De Vijf … meest gestelde vragen over de AVG

Als je een paar blogs over de AVG schrijft en een checklist uitbrengt om je website AVG-proof te maken, kun je verwachten dat er vragen komen. Die zouden we kunnen negeren (want ja, eigenlijk staat alles in de checklist), maar vooruit. Omdat we nu toch lekker in de materie zitten, beantwoorden we de meeste gestelde vragen. In een blog hè, dat dan weer wel. We moeten toch ergens content vandaan halen ;-)

1. Heb ik ook een SSL-certificaat op mijn website nodig?

Laten we duidelijk zijn: de AVG benoemt niet specifiek dat het verplicht is een SSL-certificaat te gebruiken. Je wordt alleen wel geacht je uiterste best te doen je website en de persoonsgegevens die via je website verwerkt worden te beveiligen. En daar helpt een SSL-certificaat bij.

De meeste websites verwerken persoonsgegevens, bijvoorbeeld als er online iets gekocht kan worden, als er een (contact)formulier aanwezig is, een inschrijfformulier voor een nieuwsbrief etc. Wij raden een SSL-certificaat dan zeker aan.

Heb je dat allemaal niet? Dan is een SSL-certificaat niet nodig. Maar het certificaat zorgt er wel voor dat je browser de melding laat zien dat je website veilig is en https-websites krijgen voorrang in de zoekresultaten. Wij verwachten dat SSL-certificaten de norm gaan worden, dus of het nu verplicht is of niet: geef je er maar gewoon aan over en regel een certificaat.

2. Ik krijg allemaal mails binnen met vragen of ik de nieuwsbrief wil blijven ontvangen. Moet ik ook zo’n mail naar mijn nieuwsbrief lezers sturen?

Dat ligt er aan hoe de lezers op je lijst terecht gekomen zijn. Deze lezers hoef je niet meer om toestemming te vragen

  • Klanten: iedereen met wie je een betaalrelatie hebt, mag op je lijst blijven staan. Je hoeft hen niet om toestemming te vragen. De grondslag om hen te mailen is namelijk de overeenkomst die jullie (ooit) aangegaan zijn. Houd er wel rekening mee dat je hen alleen mag mailen over het type product waar ze de overeenkomst voor aangegaan zijn.
  • Duidelijke inschrijving: als mensen zich via je website ingeschreven hebben en er staat duidelijk bij dat ze zich voor je mailinglijst inschrijven, dan kan dit ook als grondslag “overeenkomst” gezien worden, namelijk een overeenkomst voor informatie. Het is wel fijn als je kunt aantonen dat je deze methode gebruikt hebt. Je kunt bijvoorbeeld via de Wayback Machine een oude versie van je inschrijfformulier proberen om te zoeken en daar een screenshot van maken.
  • Expliciete toestemming: iedereen die jou expliciet aantoonbare toestemming heeft gegeven om hen op je lijst te zetten, mag blijven staan. De grondslag ‘toestemming’ is hier al van toepassing. Expliciete toestemming kan een checkbox zijn geweest, maar bijvoorbeeld ook een dubbele opt-in (een extra mail na inschrijving waarin ze hun e-mailadres moeten bevestigen). Kijk wel of je kunt aantonen dat je deze methode gebruikt hebt.

Deze lezers moet je wel om toestemming vragen:

  • Gratis weggever: iedereen die via een gratis weggever op je lijst terecht gekomen is, moet je om toestemming vragen. Zij hebben erin toegestemd iets te downloaden (vaak met de nieuwsbrief als “bonus”), maar ze hebben zich dus niet specifiek op je lijst ingeschreven en ze hebben hier ook geen expliciete toestemming voor gegeven.
  • Visitekaartjes: iedereen van wie je ooit een visitekaartje ontvangen hebt (tijdens het netwerken) en die daardoor op je lijst terecht gekomen is, moet je om toestemming vragen. Dat visitekaartje is op geen enkele manier een toestemming om hen op je lijst te zetten.
  • LinkedIn: heb je al je LinkedIn contact geëxporteerd en op je mailinglijst gezet? Daar hebben ze niet om gevraagd / geen toestemming voor gegeven. Ook hen zul je dus moeten mailen.

