Lever je een dienst of product, dan heb je waarschijnlijk ook een website. Wil je voldoen aan alle vereisten onder de AVG, dan zal niet alleen je organisatie, product of dienst privacy proof ingericht moeten zijn, maar ook je website. Middels een websitescan toetsen wij jouw website aan alle verplichtingen uit de AVG en de Nederlandse Uitvoeringswet AVG (UAVG). Zo weet je zeker dat jouw website privacy proof is. Maar waar letten wij dan precies op?
Formulieren en invulvelden
Op websites wordt eigenlijk altijd wel gebruik gemaakt van formulieren, die ingevuld kunnen worden door websitebezoekers. Denk bijvoorbeeld aan een contactformulier. Wanneer websitebezoekers deze formulieren invullen, ontvang jij als organisatie logischerwijs een aantal gegevens, waaronder persoonsgegevens. Om te kunnen reageren op de contactaanvraag van een websitebezoeker heb je in ieder geval een e-mailadres nodig. Middels formulieren kunnen dus persoonsgegevens verwerkt worden. Het is daarom belangrijk dat je je bij het inrichten van deze formulieren houdt aan de regels die de AVG stelt aan het verwerken van persoonsgegevens.
Zo dien je enkel die gegevens uit te vragen, die noodzakelijk zijn om het doel te bereiken. Dit in verband met het principe van dataminimalisatie. Heb je de gegevens niet echt nodig, zorg er dan voor dat je deze gegevens ook niet uitvraagt middels het formulier. Om contact op te nemen met een betrokkene heb je waarschijnlijk genoeg aan een naam en contactgegevens, maar adresgegevens zijn niet noodzakelijk. Gebruik de gegevens die je via een formulier verkrijgt van een websitebezoeker bovendien niet voor andere doeleinden, dan waarvoor je die verkregen hebt. Heeft een websitebezoeker zijn gegevens ingevuld in het contactformulier, dan mag je deze gegevens dus niet gebruiken om de nieuwsbrief te versturen. Denk er tot slot aan dat je onderaan ieder formulier een verwijzing naar de privacy- en cookieverklaring opneemt. Betrokkenen dienen namelijk, nog voordat hun persoonsgegevens verwerkt worden, geïnformeerd te worden over de persoonsgegevens die verwerkt zullen worden, waarom deze verwerkt worden en hoe.
Nieuwsbrief
Een ander voorbeeld van een formulier wat op veel websites te vinden is, is het formulier waarmee je je aan kan melden voor de nieuwsbrief. Dit formulier verdient extra aandacht, omdat het formulier een combinatie vormt met een toestemmingsvraag. Wil je een nieuwsbrief gaan versturen, dan heb je namelijk, op grond van de Telecommunicatiewet (Tw), toestemming nodig voor het versturen van de nieuwsbrief. Dat is makkelijk geregeld, zou je denken, maar op basis van de AVG is toestemming alleen rechtsgeldig, wanneer deze vrijelijk, specifiek, geïnformeerd en ondubbelzinnig gegeven is.
Concreet betekent dit dat de toestemmingsvraag voor de nieuwsbrief in ieder geval moet vermelden hoe de nieuwsbrief verstuurd wordt, hoe vaak deze verstuurd wordt, waar deze over gaat en wie hem verstuurt. Bovendien dient ook de verwijzing naar de privacy- en cookieverklaring wederom niet vergeten te worden.
Let ook op dat je als organisatie moet kunnen bewijzen dat je toestemming verkregen hebt. Aan deze bewijslast kan je bijvoorbeeld voldoen door het loggen van het invullen van formulieren die aan toestemming verbonden zijn of door gebruik te maken van een ‘double opt-in’. Bovendien moet de websitebezoeker gegeven toestemming ook net zo makkelijk weer in kunnen trekken. Neem daarom bijvoorbeeld onderaan iedere nieuwsbrief een afmeldlinkje op. Wordt de toestemming ingetrokken, dan dien je de verwerking van de gegevens die je op basis van deze grondslag verwerkt, te staken
Cookies
Net zoals voor de nieuwsbrief, heb je ook voor het plaatsen van vergaande analytische en marketing cookies toestemming nodig. Toestemming kan verkregen worden middels de welbekende cookiebanner. Maar let op: ook hier dient de toestemmingvraag weer te voldoen aan de hierboven genoemde vereisten voor toestemming. Zorg er dus voor dat de cookiebanner in ieder geval informeert over wie de cookies plaatst, welke cookies er geplaatst worden en met welk doel. Verwijs bovendien naar de privacy- en cookieverklaring en zorg ervoor dat de websitebezoeker zelf moet aanvinken voor welke cookies hij toestemming geeft. Toestemming vereist immers een actieve handeling van de betrokkene. Wordt er geen toestemming gegeven, dan mogen de cookies uiteraard niet geplaatst worden.
Informeren
Tot slot heeft de verwerkingsverantwoordelijke op basis van de AVG een informatieverplichting. Voor verwerkingen die op jouw eigen website plaatsvinden, ben jij als organisatie altijd verwerkingsverantwoordelijke (o.a. voor het gebruik van cookies, verzamelen van gegevens via het contactformulier en het verzenden van de nieuwsbrief).
Wij checken daarom altijd of een organisatie voldoet aan deze informatieverplichting, door middel van een privacy- en cookieverklaring, en of dit document voldoet aan de vereisten onder de AVG.