25 mei a.s. komt er in Nederland een nieuwe wet genaamd Algemene Verordening Gegevensbescherming (AVG) in het Engels GDPR genoemd. Deze wet gaat een grote impact hebben op iedereen die een eigen bedrijf en een website heeft. Voldoe jij al aan de eisen van de AVG? Hieronder een aantal aandachtspunten om direct actie te ondernemen om beter om te gaan met beveiliging en privacy.
Let op: dit is geen juridisch advies, slechts een blog omdat ik mijn klanten wil informeren over deze wet.
Beveiliging
Beveiliging begint met de bestanden op je eigen computer en mobiele telefoon staan. Telefoonnummers van klanten zijn persoonsgegevens die onder de nieuwe wet vallen en ze bevatten vaak bedrijfsdocumenten.
- Zorg altijd voor een wachtwoord wanneer de computer aangaat of uit slaapstand komt,
gebruik een sterk wachtwoord. - Zorg dat je computer en mobiele telefoon encrypted is (Leer meer hierover op Computerworld)
- Investeer in een goede firewall, malware en anti-virus software (ook voor mobiel
- Log niet in op openbare WIFI spots zonder VPN
Gebruik sterke wachtwoorden
Gebruik geen zwakke wachtwoorden. Door het gebruik hiervan is je website niet alleen onveilig, maar onder andere ook je e-mailaccount als dat hetzelfde wachtwoord heeft. Zorg voor een willekeurig wachtwoord van minstens 16 karakters.
Maak een willekeurig wachtwoord aan van minstens 16 karakters. Het liefst maak je dat aan in een Password Manager. Met zo’n manager hoef je maar 1 sterk wachtwoord te onthouden voor de honderden sterke wachtwoorden die al je accounts gebruiken. Je wachtwoord testen? Dat kan hier: https://howsecureismypassword.net
Informeer je klanten over hun privacy
Als je een bedrijf en website hebt ben je wettelijk verplicht je klanten en bezoekers duidelijk te informeren over welke privacygevoelige gegevens je verzamelt en met welk doel. Ook als dat doel alleen maar is het vastleggen van hun gegevens in je klantenbestand. Heb je een website? Dan moet je een privacyverklaring opstellen.
Stichting Webwinkelkeur is momenteel bezig met het bouwen van een privacy policy generator. Deze zal er voor moeten zorgen dat je in de basis een bestand kunt maken dat passend is voor jouw bedrijf. Een standaard document is er namelijk niet meer, elke website doet immers andere dingen met data. Tot deze generator actief is zou je gebruik kunnen maken van het Privacy Policy formulier dat nu op de website staat. Op Veiliginternetten.nl kun je al gebruik maken van een Privacy Statement Generator.
SSL Certificaat
Met een SSL-certificaat beveilig je je website. Er komt dan HTTPS voor je URL, waaraan bezoekers zien dat hun bezoek is beveiligd. Onder de GDPR ben je verplicht om te zorgen voor een optimale beveiliging van persoonsgegevens. Sla je formulieren of nieuwsbrief aanmeldingen op via je site? Dan is HTTPS verplicht, je kunt deze bij mij aanvragen of bij je hostingbedrijf. Bij SoHosted heb je al een SSL certificaat voor 1 euro per maand.
Toestemming en Verwerkersovereenkomsten
Heb je een online nieuwsbrief? Zorg er dan voor dat je altijd toestemming hebt voordat je gegevens gaat verzamelen. Bij nieuwsbrieven moet je ook transparant zijn. E-mail mensen alleen over hetgeen waarvoor ze zich hebben opgegeven en niet andere producten of diensten. Je mag de lijst nooit aan iemand anders geven zonder toestemming van je klanten. Deze toestemming moet je trouwens kunnen aantonen: je moet bewaren hoe en wanneer iemand hiervoor toestemming heeft gegeven. Ook wanneer je een kleine pop-up hebt waar mensen zich in kunnen schrijven moet er duidelijk staan waarvoor deze gegevens worden gebruikt met een toestemmingsknop.
Een ja-ik-wil-vakje in bijvoorbeeld een contactformulier mag niet automatisch meer aangevinkt zijn. De opt-in mag ook geen voorwaarde zijn voor iets anders.
Zorg bij nieuwsbrieven altijd voor een dubbele opt-in. Lees hier meer over opt-in. Let op vanaf 25 mei a.s. is deze functie verplicht.
Elke externe partij waarmee je je nieuwsbrief verstuurt, is een dataverwerker waarmee je straks een verwerkersovereenkomst nodig hebt. Een e-mailadres en klikgedrag zijn ook persoonsgegevens.
Voor alle gebruikers van de nieuwsbrief software van Zuiver heb ik de dubbele opt-in ingevoerd. Vanaf begin mei kunnen gebruikers de abonnees informeren en opnieuw verzoeken zich aan te melden met de dubbele opt-in. Tevens is er dan een verwerkersovereenkomst beschikbaar.
Werk je met bedrijven als Mailchimp, Google en Dropbox? Gelukkig voldoen al die grote bedrijven inmiddels aan de Privacy Shield overeenkomst met Europa, en kun je gewoon zaken met ze doen. Zorg wel dat je een verwerkingsovereenkomst met ze aangaat, dat ze zorgvuldig met je data omgaan en breng je klanten en bezoekers hiervan op de hoogte!
Contactformulieren en gebruikers
Contactformulier op je website? Zorg er dan voor dat die alleen maar e-mails doorstuurt naar je inbox en ze niet opslaat op je computer. Ook deze e-mails dien je goed te beveiligen. Heb je ook o.a. boekingen die opgeslagen worden, informeer je bezoekers hierover wanneer ze het boekingsformulier invullen.
Geef je iemand toegang tot het CMS van je site, dan moet die persoon daar ook een geldige reden voor hebben. Die reden moet je apart gaan vastleggen, zodat helder is wie waarom toegang heeft tot persoonsgegevens. Onnodige accounts moet je verwijderen.
Conclusie
Het belangrijkste binnen de AVG is dat je transparant bent over alles wat je doet tegenover je klanten en bezoekers van je site. Dat moet je volgens de nieuwe wet wel in normale taal uitleggen, zodat iedereen het kan begrijpen. Je moet iedereen informeren over hun rechten binnen deze wet. Daarnaast moet je zorgen voor een goede beveiliging van o.a. je website en eventuele lekken melden. Ben je een USB stick kwijt met je klantenbestand of is je website met klantenprofielen gehacked? Dan moet je dat melden. Bij ICTrecht lees je in hun factsheet meer over de eisen binnen deze wet.
Verzamel dus alleen de gegevens die je echt nodig hebt om je werk te doen, beveilig die goed, informeer je bezoekers en klanten en lees de komende tijd meer over de details van deze nieuwe wet.