We vergeten misschien nog een paar voorbeelden, maar iedereen die niet voldoet aan de eerste drie opties, moet een mail ontvangen om dit keer wel expliciet toestemming te geven. En ja, als ze dat niet doen, is dat balen. Want je lijst krimpt. En aangezien een groot percentage de mail waarschijnlijk niet eens opent, kan dit heel pijnlijk worden. Maar de kwaliteit van je lijst gaat wel omhoog. Doe dus je best er een leuk, aantrekkelijk mailtje van te maken!

3. Heb ik een verwerkersovereenkomst nodig met mijn webbouwer?

De vraag die hierbij doorslaggevend is, is of je webbouwer bij de persoonsgegevens kan die via jouw website verwerkt worden. Als je webbouwer de website alleen maar bouwt en daarna geen toegang meer heeft, kan hij (of zij hè?!) niet bij de persoonsgegevens. Die worden immers pas verwerkt vanaf het moment dat je website online staan.

Als je webbouwer ook na de livegang toegang blijft houden, bijvoorbeeld voor beheer en onderhoud, dan kan hij (theoretisch gezien) bij persoonsgegevens komen. In dat geval is een verwerkersovereenkomst van belang.

4. Ik wil mijn Google Analytics anonimiseren. Waar kan ik het script in mijn website vinden?

Ja, goede vraag. Moeilijk antwoord. Google Analytics kan namelijk op heel veel verschillende manieren in je website geïntegreerd zijn. Een paar plekken waar je kunt kijken:

  • De instellingen van je thema. Bij Divi vind je het script bij de Divi opties in het tabblad integratie. Bij Enfold vind je het script bij de thema opties in het tabblad Google services. Bij Genesis vind je het script bij de Genesis opties onder het kopje “Header and footer scripts”. Althans, dat is de meest logische plek waar je het script zou kunnen vinden ;-)
  • Het zou ook kunnen dat de plugin Insert Headers and Footers gebruikt is om het script te plaatsen. Kijk dan bij Instellingen > Header and Footer onder het kopje “Scripts in headers”.
  • De plugin Google Analytic for WordPress by MonsterInsights wordt ook veel gebruikt. Je hoeft dan geen script op te zoeken. In de instellingen van de plugin staat een optie om de statistieken te anonimiseren.

Probeer het eerst even zelf. Gewoon omdat je een grote jongen/meid bent en je webbouwer met al deze AVG-toestanden waarschijnlijk al genoeg vragen / werkzaamheden op zijn bordje heeft liggen. Maar kom je er echt niet uit? Durf het dan gewoon te vragen. Beter dat dan heel je statistieken om zeep helpen.

5. Ik heb mijn webbouwer gevraagd te helpen, maar ik heb nog geen reactie gehad. Moet ik gewoon blijven wachten ook al is het bijna 25 mei?

Wat denk je zelf? Ja, natuurlijk! Gewoon wachten! Waarom?

  • Het feit dat jij te laat begonnen bent met je voorbereiden op de AVG is niet het probleem van je webbouwer. Neem je verantwoordelijkheid. De AVG is immers al vanaf 25 mei 2016 actief. Overigens blijkt uit onderzoek dat slechts 42% van de organisaties echt klaar is voor de AVG, so you’re not the only one.
  • Ook al is het straks 25 mei, de Autoriteit Persoonsgegevens zal niet gelijk voor je deur staan. Documenteer dat je er mee bezig bent en zorg dat het zo snel mogelijk af is, maar schiet niet gelijk in de paniekmodus. Zoals de Autoriteit zelf zegt: “Wij zijn een redelijke toezichthouder”.
  • Je webbouwer heeft op dit moment waarschijnlijk tientallen klanten in zijn nek hijgen voor wie de website AVG-proof gemaakt moet worden. Daarnaast staan er nog talloze mails in de mailbox met vragen over dit onderwerp. Komen we terug op punt 1: als het niet op tijd klaar is, komt dat omdat jezelf te laat begonnen bent. Je webbouwer is webbouwer, geen jurist. Hij weet dus ook niet alles. En moet ook dingen uitzoeken. En navragen. Wees dankbaar dat hij dat voor je doet. Stuur bloemen. Chocola. Kalmerende thee. Whatever. Help Je Webbouwer De AVG-periode Door!
0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *