* En misschien ook omdat je je aan de wetgeving wilt houden en het risico op een boete wilt uitsluiten.
Na ruim een jaar zoeken hebben we eindelijk een oplossing gevonden die je website écht AVG-proof maakt. We bieden deze oplossing aan in samenwerking met De Functionaris. Jurist Leonard van der Leeden van De Functionaris legt in dit gastblog uit wat de invloed van de AVG op je website is en wat onze slimme oplossing hierin kan betekenen. Het is een wat langer blog, maar de inhoud is mega belangrijk, dus ga er even goed voor zitten.
Inhoudsopgave
Vorig jaar, toen de Algemene Verordening Gegevensbescherming (AVG) van toepassing werd, brak er stress uit in ondernemerswereld. Een leuke tijd voor mensen die houden van onmogelijke afkortingen en privacy juristen die door woorden als: “gegevensbeschermingseffectbeoordeling”, ieder spelletje Galgje op hun naam schreven. Maar ondertussen werd er ook gesproken over de dreiging van astronomische boetes en controle door de Autoriteit Persoonsgegevens.
Wat is nu eigenlijk het doel van de wetgeving? Waar moet of waarmee kun je beginnen? Waarom zou je aan de AVG voldoen? En hoe dan (op je website)?
Wat is nu eigenlijk het doel van de wetgeving?
Het doel van de AVG is heel simpel en heeft twee perspectieven:
- Burgers, zoals jij en ik, meer zeggenschap geven over hun persoonsgegevens en de verwerking daarvan door bedrijven en instanties.
- Ondernemers, misschien ook wel zoals jij en ik, eerlijk laten concurreren met elkaar omdat dezelfde minimale regels gelden voor wat betreft de bescherming van persoonsgegevens, binnen de hele Europese Unie.
Het verwerken van persoonsgegevens (dat woord betekent trouwens: alle gegevens waarmee je iemand – echte levende mensen – kúnt identificeren of geïdentificeerd hebt) moet rechtsgeldig gebeuren. Dat wil zeggen dat we gegevens mogen verwerken als we ons daarbij maar houden aan de wet, in juristentaal zoeken we dan een wettelijke grondslag. Die wet die heet dus AVG.
Waar moet of waarmee kun je beginnen?
Dat zoeken van een wettelijke grondslag is een goed begin en vanuit daar kun je al je activiteiten in beeld gaan brengen. Dat in beeld brengen van je “verwerkingsactiviteiten” doen we normaal gesproken in een “verwerkingsregister”.
Je website verwerkt al snel persoonsgegevens. Denk aan je contactformulier, die is wel het meest logisch. Jouw wettelijke grondslag is bij een contactformulier normaal gesproken het eigen gerechtvaardigd belang (art. 6 lid 1 sub f). Dan moet je je verder nog aan wat andere regels houden, zoals: niet meer gegevens vragen dan je nodig hebt om je doel te bereiken (dataminimalisatie) en de ingevulde gegevens niet voor andere doeleinden gaan gebruiken dan waarvoor je ze verzamelde (doelbinding).
Nu wordt het een beetje technisch, want wat denk je van derden die voor specifieke doeleinden, worden betrokken bij de uitvoering van jouw gegevensverwerking op de website? Ik wil niet perse reclame voor ze maken maar jullie kennen ze vast allemaal: Google (Analytics , Maps en Adwords) Facebook, LinkedIn enzovoort. Zij zijn allemaal geïnteresseerd in jouw bezoeker. Wie is het, wat bekijken ze, waar bevinden zij zich. Allemaal diensten waarvoor jouw websitebezoekers niet hoeven te betalen, maar waarvoor geldt: “if you’re not paying for it, you are the product.” En daarbij komt de uitspraak van de Europese Hof van Justitie van de afgelopen maand: jij bent samen met die partijen daarvoor verantwoordelijk!
Heb je een Facebook like box, Instagram feed of LinkedIn profiel badge op je website staan? Dan ben je samen met het social medium verantwoordelijk voor de verwerking van persoonsgegevens!
Toch gebruiken we die derden graag op onze website, zij bieden diensten waar we wat aan hebben. Zo ontdekken we namelijk waar onze klant wel of niet in geïnteresseerd is (dankzij analytische cookies), presenteren we onze producten aantrekkelijk, bijvoorbeeld via YouTube (biedt de kijker persoonlijke advertenties via tracking cookies) en delen we onze activiteiten in ons netwerk (brengen de interesses van gebruikers in kaart via tracking cookies/pixels).
Je leest dit artikel op de website van de bouw(st)ers van schitterende websites. Je website is zichtbaar voor iedereen, sterker nog, met jouw websitebouwer en je marketingactiviteiten doe je hard je best om jouw bedrijf zo goed mogelijk zichtbaar te maken. Zichtbaar voor je klanten, je prospects, je netwerk en (sorry!) ook zichtbaar voor de Autoriteit Persoonsgegevens.
