Het is een van de meest gestelde vragen die we de afgelopen maanden te horen kregen: wat moet ik doen om mijn website te laten voldoen aan de AVG? Dit stappenplan van onze partner YourSafetynet loodst je er doorheen.

Checklist: met deze 10 stappen maak je jouw website AVG-proof

Iedere website moet tegenwoordig voorzien zijn van een SSL certificaat, ook wel een https verbinding genoemd.

1. Een duidelijke privacyverklaring

Al onder de Wbp moest je websitebezoekers middels een privacyverklaring informeren over welke persoonsgegevens je verwerkt en met welk doel je dat doet. Dat is met de komst van de AVG/GDPR niet veranderd. De eisen die aan een privacyverklaring worden gesteld, zijn wel een stuk strikter.
De privacyverklaring moet geschreven zijn in duidelijke taal, afgestemd op het taalniveau van je doelgroep. Een privacyverklaring moet ten minste de volgende onderdelen bevatten:

De identiteit van je organisatie
Dit is de naam van je organisatie, eventueel aangevuld met een kvk-nummer en contactgegevens.

Welke persoonsgegevens je website verwerkt
Dit spreekt voor zich. Je informeert je bezoeker welke persoonsgegevens de website verwerkt.

De doeleinden en de rechtsgrond waarop je deze gegevens verwerkt
Hiermee geef je aan met welke reden je de persoonsgegevens verwerkt. Deze reden moet wel wettelijk geldig zijn (‘een rechtsgrond hebben’).

Eventueel: het legitiem belang van de verwerkingsverantwoordelijke
Wanneer het rechtsgrond van de verwerking een legitiem belang is, dan moet dit belang duidelijk zijn toegelicht. Een legitiem belang is van toepassing wanneer je de gegevens van mensen gebruikt op een manier die zij redelijkerwijs kunnen verwachten. Bovendien moet de verwerking minimale privacy-impact hebben.

Duur van de verwerking/opslag van de persoonsgegevens
Je mag de persoonsgegevens enkel verwerken en bewaren zolang dit noodzakelijk is voor het beoogde doel. Het privacyverklaring moet duidelijkheid geven over deze termijn. Het ‘zo lang mogelijk’ of ‘oneindig’ bewaren van persoonsgegevens is geen optie.

De rechten van betrokkenen
De betrokkenen hebben altijd het recht de verwerking te stoppen, de persoonsgegevens te corrigeren, bezwaar te maken of data te laten verwijderen. Ook mogen ze een klacht indienen bij de Autoriteit Persoonsgegevens. De privacyverklaring moet je bezoekers niet alleen wijzen op hun rechten, maar ook uitleggen hoe ze deze stappen kunnen ondernemen.

Bron van de persoonsgegevens
Zijn de persoonsgegevens niet van de website zelf afkomstig, maar bijvoorbeeld van een gekochte mailinglijst? Dan moet je dit duidelijk in de privacyverklaring vermelden.

Profiling en geautomatiseerde besluitvorming
Vind op je website profiling en geautomatiseerde besluitvorming plaats? Vermeld dit dan, evenals welke gevolgen dit heeft voor betrokkenen.

Overzicht van verwerkers
De privacyverklaring moet een overzicht bevatten van externe verwerkers die persoonsgegevens verwerken die via de website zijn verzameld.

Vermelding van overdracht naar het buitenland
Komen persoonsgegevens van je bezoekers terecht bij een organisatie over de grens? Vermeld om welke organisatie het gaat, net als het doel hiervan. Dit is met name van belang wanneer persoonsgegevens buiten de EU terechtkomen.

Contactgegevens van de Functionaris Gegevensbescherming
Maakt je organisatie gebruik van een Functionaris Gegevensbescherming? Vermeld dan de contactgegevens van deze persoon.

2. Cookieverklaring

Maakt je website gebruik van cookies? Dan moet je naast een privacyverklaring een cookieverklaring op de website plaatsen. Hierin leg je uit wat cookies zijn en hoe bezoekers deze kunnen in- en uitschakelen. Sommige cookies mag je alleen plaatsen na toestemming, zoals bij remarketing het geval is. Inmiddels komen er steeds meer plugins beschikbaar waarmee je dit eenvoudig kunt regelen.

Share this Project