De AVG heeft impact heeft op de hele organisatie, niet alleen je website. Maar wij bouwen nu eenmaal websites, dus hierbij wat tips voor jouw site. In dit artikel lees je wat je in ieder geval moet doen om je website klaar te maken voor de AVG. 

SSL Certificaat

Je website moet voorzien worden van een SSL certificaat zodat (persoons)gegevens versleuteld verzonden worden. Eigenlijk is dit niet écht verplicht binnen de AVG, maar je moet wel afdoende beveiligingsmaatregelen nemen en een SSL certificaat is een redelijk eenvoudige manier om de gegevens die jouw bezoeker aan je versturen wat veiliger te verzenden.

Privacyverklaring

Middels een privacyverklaring moet je bezoekers duidelijk maken welke gegevens je van ze verzamelt (zowel online als offline), waarom, hoe lang je ze bewaard, met wie je ze deelt, etc. Dit moet in duidelijke en begrijpelijke taal. Deze informatie moet je privacyverklaring in ieder geval bevatten:

  • Welke persoonsgegevens je verzameld
  • Doel voor de verwerking en de rechtsgronden voor de verwerking
  • De bewaartermijn van data voor verschillende persoonsgegevens
  • Opt-in- en opt-out-mogelijkheden
  • Recht op inzage, wijziging, verwijdering en overdragen van de gegevens
  • Klachtrecht bij de Autoriteit Persoonsgegevens

En indien van toepassing:

  • Vermelding van de bedrijven waarmee je data deelt, indien zij zich buiten de EU bevinden
  • Welke profilering plaatsvindt
  • Als je een privacy officer hebt vermeld je de naam en de contactgegevens van deze persoon

Via Veiliginternetten.nl kan je zo'n privacyverklaring zelf maken.

Formulieren

Als je formulieren op je website hebt, moeten deze ondubbelzinnig zijn wat betreft de reden van het verzamelen. Ook moet je de bezoeker vooraf wijzen op hoe jij met hun gegevens omgaat (je privacyverklaring). Wil je naast het doel van het formulier de gegevens ook voor andere doelen gebruiken (bijvoorbeeld je nieuwsbrief), dan moet je hier actief toestemming voor vragen. Dat kan je doen door mensen een vinkje te laten zetten dat ze ook je nieuwsbrief willen ontvangen.

Vaak wordt het ingevulde formulier ook in de database bewaard. Dat kan handig zijn omdat je dan export kan maken, maar het betekent ook dat je gegevens uit die database moet halen als de bewaar termijn verlopen is of als daarom gevragd wordt. Ook is het een datalek als jouw website onverhoopt gehackt wordt. Bedenk dus goed of dit voor jou meerwaarde heeft. 

Kijk ook naar de informatie die je vraagt. Dit mag niet te veel of te weinig zijn. Heb je echt een telefoonnummer of geboortedatum nodig voor de aanmelding voor een nieuwsbrief?

Beveiliging van je site

Je moet adequate beveiligingsmaatregelen treffen. Dat houdt in de je website veilig moet zijn. Dat betekend dat de laatste versies van het CMS en de gebruikte extensies geïnstalleerd moeten zijn. Voor Joomla komen er ongeveer 10 updates per jaar uit. Als je geen update-/ onderhouds- of veiligheidsabonnement bij ons hebt én je hebt zelf de afgelopen maand je website niet geüpdatet, dan loop je achter en is deze niet veilig. Sterker nog, er zitten bekende veiligheidslekken in. Dit wil niet zeggen dat je site gehackt is, maar wel dat hij verhoogd risico loopt gehackt te worden. De site moet in ieder geval bijgewerkt worden. 

Als extra beveiliging kunnen we Joomla! of Wordpress sites van een Firewall voorzien.

Tracking of marketing Cookies

Als jouw site cookies gebruikt die persoonsgegevens verzamelen (Google Analytics bijvoorbeeld), dan moet je hier toestemming voor krijgen van je bezoeker vóór je de gegevens gaat verzamelen. Voorbeeld is de (standaard) niet geanonimiseerde Google Analytics. Hier lees je hoe je jouw Google Analytics Privacy vriendelijk kan instellen.

Tot slot

In je privacyverklaring moet je opnemen of je de gegevens deelt met derden. Dat doe je! Met mij als host, of als ik je ondersteun bij je website, maar ook met je boekhouder, Microsoft of Google als je mail via Office365 of GSuite loopt of MailChimp als je daarin jouw nieuwsbrieven maakt. 

Joomla! plaatst altijd een sessie cookie. Dit is een funcitonele cookie (er hoeft dus geen toestemming voor gegeven te worden) die registreerd in welke taal je de site bekijkt en of je bent ingelogd of niet.