De enige wettelijke grondslag voor het gebruik van derden die persoonsgegevens verwerken op jouw website is: toestemming (artikel 6 lid 1 sub a) Daarom: ben je nog niet begonnen aan je AVG-verantwoording of heb je nog niet zo goed over je online-verwerkingen nagedacht, hierbij een gratis tip: maak werk van je website! Hoe je die toestemming regelt? Lees verder, maar eerst:
waarom zou je aan de AVG voldoen?
Het makkelijkste antwoord daarop is natuurlijk het herhalen van het gevolg wat de wetgeving zelf geeft aan overtreding: handhavingsmaatregelen van de Autoriteit Persoonsgegevens. Dat kan bijvoorbeeld zijn dat je de verwerkingsactiviteit moet staken, kijkend naar je website is dat natuurlijk erg vervelend. Zeker als je een webshop hebt. Maar het meest afschrikwekkend is toch wel de sanctie boete (maximaal 10 miljoen euro of 20 miljoen euro, afhankelijk van de overtreding). Speciaal voor de Google’s en Facebook’s van deze wereld is er nog een extra categorie: 2% of 4% van de wereldwijde jaaromzet.
Veel belangrijker dan de dreiging van boetes vind ik de bescherming van je merk en reputatie. Goede ondernemers doen alles voor hun klanten, maar dat blijkt helaas nog zelden uit hun website. Gegevens van klanten worden makkelijk gedeeld met derde partijen, zonder dat de klant daarover zelf kan beslissen. Er is een bekend onderzoek waaruit bleek dat burgers (57% van de ondervraagden) eerder geneigd zouden zijn gebruik te maken van een dienst als ze zelf hun persoonlijke gegevens kunnen beheersen. De belangrijkste reden daarvoor is vertrouwen. Het zelf kunnen bepalen welke informatie wel en niet beschikbaar is, voor wie en onder welke voorwaarden, dat alles draagt aan dat vertrouwen bij.
Naast het niet kunnen beheersen van je eigen persoonsgegevens is de informatie over de verschillende verwerkingen op de website helaas vaak gebrekkig. Als dat bij jou ook nog niet in orde is dan weet je je in ieder geval in goed gezelschap. Wij onderzochten 3 maanden na het van toepassing worden van de AVG de top 50-advocatenkantoren in Nederland en concludeerde: 60% van de top 50-kantoren had geen grondslag om tracking cookies te gebruiken.
Kortom, als de klant jouw koning is, dan is het geven van juiste informatie over de verwerkingen van zijn persoonlijke gegevens én het vragen van toestemming logisch. Toch?
Hoe dan (op je website)?
Ik vertelde al dat je toestemming nodig hebt voor bepaalde verwerkingen op je website. Aan toestemming zijn een aantal voorwaarden verbonden.
- De website moet een ondubbelzinnig en actieve (daadwerkelijke klik op “toestaan / accepteren”) toestemmingshandeling van de websitebezoeker vragen, voordat er cookies worden geplaatst die persoonsgegevens kunnen bevatten;
- De website moet toegankelijk blijven, zelfs als de bezoeker niet toestaat dat er bepaalde cookies worden geplaatst. Als je dit niet doet is de toestemming niet vrij gegeven;
- De website moet de mogelijkheid bieden om, naar wens van de websitebezoeker cookies in te stellen. Bij de optie “alles of niets” is de verkregen toestemming niet specifiek genoeg;
- Daarnaast dient de toestemming van de websitebezoeker gebaseerd te zijn op duidelijke en volledige informatie. Alle geplaatste cookies moeten toegelicht worden in begrijpelijke taal;
- De website eigenaar moet kunnen aantonen dat de toestemming daadwerkelijk is verkregen. Hier moet je dus een historie van bijhouden en,
- De websitebezoeker moet tot slot de mogelijkheid hebben om op een later moment de verleende toestemming, voor het gebruik van cookies, in te trekken of aan te kunnen passen.
Als je op je website niet aan deze voorwaarden voldoet dan geldt je verkregen “toestemming” niet. Gevolg daarvan is dat je persoonsgegevens verwerkt zonder dat je een wettelijke grondslag hebt. Waarom dat een probleem is bespraken we ook eerder: kort gezegd, je verliest het vertrouwen van je klant (die is toch koning?) en neemt het risico op boetes.
Deze cookiemelding is helemaal AVG-proof
Nu snappen jullie vast waarom ik zo’n lang verhaal nodig heb. De verwerking van persoonsgegevens op je website kun je regelen bij Buro Staal. Samen bieden we een oplossing die:
- Respect uitstraalt en vertrouwen wekt. Maak je klant weer koning!
- Technisch op correcte wijze zorgt dat derden (pas) toegang krijgen tot persoonsgegevens van je bezoekers als zij dat zelf goed vinden.
- Waarbij de gegeven informatie aan de klant duidelijk is en de bijbehorende juridische documentatie altijd up-to-date. Wij houden namelijk jouw website iedere nacht tegen het licht en passen de gegeven informatie aan als dat door veranderingen nodig is.
Zo ben jij van het risico af en ga je netjes om met de gegevens van je websitebezoeker!
Leonard van der Leeden | Functionaris Gegevensbescherming | Jurist Data & Privacy | Eigenaar van De Functionaris bv | Mede-eigenaar CookieCode