Een privacyvriendelijke website of iets specifieker ’een website conform de AVG’, wat betekent dat precies?

De AVG in het kort

Persoonsgegevens mogen niet zonder toestemming bij derden terecht komen, tenzij er een noodzakelijk belang is. Met iedere derde moet een verwerkersovereenkomst afgesloten worden. De term ‘persoonsgegevens’ moeten hierin breed worden gezien. Een IP-adres is ook een persoonsgegeven, zeker in combinatie met andere gegevens, zoals browsertype, besturingssysteem, tijdstip, etc. Deze ’toestemming’ moet expliciet zijn en aantoonbaar. Dat eerste betekent dat iemand een handeling moet hebben gedaan om akkoord te gaan met het delen van zijn persoonsgegevens. Het tweede betekent dat je ‘het akkoord’ moet opslaan, inclusief context (locatie, tijdstip, etc). In geval van ’noodzakelijke belang’ is deze toestemming niet nodig. Dit belang kan bijvoorbeeld het hosten van een website zijn, het verzamelen van bezoekersaantallen of het afhandelen van een aankoop. Er is in dat geval geen expliciete toestemming nodig, maar je moet deze verwerking wel in de privacyverklaring benoemen. De hier genoemde ‘derden’ zijn alle partijen behalve jij zelf. In het geval van deze website: het bedrijf Usecue BV. De ‘verwerkersovereenkomst’ beschrijft, tenslotte, met welk doel de gegevens gedeeld zijn en hoe ze beschermd worden. Deze overeenkomst voorkomt dat gegevens lekken of worden misbruikt en bevestigt de verplichtingen van beide partijen wanneer zoiets zich onverhoopt toch voordoet.

Gegevens naar de VS

In juni 2020 kwam daar nog een regel bij. Toen is namelijk het ‘Privacy Shield’ ongeldig verklaard door het Europese Hof. Dit Privacy Shield was bedoeld om gegevensuitwisseling tussen de EU en de VS (Verenigde Staten) te versimpelen. De nieuwe manier om tot legale gegevensuitwisseling te komen is via het gebruik van een Standard Contractual Clause, maar daar zijn bij voorbaat al vraagtekens bij geplaatst. Wanneer je de zaak bestudeert vind je daar ook een onderbouwing voor: De overheid van de VS is niet te vertrouwen wanneer het op privacy van Europese burgers aankomt. Je bent persoonlijk verantwoordelijk voor de juridische onderbouwing van de bescherming van de door jou verwerkte persoonsgegevens. Een schier onmogelijke taak, gezien de vooraf geplaatste vraagtekens bij het gebruik van deze clausule. Dat betekent mijns inziens effectief dat organisaties in de EU geen persoonsgegevens aan de VS meer kunnen doorgeven.

Drie aanpakken

Er zijn drie aanpakken denkbaar:

1. Niets doen. Je weet wel dat je je niet aan de wet houdt, maar negeert het. Gevolg: je voelt continu het zwaard van Damocles boven je hoofd. Bovendien is de kans groot dat je uiteindelijk toch geconfronteerd wordt met torenhoge boetes, negatieve publiciteit en gezichtsverlies. Niets doen is een zeer onverstandige aanpak.

2. De norm volgen. Je negeert de uitspraak van het Europese Hof van 2020. Dit is overigens wat de meeste mensen doen, vandaar dat ik dit ‘de norm’ noem. De kans dat dit leidt tot een boete is klein, maar het kan wel tot klachten van klanten leiden en misschien uiteindelijk zelfs tot juridisch getouwtrek, met alle gevolgen vandien. Vroeg of laat zal deze uitspraak echter wel degelijk gevolgen gaan hebben en daar ben je dan niet op voorbereid. Als je hiervoor kiest, kies je voor ‘wie dan leeft, wie dan zorgt’. Het is verre van idealistisch, ik zou het ook niet als verstandig omschrijven, maar het is wel praktisch.

3. De wet volgen. Je leest en volgt de letter van de wet en de invulling die de Autoriteit Persoonsgegevens daaraan geeft. Hiermee houd je al het AVG gezeur buiten de deur EN respecteer je de privacy van je websitebezoekers. Dit kost uiteraard de nodige inspanning, maar het is, in tegentelling tot wat veel mensen denken, zeker niet onmogelijk.

Voldoen aan de norm

Voldoen aan de norm kan door onderstaande opdrachten uit te voeren:

• Sluit een verwerkersovereenkomst af met je hostingpartij
• Neem je hostingpartij op in je privacyverklaring
• Vraag expliciet om toestemming voor het inschakelen van derden, waarbij sprake is van profiling en/of waar geen noodzakelijk belang geldt
• Neem deze derden ook op in je privacyverklaring
• Voor webshops: Sluit een verwerkersovereenkomst af met je webshopaanbieder en betalingsprovider
• Voor webshops: Neem je webshopaanbieder en betalingsprovider op in je privacyverklaring

Voldoen aan de wet

Voldoen aan de wet kan door onderstaande opdrachten uit te voeren:

• Verwijder je cookie banner (die is niet meer nodig als je onderstaande zaken uitvoert)
• Verhuis je hosting naar een hostingpartij binnen de EU
• Gebruik geen Google Analytics, maar gebruik Google Search Console om bezoekersaantallen te meten
• Gebruik een zefgehoste meetmodule voor bezoekersaantallen
• Dubbelcheck bezoekersaantallen op basis van log files
• Meet referrals op het ad-platform zelf (Facebook, Linkedin, Google)
• Dubbelcheck referrals op basis van log files
• Open Youtube video’s dynamisch in een lightbox of in een nieuw window in plaats van via een ’embed’
• Laad Instagram afbeeldingen (en andere social bronnen) vanaf je eigen server of met verwerkersovereenkomst via een Europese partij
• Handel formulieren af op je eigen server of met verwerkersovereenkomst via een Europese partij (geen MailChimp dus)
• Voor webshops: Gebruik geen Shopify, Snipcart of ander hosted platform (uit de VS of met uitsluitend servers in de VS)
• Voor webshop: Voer zelfrapportage in bij sales om conversie te meten (vraag: hoe kwam u bij ons?)

Hulp nodig?

Natuurlijk voldoet je website niet van de ene op de andere dag aan de wet, noch aan de norm, maar je kunt wel nu al de verandering in gang zetten. Deze verandering zal tijd en geld kosten. Dat is niet anders, maar het kan stapje voor stapje. Je zult zien dat met de juiste uitleg en begeleiding het minder lastig is dan je denkt. Heb je nou nog vragen over het bovenstaande, of wil je dat ik je help om je website ‘AVG-proof’ te maken? Neem contact met me op!

()  Joost van der Schee