Vandaag is het zo ver, dan moeten organisaties hun bedrijfsvoering in overeenstemming hebben gebracht met de Algemene Verordening Gegevensbescherming (AVG). Heb je er bij stilgestaan dat ook jij aan de AVG zal moeten voldoen? Als je bijvoorbeeld een eigen blogje hebt. Al verdien je daar geen geld mee, ook dan zal je aan de regels moeten voldoen. Veel werk? Dat valt gelukkig mee.
In tegenstelling tot wat veel mensen denken, is de wet niet pas van kracht op 25 mei. Deze wet is al sinds 24 mei 2016 officieel, alleen hebben bedrijven tot 25 mei de tijd gekregen om hun zaakjes op orde te krijgen. Waarschijnlijk heb je al een heleboel e-mails gekregen van bedrijven die je last-minute nog willen wijzen op je rechten. Hier leggen we uit wat jij kan doen om je blog op orde te hebben.
Wat houdt de AVG in?
AVG, of in het Engels bekend als GDPR, beschermt natuurlijke personen van de EU op het gebied van persoonsgegevens. Het gaat daarbij om zaken als transparantie, wat betekent dat iedere persoon toestemming moet hebben gegeven voordat bedrijven zijn of haar gegevens mogen verwerken. Maar ook doelbeperking speelt mee, dus je persoonsgegevens mogen alleen voor een specifiek doel worden verzameld. In het verlengde daarvan is er ook sprake van gegevensbeperking, wat betekent dat een bedrijf je niet om meer gegevens mag vragen dan nodig. Tot slot moeten persoonsgegevens juist zijn en alleen worden bewaard tot het beoogde doel is gehaald. Uiteraard moeten de persoonsgegevens ook beschermd zijn tegen verlies, vernietiging of onbevoegden die zich hiertoe toegang willen verschaffen.
Inventariseer wat je hebt
Het is een heleboel, maar laat je niet afschrikken door grote bedrijven die speciale bureaus in de arm nemen om voor hun de AVG-check te doen. Je kunt dit makkelijk zelf doen als het gaat om je persoonlijke blog. Wat er onder de AVG valt zijn bijvoorbeeld de e-mailadressen van mensen die je blog volgen of zich hebben ingeschreven voor je nieuwsbrief, maar het gaat nog verder dan dat. Ook de IP-adressen die worden gebruikt om bezoekersstatistieken te raadplegen vallen onder persoonsgegevens. Het is als eerste stap verstandig om lijsten te maken met welke gegevens je per gebruikersgroep opvraagt en waar en hoe lang je deze informatie bewaart. Als je goed in kaart hebt wat je aan persoonsgegevens hebt, dan kun je dit ook helder aan je bezoekers communiceren.
De reacties onder artikelen verbieden
Een van de belangrijkste redenen voor mensen om hun gegevens achter te laten op je blog, zijn waarschijnlijk om je blog te volgen of reacties te kunnen achterlaten. Nu kun je er natuurlijk voor kiezen om de reactie-optie uit te zetten en het inschrijvingsformulier voor je nieuwsbrief te verwijderen, maar je kunt het ook aanpakken op een manier die toegankelijker is. Het gaat er uiteindelijk om dat bezoekers hun informatie kunnen opvragen, kunnen verwijderen en dat van te voren duidelijk is welke informatie je van ze vraagt of hebt en wat je hiermee doet. Checkboxes standaard aangevinkt hebben wanneer mensen zich bij je aanmelden, zodat ze bijvoorbeeld direct lid worden van de nieuwsbrief, mag ook niet meer: het moet echt een bewuste keuze van de persoon zijn om zichzelf op te geven voor de nieuwsbrief.
De veranderingen voor je privacyverklaring
Zorg dat je op je website een privacyverklaring zet waarin je aangeeft wat jouw website zoal doet met gegevens van mensen. Doe dat vooral zo specifiek mogelijk, bijvoorbeeld: waar gebruik je ze voor, hoe lang bewaar je ze en hoe kunnen mensen je bereiken als ze hun gegevens verwijderd willen hebben. Link in alle communicatie naar je gebruikers naar deze pagina. Geef het ook aan in formulieren dat men vrijwillig en expliciet toestemming geeft, zodat je ook hier veilig zit. Let op dat mensen per onderdeel moeten kunnen kiezen of ze zich hiervoor willen aanmelden of niet. Noem de organisaties die de gegevens ook kunnen inzien en hoe die toestemming weer ingetrokken kan worden.
Anonimiseer de IP-adressen van je bezoekers
IP-adressen zie je in Google Analytics. Log in en kijk bij Trackingsinfo onder Property. Vervolgens klik je op Trackingscode en dan staat er code die je waarschijnlijk bekend voorkomt. Die moet iets worden aangepast om te zorgen dat IP-adressen niet meer aan een bepaald profiel hangen. Voeg de code , { ‘anonymize_ip’: true } toe voor het gedeelte </ script>. Sla dit op en dan ben je er bijna. Er moet namelijk ook worden gezorgd dat Google de informatie niet meer krijgt. Ga naar Beheer>Accountinstellingen>vink alle opties uit en sla op. Zo heb je ervoor gezorgd dat IP-adressen anoniem worden.
Vergeet je leveranciers niet
Alles gedaan wat hierboven staat, dan ben je er nog niet helemaal. Behalve bezoekers heb je namelijk ook externe partijen zoals gastschrijvers of een hostingbedrijf dat toegang heeft tot bepaalde gegevens. Je dient hiervoor een verwerkersovereenkomst op te stellen waarin wederom wordt aangegeven welke informatie wordt opgevraagd, voor hoe lang dit bewaard blijft, enzovoorts. Voor elk bedrijf dat te maken krijgt met bezoekersgegevens van jouw website, moet zo’n verklaring bestaan. Zorg dat je overeenkomst met Google Analytics wordt geüpdate, door binnen Analytics bij Beheer>Accountinstellingen>Aanpassing van gegevensverwerking>Aanpassing bekijken. Hier kun je akkoord klikken en Opslaan en dan is die verwerkersovereenkomst apart niet nodig. Heb je bijvoorbeeld een Wordpress-site, zoek dan goed op welke widgets je zoal gebruikt en of deze wel voldoen aan de AVG. Mogelijk is ook daar een verwerkersovereenkomst nodig.
Denk aan de uitzonderingen
Werk je op grote schaal met bijzondere persoonsgegevens zoals informatie over iemands godsdienst, dan is het aan te raden informatie in te winnen bij een jurist. In die gevallen is namelijk de Data Protection Impact Assessment nodig. Nu zal dat voor de meeste persoonlijke blogjes niet van toepassing zijn, maar houd er wel rekening mee als je bijvoorbeeld een discussieplatform gericht op mensen van een bepaalde etniciteit runt. Iets heel anders waar je ook bedacht op moet zijn, is dat het niet alleen gaat om wat je met gegevens doet: ook dat je ze veilig houdt. Check of je website alleen benaderbaar is via een beveiligde verbinding (dus https:// in plaats van http://). Daar hangt ook meteen een voordeel aan voor jezelf: Google schat websites die een SSL-certificaat hebben hoger in.
Lees hier hoe je je website kunt beveiligen met https.
Het zijn een heleboel regels om rekening mee te houden, maar het is aan te raden dit desondanks tot in de puntjes uit te voeren. Doe je dit niet, dan kan je website aangesproken worden op de ACG en kan je maximaal 20 miljoen euro of 4 procent van je jaaromzet kwijt zijn. En, dan moet je het uiteindelijk alsnog voor elkaar hebben.