* En misschien ook omdat je je aan de wetgeving wilt houden en het risico op een boete wilt uitsluiten.
Na ruim een jaar zoeken hebben we eindelijk een oplossing gevonden die je website écht AVG-proof maakt. We bieden deze oplossing aan in samenwerking met De Functionaris. Jurist Leonard van der Leeden van De Functionaris legt in dit gastblog uit wat de invloed van de AVG op je website is en wat onze slimme oplossing hierin kan betekenen. Het is een wat langer blog, maar de inhoud is mega belangrijk, dus ga er even goed voor zitten.
Vorig jaar, toen de Algemene Verordening Gegevensbescherming (AVG) van toepassing werd, brak er stress uit in ondernemerswereld. Een leuke tijd voor mensen die houden van onmogelijke afkortingen en privacy juristen die door woorden als: “gegevensbeschermingseffectbeoordeling”, ieder spelletje Galgje op hun naam schreven. Maar ondertussen werd er ook gesproken over de dreiging van astronomische boetes en controle door de Autoriteit Persoonsgegevens.
Wat is nu eigenlijk het doel van de wetgeving? Waar moet of waarmee kun je beginnen? Waarom zou je aan de AVG voldoen? En hoe dan (op je website)?
Het doel van de AVG is heel simpel en heeft twee perspectieven:
Het verwerken van persoonsgegevens (dat woord betekent trouwens: alle gegevens waarmee je iemand – echte levende mensen – kúnt identificeren of geïdentificeerd hebt) moet rechtsgeldig gebeuren. Dat wil zeggen dat we gegevens mogen verwerken als we ons daarbij maar houden aan de wet, in juristentaal zoeken we dan een wettelijke grondslag. Die wet die heet dus AVG.
Dat zoeken van een wettelijke grondslag is een goed begin en vanuit daar kun je al je activiteiten in beeld gaan brengen. Dat in beeld brengen van je “verwerkingsactiviteiten” doen we normaal gesproken in een “verwerkingsregister”.
Je website verwerkt al snel persoonsgegevens. Denk aan je contactformulier, die is wel het meest logisch. Jouw wettelijke grondslag is bij een contactformulier normaal gesproken het eigen gerechtvaardigd belang (art. 6 lid 1 sub f). Dan moet je je verder nog aan wat andere regels houden, zoals: niet meer gegevens vragen dan je nodig hebt om je doel te bereiken (dataminimalisatie) en de ingevulde gegevens niet voor andere doeleinden gaan gebruiken dan waarvoor je ze verzamelde (doelbinding).
Nu wordt het een beetje technisch, want wat denk je van derden die voor specifieke doeleinden, worden betrokken bij de uitvoering van jouw gegevensverwerking op de website? Ik wil niet perse reclame voor ze maken maar jullie kennen ze vast allemaal: Google (Analytics , Maps en Adwords) Facebook, LinkedIn enzovoort. Zij zijn allemaal geïnteresseerd in jouw bezoeker. Wie is het, wat bekijken ze, waar bevinden zij zich. Allemaal diensten waarvoor jouw websitebezoekers niet hoeven te betalen, maar waarvoor geldt: “if you’re not paying for it, you are the product.” En daarbij komt de uitspraak van de Europese Hof van Justitie van de afgelopen maand: jij bent samen met die partijen daarvoor verantwoordelijk!
Heb je een Facebook like box, Instagram feed of LinkedIn profiel badge op je website staan? Dan ben je samen met het social medium verantwoordelijk voor de verwerking van persoonsgegevens!
Toch gebruiken we die derden graag op onze website, zij bieden diensten waar we wat aan hebben. Zo ontdekken we namelijk waar onze klant wel of niet in geïnteresseerd is (dankzij analytische cookies), presenteren we onze producten aantrekkelijk, bijvoorbeeld via YouTube (biedt de kijker persoonlijke advertenties via tracking cookies) en delen we onze activiteiten in ons netwerk (brengen de interesses van gebruikers in kaart via tracking cookies/pixels).
Je leest dit artikel op de website van de bouw(st)ers van schitterende websites. Je website is zichtbaar voor iedereen, sterker nog, met jouw websitebouwer en je marketingactiviteiten doe je hard je best om jouw bedrijf zo goed mogelijk zichtbaar te maken. Zichtbaar voor je klanten, je prospects, je netwerk en (sorry!) ook zichtbaar voor de Autoriteit Persoonsgegevens.
