Vrijwel iedere organisatie heeft tegenwoordig een eigen website. Websites kunnen veel verschillende functies hebben, zoals het informeren van websitebezoekers, het aanbieden van diensten en het verkopen van producten. De meeste websites hebben wel iets gemeen: er worden persoonsgegevens verwerkt. Al is het maar via het verzamelen van cookies of een eenvoudige contactpagina waar bezoekers hun e-mailadres kunnen invullen. In deze blog geven we u praktische tips om uw website te laten voldoen aan de AVG en andere privacywetgeving (zoals de Telecommunicatiewet).
Cookies
De meeste websites maken gebruik van cookies. Cookies zijn gegevenselementen die naar uw browser verzonden kunnen worden waarmee voorkeuren worden opgeslagen. Er zijn verschillende soorten cookies. Er zijn bijvoorbeeld technisch/functioneel noodzakelijke cookies. Deze cookies zijn noodzakelijk om de website in de lucht te houden. Zonder deze cookies zou de website niet naar behoren functioneren. Denk hierbij aan de mogelijkheid om in te loggen op een website of om de inhoud van een digitale winkelwagen te onthouden. Daarnaast bestaan technisch niet noodzakelijke cookies. De bekendste voorbeelden hiervan zijn de zogeheten tracking cookies. Door het gebruik van tracking cookies kunnen advertenties en reclames getoond worden die gebaseerd zijn op de browsergeschiedenis van een websitegebruiker. Wanneer uw website gebruik maakt van tracking cookies is toestemming van iedere websitegebruiker vereist. Ook bij overige technisch niet noodzakelijke cookies is toestemming vereist. Weet u niet van welke cookies uw website gebruikmaakt? Raadpleeg hiervoor uw websitebeheerder.
Privacyverklaring
De AVG bevat geen expliciete plicht om een privacyverklaring (ook wel privacy statement genoemd) op de website te plaatsen. Volgens de Autoriteit Persoonsgegevens is een online privacyverklaring wel de meest handige manier om te voldoen aan de informatieplicht uit de AVG. De informatieplicht is neergelegd in artikel 13 en 14 AVG. Dit houdt in dat u als verwerkingsverantwoordelijke de plicht heeft het publiek te informeren over gegevensverwerkingen. U dient websitegebruikers onder meer te informeren over uw identiteit en contactgegevens, het doel van de verwerking, de wettelijke grondslag voor de verwerking, de bewaartermijn, de rechten van betrokkenen, de mogelijkheid om toestemming in te trekken en het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Daarnaast geldt de plicht voor een verwerkingsverantwoordelijke om transparant te zijn over verwerkingen van persoonsgegevens (artikel 5 lid 1 AVG).
De privacyverklaring kan enkel en alleen informatie bevatten over gegevensverwerkingen via uw website. Sommige privacyverklaringen bevatten echter informatie over alle gegevensverwerkingen die plaatsvinden binnen een organisatie. Het is aan u de keuze hoe uitgebreid u uw privacyverklaring wilt maken. Het is niet verplicht om in de privacyverklaring in te gaan op verwerkingen buiten uw website om. Dit kunt u ook op een later moment doen als een contractuele relatie tot stand komt tussen u en de betrokkene/websitegebruiker, zoals een arbeids-, opdracht- of koopovereenkomst.
Wij adviseren u een privacyverklaring op de website te plaatsen. Deze privacyverklaring dient op een duidelijke en zichtbare plaats op de website gezet te worden, zoals helemaal onder- of bovenin of als pop-up.
SSL-certificaat
Iedere website waarop persoonsgegevens verwerkt worden, dient gebruik te maken van een zogenaamd SSL-certificaat. Kort gezegd houdt een SSL-certificaat in dat persoonsgegevens beveiligd worden door middel van versleuteling. Hiermee kunnen inlog- en bankgegevens en overige persoonsgegevens veilig gebruikt worden op een website. Een SSL-certificaat wordt gekenmerkt door https:// in de URL van de website en een (groen) slot in de adresbalk. Een SSL-certificaat met Extended Validation (EV) zal ervoor zorgen dat de adresbalk groen wordt. Dit is een extra signaal dat een website veilig is. Neem contact op met uw websitebeheerder als u een SSL-certificaat wilt kopen.
(Hyper)links
Verwijs op uw website niet via (hyper)links naar onbetrouwbare of onbekende websites. Uw website kan veilig zijn en voldoen aan de AVG, maar met onzorgvuldig gebruik van (hyper)links kan de privacy en bescherming van persoonsgegevens van websitegebruikers alsnog niet gegarandeerd worden.
Foto’s en overige persoonsgegevens van medewerkers
Heeft u medewerkers in dienst en wilt u persoonsgegevens van deze medewerkers op uw website plaatsen? Of heeft u een smoelenboek voor medewerkers? Vraag toestemming aan deze medewerkers of zij met hun foto en/of naam op internet willen komen! Zonder toestemming heeft u (hoogstwaarschijnlijk) geen rechtsgeldige verwerkingsgrondslag en handelt u in strijd met de AVG.
Algemene voorwaarden
Veel organisaties plaatsen hun algemene voorwaarden op de website. Zorg ervoor dat deze algemene voorwaarden bepalingen omtrent de AVG en gegevensbescherming bevatten. Ook dient u uw privacyverklaring van toepassing te verklaren op de algemene voorwaarden. Voor meer informatie over algemene voorwaarden, lees dan hier onze recente blog hierover.
Tot slot
Voor veel organisaties is de website het visitekaartje. Dit is het eerste dat veel mensen zien. Zorg er dus voor dat deze niet alleen een mooie lay-out heeft, maar zorg er ook voor dat u voldoet aan de privacywetgeving en duidelijk maakt dat u belang hecht aan het beveiligen van persoonsgegevens!
Heeft u hulp nodig met het AVG-proof maken van uw website? Neem dan contact op met onze sectie privacyrecht via het e-mailadres privacyrecht@vangelderadvocaten.nl of telefonisch via 088- 88 40 840. Wij helpen u graag verder.
