Is jouw website AVG-proof?

Weet jij welke gegevens websites op het internet verzamelen en delen? En weet je dan ook wat er met die gegevens gebeurt? De kans is groot dat jij op beide vragen antwoordt met nee. Dit komt omdat jij je hier weinig zorgen om hoeft te maken, althans dat zegt je gevoel. Je gaat er vanuit dat (Nederlandse) websites vertrouwelijk met je gegevens omgaan. Toch verschijnen er vaak artikelen over (grote) datalekken waarbij gegevens van honderden of zelfs duizenden personen op straat komen te liggen. Om dit probleem aan te pakken komt er op 25 mei de wet Algemene Verordening Gegevensbescherming(AVG). Deze wet verplicht bedrijven om veilig met data om te gaan.

Date

15-04-2018

Categorie

IT
Auteur
Bas Hendriks
Lead Developer

Welke regels staan er in de AVG?

De AVG is zo opgesteld dat de gegevensverwerkers (bedrijven dus) worden ondervonden aan strenge eisen. Zo moet de data binnen Europa worden opgeslagen, moeten personen hun eigen data kunnen inzien en moet het mogelijk worden gemaakt dat personen eenvoudig de volledige persoonlijke data uit ieder systeem kunnen verwijderen.

Een andere eis binnen de AVG is dat de verkregen data alleen gebruikt mag worden voor het doeleinde dat gevraagd wordt tijdens het verkrijgen van de informatie. Een e-mailadres uit een contactformulier mag dus alleen gebruikt worden voor het beantwoorden van de vraag en niet voor bijvoorbeeld een marketingcampagne. Mocht dit wel je intentie zijn, dan moet dit duidelijk bij het contactformulier staan en moet de bezoeker dit expliciet aanvinken.

Ook binnen de privacyverklaring van een organisatie of website moeten de teksten worden aangepast. In plaats van een juridisch verhaal op te stellen, moet er een 'leesbare’ tekst worden geschreven. Hierin moet o.a. vermeld worden welke gegevens verzameld worden op de website, de bestemming hiervan en welke externe partijen betrokken zijn bij de website.

Dit klinkt al snel als iets waar jij je niet mee bezig wilt houden of waarvan je denkt dat het niet van toepassing is voor jou. Maar, tegenwoordig moet je al voldoen aan de AVG wanneer je gebruik maakt van een 'simpel' contactformulier of zogenaamde tracking-cookies…

De belangrijkste punten uit de AVG wet op een rijtje;

Vanaf 25 mei 2018 is er één wet voor de gehele EU;

  • Persoonsgegevens mogen verzameld worden op basis van;

  • Toestemming van de gebruiker

  • Vitale belangen

  • Wettelijke verplichtingen

  • Overeenkomst

  • Algemeen belang

  • Gerechtvaardigd belang

Ook moet er voldaan worden aan de volgende verplichtingen;

  • Register/overzicht met alle dataverwerkingen

  • Gegevensbeschermingsbeleid

  • Digitale beveiliging van de data

Daarnaast hebben alle betrokkenen (dus de personen waarvan de data wordt verzameld), het recht om die informatie ten allen tijden in te kunnen zien, te kunnen wijzigen, te "worden vergeten" en de gegevens over te dragen naar een derde partij. Kortom; de consument is baas over eigen gegevens!

Hoe maak jij je website AVG geschikt?

Om wel op een AVG goedgekeurde wijze toestemming te vragen om data te verzamelen, is het vooraf belangrijk dat je weet welke gegevens voor welk doel verzameld worden. Deze moet je namelijk meenemen in de privacy statement van je website. Naast de correcte manier van verwerking is het ook belangrijk dat de gegevens veilig opgeslagen zijn. Zijn deze dat niet dan loop je bij een eventueel datalek al kans op een boete van maximaal €20.000.000 of 4% van de wereldwijde jaaromzet!

Om dit te voorkomen moet je er allereerst voor zorgen dat al je systemen voorzien zijn van de laatste beveiligingsupdates. Denk hierbij aan het updaten van je website (CMS, plugins, modules etc.) maar ook de server software. Als tweede moet je controleren of je website een ‘SSL certificaat’ heeft, dit versleutelt het verkeer tussen de bezoeker en de server. Heeft je website dit niet, zorg dan dat jij of de website beheerder dit aanvraagt. Dit maakt het namelijk moeilijker voor hackers om de verbinding af te luisteren. Belangrijk om te weten is dat je dan ook nooit persoonsgegevens moet invoeren via een onbeveiligde verbinding, deze worden namelijk als leesbare teksten over het netwerk verstuurd waardoor een aanvaller heel makkelijk alle informatie kan uitlezen.

Welke problemen neemt de AVG met zich mee?

Het is voor vele grote bedrijven lastig om te voldoen aan de nieuwe wetgeving. Dit komt doordat het doorvoeren van grote, structurele, wijzigingen erg veel tijd en moeite kost om te ontwikkelen. Systemen zijn vaak niet opgezet met privacy-gedachten en data wordt zonder toestemming gekopieerd of gedeeld met andere doeleinden. Om te voldoen aan de nieuwe wetgeving moeten deze systemen worden omgeschreven naar een ‘privacy-driven’ systeem dat de regels van de AVG implementeert.

Voornamelijk Google en Facebook hebben hier veel moeite mee doordat ze delen van hun diensten moeten herstructureren. Grote delen van de data die zij bezitten mogen zij niet meer inzetten voor marketingdoeleinden voordat de gebruikers hiervoor toestemming hebben gegeven (een zogenaamde ‘opt-in’). Mensen met een klein beetje technische achtergrond zullen nu vrij snel denken dat dit eenvoudig gaat via het inzetten van nieuwe ‘algemene voorwaarden’, die mensen in het algemeen standaard accepteren. Maar ook deze manier van toestemming vragen wordt niet ondersteund door de AVG. Dit komt doordat de gebruiker op deze manier niet duidelijk weet waar hij of zij mee instemt. 

Schakel hulp in!

Als je niet zeker weet of en hoe jij je website moet beveiligen, vraag dit dat aan de beheerder. Dit geldt ook voor de servers waar je website op gehost staan, hier heb je zelf vaak geen toegang tot. Hierom moet je hosting provider dit voor je regelen. Neem gerust contact met ze op om te vragen of het systeem up-to-date is en wat er vanuit de hosting kant veranderd is aan de beveiliging. Want ingewikkeld of niet, uiteindelijk ben jij zelf verantwoordelijk voor de correcte en veilige manier van gegevensverwerking... Ben je benieuwd wat wij voor jou kunnen betekenen? Neem dan nu contact met ons op

Auteur
Bas Hendriks
Lead Developer

Our superhero

Onze front- en back-end developer Bas realiseert jouw digitale dromen. Als student ICT & Media Design leerde hij het beste van twee werelden: hij bezit uitstekende codeer skills en heeft oog voor detail en design. Daarmee fungeert hij als de verbindende schakel tussen de developers en designers van Appart. Hij is kritisch op zijn eigen werk, maar ook op de input van de klant. Werkt een andere oplossing beter, dan steekt Bas dat niet onder stoelen of banken. Wanneer hij niet met zijn hoofd in de computer zit, is hij graag sportief bezig. Hij gooit in de sportschool met gewichten, maakt kilometers op zijn mountainbike of trotseert de sneeuw op zijn snowboard. In de zomer vind je hem met zijn vrienden op een festival. Wat Bas ook doet, je bent ervan verzekerd dat hij het doet met volle overtuiging en een lach op zijn gezicht.