De nieuwe algemene verordening gegevensbescherming (AVG), die in 2016 werd ingevoerd, is een van de belangrijkste hervormingen van de privacy regelgeving in Europa in de afgelopen twintig jaar. Het uiteindelijke doel van de AVG is om de dataprivacywetten in Europa te verenigen, de privégegevens van Europese burgers te beschermen en hen meer rechten en controle over hun eigen gegevens te geven.
Online bedrijven hebben behoefte aan een constante stroom gegevens om de gebruikerservaringen op de website te verbeteren, websitebezoekers en klanten te retargeten of gepersonaliseerde advertenties te genereren. Onder de nieuwe AVG moeten websitegebruikers echter hun duidelijke toestemming geven voordat de gegevens kunnen worden verzameld. De gebruiker moet nu worden geïnformeerd over de manier waarop de gegevens worden verzameld en verwerkt. Het privacybeleid moet dus voor de gebruiker toegankelijk en gemakkelijk te begrijpen zijn. Websitegebruikers moeten een idee krijgen van wat voor soort gegevens zullen worden verzameld en voor welk doel, voordat ze akkoord gaan met de voorwaarden van de dienst, aangezien het niet naleven van de AVG kan leiden tot zware boetes en zelfs processen.
Er zijn veel verschillende aspecten van de wet waarmee websitehosts in heel Europa rekening moeten houden, wat behoorlijk ingewikkeld kan zijn. Maar niet iedereen kan zich een AVG-specialist in het bedrijf veroorloven. De volgende tips geven u dus een eerste indruk van hoe uw bedrijf en website voortdurend beter kunnen voldoen aan de Europese wetgeving inzake gegevensbescherming. Deze gids bevat geen juridisch advies, maar probeert een basiskennis van de AVG-vereisten te verkrijgen.
1. Ken de terminologie
Voordat u probeert uw website AVG-compatibel te maken, moet u een basiskennis van de terminologie hebben.
Persoonlijke gegevens
Persoonlijke gegevens beschrijven de informatie die een persoon kan identificeren, hetzij rechtstreeks, hetzij door een combinatie van de verzamelde gegevens. Gegevens die een persoon kunnen identificeren kunnen onder meer het e-mailadres, het IP-adres (dat de exacte locatie van een gebruiker kan voorspellen), namen, het inkomen, de religie of persoonlijke foto's zijn. Bovendien is het algemene gedrag op de website persoonsgegevens, aangezien cookies de browse-activiteiten op meerdere websites kunnen volgen (bijvoorbeeld over welke inhoud de gebruiker scrollt of op welke inhoud de gebruiker klikt).
Privacybeleid
In het privacybeleid wordt beschreven welk soort gegevens u van onze gebruikers verzamelt en hoe die gegevens verder worden verwerkt. Daarnaast moet het privacybeleid een beschrijving bevatten van hoe de persoonlijke gegevens privé worden gehouden of wie toegang heeft tot de gegevens. Het privacybeleid moet gemakkelijk te begrijpen en toegankelijk zijn voor de gebruikers van de website.
Gegevensverwerker en verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke is de persoon of software die het doel van de gegevens bepaalt en hoe deze verder worden verwerkt. De gegevensverwerker daarentegen is het individu of de software die de gegevens namens de gegevensbeheerder verwerkt en analyseert.
GDPR-conformiteit
Wat betekent het eigenlijk om AVG-compliant te zijn? Voldoen aan de huidige AVG kan een andere betekenis hebben, afhankelijk van het bedrijf, de organisatie, haar gebruikers en de kwaliteit van de data. Om echter aan de AVG in het algemeen te voldoen, moet het bedrijf of individu dat persoonlijke gegevens verzamelt, specifieke maatregelen implementeren om ervoor te zorgen dat deze standaard veilig worden verwerkt, verwerkt en opgeslagen.
2. Pas onze website aan volgens de huidige regelgeving inzake gegevensbescherming
Toen de wet in 2016 van kracht werd, hadden de meeste website-exploitanten dezelfde vraag: hoe kan ik ervoor zorgen dat mijn website voldoet aan de AVG? Met de volgende stappen zorgt u ervoor dat uw website beter voldoet aan de algemene verordening gegevensbescherming.
Zorg ervoor dat er een opt-in- en opt-out-formulier op uw website staat.
Zorg voor een formulier op uw website dat duidelijk zichtbaar is voor de gebruiker en dat hen informeert over de gegevensverzameling en -verwerkingsactiviteiten op de website. De meeste websites maken gebruik van cookie-pop-ups, inclusief een formulier voor gebruikersinhoud. Het moet ook gemakkelijk zijn voor het individu om zijn toestemming voor het verzamelen van persoonsgegevens in te trekken. Dit wordt ook wel de ‘opt-out’-optie genoemd.
Maak een lijst van alle trackingsoftware van derden
Veel websites maken gebruik van programma's van derden om de verzamelde gegevens efficiënter te analyseren. Zorg voor een sectie in uw privacybeleid of op uw cookie-pop-upbanner waarin de trackingsoftware van derden die op de website wordt gebruikt, wordt vermeld en beschreven. Daarnaast moet op de website duidelijk worden vermeld voor welke partij de toestemming wordt verleend en of er uitzonderingen zijn.
Maak het uw gebruiker gemakkelijk om de gegeven toestemming in te trekken – vooral bij e-mailmarketing
Het intrekken van de toestemming voor de gegeven gegevensverwerkingsrechten kan lastig te implementeren zijn op de website, zonder de gebruikerservaring op de website te verstoren. Onder de AVG moet het echter net zo gemakkelijk verwijderbaar zijn als voorheen werd toegestaan. Eenrichtingsbedrijven die deze uitdaging aanpakken, is door specifieke gebieden op te sommen waarvoor de gegevens mogelijk zullen worden gebruikt, waar de gebruiker het mee eens kan zijn of kan weigeren (bijvoorbeeld gepersonaliseerde advertenties, het volgen van gedrag, gepersonaliseerde gebruikerservaring op de website). Dit gebeurt meestal via cookies. Bovendien moet het voor de abonnees van uw nieuwsbrief gemakkelijk zijn om zich op elk gewenst moment af te melden voor uw e-maillijst. Als dit niet duidelijk in uw e-mail staat aangegeven of als er helemaal geen mogelijkheid is om u af te melden, kan dit leiden tot hoge boetes.
3. AVG-conform gebruik van Google Analytics
Google Analytics is veruit het meest gebruikt en het populairst website volgen tool, die haar gebruikers een uniek inzicht geeft in het gedrag van haar websitebezoekers. Maar voldoet Google Analytics aan de AVG?
Er zijn enkele eenvoudige stappen die u kunt nemen om het gebruik van Google Analytics voor uw website compatibel te maken. Google Analytics registreert elke gebruiker met een uniek gebruikers-ID, om het totaal aantal bezoekers op de website (bijvoorbeeld nieuwe of terugkerende klanten), het gedrag (bijvoorbeeld via welke websites de klant converteert; bouncepercentage) en interactie op de website weer te geven. website. Daarnaast kan Analytics gebruikers segmenteren op basis van leeftijd, geslacht en soms zelfs inkomen. Alle genoemde informatie wordt onder de AVG beschouwd als persoonlijke gegevens, die mogelijk een individu kunnen identificeren. De volledige omvang van de verzamelde gegevens via Google Analytics is echter moeilijk vast te stellen, aangezien Google de tool voortdurend ontwikkelt en verbetert.
Google's statistieken onder hun EU-toestemmingsbeleid, dat de website-eigenaren de verantwoordelijkheid hebben om openbaar te maken, dat Google Analytics op de website wordt gebruikt. Bovendien moeten ze toestemming verkrijgen van de eindgebruikers van de website in de Europese Unie en de exacte reden specificeren voor het verzamelen van de persoonlijke gegevens. Google Analytics verschuift dus de verantwoordelijkheid voor de gegevensbeschermingsvereiste naar de website-eigenaar. De volgende tips helpen u de naleving van de AVG te controleren tijdens het gebruik van Google Analytics.
Schakel IP-anonimisering in
Het IP-adres telt onder de AVG mee voor persoonsgegevens. Google gebruikt het IP-adres van de gebruikers om een geografisch rapport te genereren. Anonimisering zal dus de nauwkeurigheid van uw gebruikersregistratie via Google Analytics verminderen. U kunt een anonimisering van het IP-adres archiveren door de volgende variabele toe te voegen aan het trackingcodescript van Google Analytics:
{ 'anonimiseren_ip': waar }
Zodra de functie aan de trackingcode van Google Analytics is toegevoegd, wordt het IP-adres op het verzamelpunt geanonimiseerd.
2. Controleer de pseudofictie-instellingen van Google Analytics
Google Analytics heeft al maatregelen geïmplementeerd om de identificatie van een enkele gebruiker te voorkomen. U moet echter controleren of de volgende pseudofictie-instellingen actief zijn en functioneren.
Gebruikersnaam: Zorg ervoor dat de gebruikers worden geïdentificeerd via cijfers of letters en niet via specifieke e-mailadressen of gebruikersnamen in platte tekst.
Transactie ID: het combineren van de transactie-ID met andere gegevensbronnen in het account kan mogelijk een individu identificeren. Zorg er dus voor dat de ID een willekeurige alfanumerieke identificatie is.
Gecodeerde gegevens: Gecodeerde gegevens kunnen e-mailadressen of persoonlijke telefoonnummers omvatten. Het wordt daarom aanbevolen om het verzamelen van gecodeerde gegevens via Google Analytics te vermijden. Google Analytics heeft een minimale hash-vereiste van SHA256 en raadt het gebruik van salt aan met minimaal 8 tekens.
- Controleer de paginatitel van de URL's
Wanneer de URL als parameter “email=querystring” bevat, is het waarschijnlijk dat u persoonlijke gegevens naar andere marketingtools op uw website verzendt. Controleer uw paginatitels en URL's om er zeker van te zijn dat er geen persoonlijke gegevens worden verzameld.
- Andere maatregelen voor voortdurende naleving
Naast de technische aspecten zijn de volgende metingen van belang om blijvende naleving van de AVG vast te stellen.
- Zoek iemand binnen het bedrijf die verantwoordelijk is voor de gegevensbescherming en voor een regelmatige controle van de naleving van de AVG.
- Documenteer en registreer al uw AVG-klachtenmaatregelen en beveilig alle ingevulde toestemmingsformulieren
- Evalueer regelmatig uw maatregelen voor gegevensbescherming
- Train medewerkers om begrip voor het AVG-conforme gebruik en verzamelen van persoonlijke gegevens te bevorderen en te ondersteunen
Samengevat
Ook al is de hype rond GDPR aanzienlijk afgenomen sinds de introductie van het wetsvoorstel in 2016, mag deze niet worden vergeten of genegeerd. Er zijn verschillende nalevingsmaatregelen die binnen een bedrijf kunnen worden uitgevoerd en die verschillende niveaus van naleving genereren. Het is aan de individuele website-eigenaar hoe compliant hij wil zijn met de AVG-vereisten. Als u de voorgestelde tips volgt, komt u echter een stap dichter bij het voldoen aan de AVG.
