De GDPR komt er aan. GDPR (of ook Algemene Verordening Gegevensbescherming – AVG genoemd) gaat over het beheer en de beveiliging van persoonlijke gegevens van Europese burgers. Als organisatie moet u vanaf mei 2018 kunnen aantonen welke persoonsgegevens u verzamelt, hoe u deze data gebruikt en hoe u ze beveiligt (of u dit nu in uw datacenter of in de cloud buiten de EU beheert). Ook gaat het over het vrije verkeer van de gegevens.

De GDPR bestaat uit een aantal principes:

  • transparantie
  • doelbeperking
  • gegegevensbeperking
  • juistheid
  • bewaarbeperking
  • integriteit en vertrouwelijkheid
  • verantwoording

De wet zal op 25 mei 2018 van kracht zijn in heel Europa. Boetes kunnen vanaf dat moment worden opgelegd.

Een van de belangrijkste dingen die je moet realiseren is dat jij verantwoordelijk bent voor de persoonsgegevens die mensen je toevertrouwen. Zorg dus dat je daar zorgvuldig mee omgaat.

4 simpele regels;

  1. Vraag en bewaar alleen dat wat strikt noodzakelijk is
  2. Zorg dat gegevens beveiligd verzonden kunnen worden
  3. Zorg dat gegevens veilig opgeslagen worden
  4. Zorg voor toestemming dat je de gegevens mag gebruiken

GDPR / AVG en je website:

Maak gebruik van een SSL certificaat;

Zo’n SSL certificaat zorgt namelijk voor een beveiligde verbinding voor het versturen van gegevens via je website. Waarom is dit belangrijk i.v.m. de nieuwe wet? Als je gegevens onbeveiligd laat versturen via je website kun je een datalek veroorzaken. Ongewenste indringers kunnen dan namelijk ‘meeluisteren’ met de gegevens die iemand via een formulier of je webshop naar jou doorstuurt.

Gebruik je een SSL certificaat dan kun je aantonen dat je er in ieder geval alles aan gedaan hebt om dit versturen zo veilig mogelijk te laten verlopen. Het geeft je bezoekers sowieso een veiliger gevoel met zo’n slotje in de browser i.p.v. een melding dat de website niet veilig is (wat binnenkort steeds prominenter in beeld zal komen).

Alle websites van Web-Pepper worden standaard al voorzien van SSL via Let’s Encrypt, u hoeft hier dus zelf geen aktie op te ondernemen als uw website bij ons in onderhoud is.

Gebruik een opt-in en opt-out op de website voor het volgen van de cookies

Cookies zijn die handige kleine bestandjes die dingen voor je kunnen bewaren. Handig als je een winkelmandje in een webshop wilt vullen met jouw artikelen, ook handig om je instellingen van die website te bewaren. Soms worden cookies echter ook geplaatst om je te volgen, denk bijvoorbeeld aan de Facebook Pixel, een zogenoemde ‘tracking-cookie’.

Met deze nieuwe wetgeving mag dat laatste niet meer zonder toestemming (eigenlijk mag het al een paar jaar niet meer, die wet was al eerder doorgevoerd). Je hebt daarom een cookie melding of cookie wall nodig waardoor de tracking-cookies pas geplaatst worden na goedkeuring.

Indien gewenst kunnen wij dit voor u verzorgen, echter gebeurd dit alleen uitdrukkelijk op uw verzoek. Wij adviseren gebruik te maken van CookieBot

Verwijder gegevens van uw klanten wanneer deze niet meer nodig zijn;

In het algemeen is het verstandig om klantgegevens zo kort mogelijk te bewaren, dan loop je ook minder risico op diefstal of fraude hiermee. Hoe lang is het relevant en heb je het nodig voor de uitoefening van je werk?

Bedenk dat sommige plugins zoals contactformulieren de inzendingen niet alleen naar je mailen, maar ook binnen je website bewaren. Je kunt bijvoorbeeld besluiten om de inzendingen max. 6 maanden te bewaren en periodiek de berichten ouder dan 6 maanden te verwijderen (zet dit in je agenda!). In sommige plugin instellingen kun je het bewaren van inzendingen binnen je website ook helemaal uitschakelen. Dat is natuurlijk ook een optie als je het niet nodig vind om iets te bewaren.

Wil je de gegevens bewaren dan zul je moeten onderbouwen waarom je dit doet en hoe je ze zo veel mogelijk beschermd tegen diefstal en fraude.

Stel een privacy disclaimer op;

Met een privacyverklaring op je website kun je aan je bezoekers duidelijk maken hoe jij met hun gegevens omgaat. Hier kun je ook een cookie-statement in opnemen waarin je beschrijft welke cookies je plaatst en waarom.

Je kunt een privacy- en cookieverklaring opstellen via bijvoorbeeld deze website(s):

Deze verklaring plaats je vervolgens op een pagina binnen je website. Je kunt hier een link naar maken vanuit je footer, dat is het meest gebruikelijk. Sommige thema’s hebben een footer menu, en anders kun je de link in een widget toevoegen.

Zorg ervoor dat uw omgeving lokaal beveiligd is met een virusscanner;

Vraag uw systeembeheerder of hardwareleverancier eventueel om advies. Web-Pepper zelf maakt gebruik van die diensten van ESET.

uw omgeving is klaar voor PHP 7 of draait hier al op;

Alle websites van Web-Pepper worden standaard al voorzien van de mogelijkheid gebruik te maken van PHP7, u hoeft hier dus zelf geen aktie op te ondernemen, dit is al enkele maanden geleden voorbereid en veel van onze website gebruiken PHP7 al.

het CMS/CRM moet up-to-date zijn en voorzien van beveiligingspatches.

Alle websites van Web-Pepper worden standaard al voorzien van de laatste nieuwe versies, dat is een belangrijk deel van ons onderhoudspakket. Daarnaast zorgt onze huishoster SiteGround voor een veilige hostingslocatie, u hoeft hier dus zelf geen aktie op te ondernemen.

Pas de contactformulieren eventueel aan.

Vraag niet naar gegevens die niet strict noodzakelijk zijn voor het doel. Vraag je bijvoorbeeld om een geboortedatum in je contactformulier, heb je die wel echt nodig? Je kunt er wel om vragen zodat ze op vrijwillige basis gedeeld worden maar dan moet je aangeven waarvoor je deze gegevens nodig hebt en gebruikt.

Dit zijn de eerste stappen naar een goede interpretatie van GDPR, maar houd er rekening mee dat het aanpassen van uw website slechts een onderdeel is van het goed uitvoeren van deze wet en dat u altijd zelf verantwoordelijk bent voor de uitvoering ervan binnen uw organisatie.

Nog meer over de GDPR:

  • De Privacy Commissie heeft een brochure gemaakt die tevens dertien stappen beschrijft in het GDPR proces.
  • Ook de UNIZO heeft een brochure met nuttige informatie gemaakt over de GDPR, u vindt deze hier.