De enige wettelijke grondslag voor het gebruik van derden die persoonsgegevens verwerken op jouw website is: toestemming (artikel 6 lid 1 sub a) Daarom: ben je nog niet begonnen aan je AVG-verantwoording of heb je nog niet zo goed over je online-verwerkingen nagedacht, hierbij een gratis tip: maak werk van je website! Hoe je die toestemming regelt? Lees verder, maar eerst:
Het makkelijkste antwoord daarop is natuurlijk het herhalen van het gevolg wat de wetgeving zelf geeft aan overtreding: handhavingsmaatregelen van de Autoriteit Persoonsgegevens. Dat kan bijvoorbeeld zijn dat je de verwerkingsactiviteit moet staken, kijkend naar je website is dat natuurlijk erg vervelend. Zeker als je een webshop hebt. Maar het meest afschrikwekkend is toch wel de sanctie boete (maximaal 10 miljoen euro of 20 miljoen euro, afhankelijk van de overtreding). Speciaal voor de Google’s en Facebook’s van deze wereld is er nog een extra categorie: 2% of 4% van de wereldwijde jaaromzet.
Veel belangrijker dan de dreiging van boetes vind ik de bescherming van je merk en reputatie. Goede ondernemers doen alles voor hun klanten, maar dat blijkt helaas nog zelden uit hun website. Gegevens van klanten worden makkelijk gedeeld met derde partijen, zonder dat de klant daarover zelf kan beslissen. Er is een bekend onderzoek waaruit bleek dat burgers (57% van de ondervraagden) eerder geneigd zouden zijn gebruik te maken van een dienst als ze zelf hun persoonlijke gegevens kunnen beheersen. De belangrijkste reden daarvoor is vertrouwen. Het zelf kunnen bepalen welke informatie wel en niet beschikbaar is, voor wie en onder welke voorwaarden, dat alles draagt aan dat vertrouwen bij.
Naast het niet kunnen beheersen van je eigen persoonsgegevens is de informatie over de verschillende verwerkingen op de website helaas vaak gebrekkig. Als dat bij jou ook nog niet in orde is dan weet je je in ieder geval in goed gezelschap. Wij onderzochten 3 maanden na het van toepassing worden van de AVG de top 50-advocatenkantoren in Nederland en concludeerde: 60% van de top 50-kantoren had geen grondslag om tracking cookies te gebruiken.
Kortom, als de klant jouw koning is, dan is het geven van juiste informatie over de verwerkingen van zijn persoonlijke gegevens én het vragen van toestemming logisch. Toch?
Ik vertelde al dat je toestemming nodig hebt voor bepaalde verwerkingen op je website. Aan toestemming zijn een aantal voorwaarden verbonden.
Als je op je website niet aan deze voorwaarden voldoet dan geldt je verkregen “toestemming” niet. Gevolg daarvan is dat je persoonsgegevens verwerkt zonder dat je een wettelijke grondslag hebt. Waarom dat een probleem is bespraken we ook eerder: kort gezegd, je verliest het vertrouwen van je klant (die is toch koning?) en neemt het risico op boetes.
In 5 fases naar een data-gedreven proces dat wèl klanten oplevert.
Deze cookiemelding is helemaal AVG-proof
Nu snappen jullie vast waarom ik zo’n lang verhaal nodig heb. De verwerking van persoonsgegevens op je website kun je regelen bij Buro Staal. Samen bieden we een oplossing die:
Zo ben jij van het risico af en ga je netjes om met de gegevens van je websitebezoeker!
Leonard van der Leeden | Functionaris Gegevensbescherming | Jurist Data & Privacy | Eigenaar van De Functionaris bv | Mede-eigenaar CookieCode
Eén keer per maand kletsen we digitaal ff bij middels onze nieuwsbrief. Die je conversie technisch gezien beter geen nieuwsbrief kunt noemen, maar dat doen we gewoon lekker toch. Mis geen enkele blog of update, schrijf je direct in.
Hoofdstraat 86a
2678 CM De Lier
© Buro Staal
Hoofdstraat 86a
2678 CM De Lier
Eén keer per maand kletsen we digitaal ff bij middels onze nieuwsbrief. Die je conversie technisch gezien beter geen nieuwsbrief kunt noemen, maar dat doen we gewoon lekker toch. Mis geen enkele blog of update, schrijf je direct in.
© Buro Staal