GDPR / AVG

Vanaf 25 mei wordt de nieuwe Europese privacywet, de GDPR oftewel AVG, van kracht. Of eigenlijk, dan is hij twee jaar van kracht en vanaf die dag wordt hij gehandhaafd. De GDPR gaat over vele facetten van privacy en heeft daardoor ook invloed op internet. In dit artikel inventariseren we de impact voor websites en andere online toepassingen.

De GDPR in het kort

In de GDPR zijn een 6-tal grondslagen gedefinieerd op basis waarvan persoonlijke gegevens opgeslagen en verwerkt mogen worden. Onder persoonlijke gegevens worden verstaan:

• Alle gegevens die (in)direct terug zijn te voeren tot een levend persoon. Denk aan naam, foto, e-mail adres, bankgegevens, posts op sociale netwerken en medische gegevens. Het betreft ook IP adressen, cookies en 'device identifiers'. (bron)

Van de 6 grondslagen is voor websites de grondslag 'Toestemming' de belangrijkste. Bezoekers moeten toestemming geven hun persoonlijke gegevens op te slaan en te verwerken. Een toestemming is geldig wanneer deze aan een aantal eisen voldoet. In het kort:

• Toestemming moet vrijelijk worden gegeven (toegang tot een website ontzeggen indien geen toestemming wordt gegeven mag niet)
• Toestemming moet worden gegeven middels een duidelijk actieve handeling (een druk op een knop of het aanvinken van een vinkje, 'wie zwijgt stemt toe' mag niet)
• Het geven van toestemming moet een geïnformeerde keuze zijn (wie krijgt toestemming, wat is het doel van de toestemming, welke gegevens worden verzameld, ...)
• Toestemming moet specifiek worden gegeven (welke gegevens voor welk doel en het doel mag niet gaandeweg veranderen)

Hoe en wanneer toestemming is verkregen moet aantoonbaar zijn, de verantwoordingsplicht. Hiertoe moeten bij het verkrijgen van toestemming de volgende gegevens worden vastgelegd:

• De manier waarop toestemming is gegeven (cookie melding die werd geaccepteerd, een vinkje in een formulier dat werd geactiveerd, etc) en wanneer dit is gebeurd.
• De informatie die de bezoeker heeft ontvangen bij acceptatie (de tekst in cookie melding, tekst bij het vinkje, het privacy statement op het moment van accepteren, etc).

Degene die toestemming heeft gegeven moet de opgeslagen gegevens in kunnen zien, aan kunnen passen en kunnen verwijderen. Ook moet toestemming voor het verzamelen van gegevens eenvoudig weer ingetrokken kunnen worden.

Let op! De GDPR gaat over privacy, niet over cookies. Echter, voor het verzamelen van gegevens door websites zijn vaak cookies nodig dus in de praktijk kan het vragen om toestemming resulteren in de implementatie van een cookie melding. Issue is dat naast de GDPR op dit moment de Europese ePrivacy verordening in de maak is, de verwachting is dat hierin cookies gereguleerd gaan worden. De details hieromtrent zijn echter nog niet duidelijk, de verwachting is dat de ePrivacy verordening in 2019 ingaat.

Ons uitgangspunt

We slaan geen persoonlijke gegevens op totdat daar toestemming voor is gegeven. En de voorkeur heeft het om niet om toestemming te vragen totdat echt persoonlijke gegevens worden ingevuld. In de praktijk komt dit neer op:

• Externe tools voor statistieken en diagnose (denk aan Google Analytics, HotJar, HubSpot, etc) worden ingesteld zodanig dat alleen geanonimiseerde gegevens worden gebruikt. Dit heeft impact op mogelijkheden en nauwkeurigheid van gegevens, echter weegt dat niet op tegen een cookie melding die middels een bewuste actie van de bezoeker geaccepteerd moet worden.
• Uit onze eigen tracking mechanismes worden persoonlijke gegevens verwijderd, in de praktijk gaat het hierbij om IP adressen. Dit heeft geen invloed op de nauwkeurigheid van onze tracking.
• Aan alle formulieren waarin om persoonlijke gegevens wordt gevraagd wordt een vinkje 'Akkoord met privacy statement' toegevoegd. Gegevens kunnen enkel verzonden worden wanneer dit vinkje is geactiveerd.

Gevolgen voor websites

De gevolgen die voortvloeien uit de GDPR voor websites die persoonlijke gegevens verzamelen en/of verwerken zijn de volgende:

1. Een privacy statement met daarin opgenomen de cookie policy is noodzakelijk. Deze kan, eventueel gecombineerd met copyright en disclaimer, worden opgenomen in een zelfstandige pagina en gelinkt worden vanuit de footer van de website en vanuit iedere plaats waar om persoonlijke gegevens wordt gevraagd (de vinkjes in formulieren).
2. Daar waar om persoonlijke gegevens wordt gevraagd moet toestemming worden gegeven voor het opslaan en verwerken ervan. Dit gebeurt door het actief aanzetten van het 'Akkoord met privacy statement' vinkje. Indien de website gebruikt maakt van niet-geanonimiseerde tracking moet een cookie melding worden geïmplementeerd aangezien dan vanaf de eerste pageview persoonlijke gegevens worden verzameld.
3. Bij opgeslagen persoonlijke gegevens moet worden opgeslagen hoe toestemming voor het opslaan ervan is verkregen. In de praktijk bij een contactformulier bijvoorbeeld welke tekst bij het vinkje stond, dat het vinkje is geaccepteerd, en de inhoud van het privacy statement op het moment dat deze werd geaccepteerd.
4. SSL is verplicht, op de website ingevulde persoonlijke gegevens moeten versleuteld worden verzonden naar de server.
5. Opgeslagen gegevens moeten door de eigenaar ervan kunnen worden ingezien, bewerkt, geëxporteerd en verwijderd.
6. E-mails die door de website worden verstuurd naar bezoekers, maar ook nieuwsbrieven, moeten vanaf een e-mail adres worden verzonden waarnaar gereageerd kan worden (noreply@ is niet meer toegestaan).
7. Er moeten bewerkersovereenkomsten komen met externe bedrijven waarmee persoonlijke gegevens worden gedeeld (denk aan Google Analytics, Hotjar, HubSpot, MailChimp, maar ook InterXL als ontwikkelaar en hosting provider voor uw website).

Wij zullen de komende weken, nadat bovenstaande in InterXL.com is geïmplementeerd, met al onze klanten contact opnemen om de gevolgen van de GDPR te bespreken.

Bronnen

Autoriteit Persoonsgegevens, EUGDPR.org, Europa.eu (handige infographic) en Thuiswinkel waarborg.