andere Google-diensten in combinatie met Google Analytics-cookies.

Wat is de beste cookie-plug-in voor WordPress?

Er bestaat een breed scala aan cookieplugins voor WordPress, zowel gratis als betaald. Hun functionaliteit en kwaliteit variëren flink. Waar u op moet letten bij het kiezen van een cookie-plug-in voor uw website, is of deze voldoet aan de daadwerkelijke wetten en vereisten.

 

NB! Houd er rekening mee dat de regels zijn gewijzigd.

 

Eerder moesten websites die binnen de EU of met EU-burgers als gebruikers opereren gebruikers informeren dat de website gebruik maakte van cookies. Met de handhaving van de GDPR zijn de eisen zowel strenger als complexer geworden. Wees daarom voorzichtig en onthoud dat een groot deel van de bestaande cookie-plug-ins voor WordPress die expliciet beweren compliant te zijn, dat niet zijn. Ook al hebben ze “EU-wetgeving” in hun naam of EU-sterren in hun pictogram!

Om een ​​WordPress-cookie-plug-in compliant te maken, moet hij:

  • Geef duidelijke en specifieke informatie over gegevenstypen en het doel van de cookies.
  • Blokkeer alle, behalve maar strikt noodzakelijke cookies, totdat de bezoeker toestemming heeft gegeven – een functie genaamd ‘voorafgaande toestemming’ ofwel ‘prior consent’.
  • Houd een volledige documentatie bij van alle gegeven toestemmingen.
  • Bevat de mogelijkheid voor gebruikers om overtollige cookies te weigeren en toch de website te gebruiken.
  • Geef gebruikers de mogelijkheid om hun toestemming in te trekken wanneer ze maar willen.

Cookie-oplossingen die niet over deze functies beschikken, zijn niet GDPR-compatibel.