Is uw website AVG-proof?

Een goedwerkende website is voor iedere organisatie onmisbaar en tevens een belangrijk visitekaartje. Sinds de inwerkingtreding van de Algemene verordening gegevensbescherming (hierna: AVG) moet een website aan een aantal privacyregels voldoen om AVG-proof te zijn. Organisaties zijn verplicht om betrokkenen te informeren over de verwerking van persoonsgegevens. Informeren gebeurt doorgaans via de privacy- en cookieverklaring, die op de website staat. Indien een website gebruik maakt van cookies, dan is daar in de meeste gevallen toestemming voor nodig. Toestemming wordt verkregen via de zogenaamde cookiebanner.

Recent heeft de Consumentenbond een uitgebreide steekproef gedaan onder honderd populaire websites. Naar aanleiding van dit onderzoek is geconcludeerd dat bij 53 websites niet op de juiste manier toestemming wordt gevraagd voor het plaatsen van cookies.  Dit is weliswaar een verbetering ten opzichte van het onderzoek dat de Consumentenbond in 2018 heeft gedaan, toen slechts 31% van de websites voldeed aan de regels. Echter is de meerderheid nog steeds in overtreding van de AVG, met alle mogelijke gevolgen van dien. Het is zelfs zo dat een kwart van de onderzochte websites marketingcookies plaatst voordat überhaupt om toestemming is gevraagd. Daarnaast wordt nog veel te vaak gebruik gemaakt van ingewikkelde keuzemenu’s waarin het afwijzen van marketingcookies moeilijker is dan deze te accepteren.

Privacy- en cookieverklaring

Tijd om ons geheugen op te frissen, wat moet er allemaal gebeuren om de ‘voorkant’ van de website op orde te hebben. Begin allereerst met een inventarisatie welke persoonsgegevens er op de website worden verwerkt. Zitten daar eventueel ook bijzondere persoonsgegevens tussen? Met welk doel worden deze persoonsgegevens verwerkt, wat is de wettelijke grondslag en hoelang worden gegevens bewaard? Ook moet uitgelegd worden naar welke derde partijen de persoonsgegevens worden doorgestuurd. Allemaal zaken waar een betrokkene, zoals een websitebezoeker of een klant, adequaat over geïnformeerd moet worden in een privacy- en cookieverklaring. Indien gebruik wordt gemaakt van cookies dient daar ook over geïnformeerd te worden, dat kan in de privacy- en cookieverklaring, of in een aparte cookieverklaring.

Cookiebanner

Cookies kunnen in verschillende categorieën worden onderscheiden: functionele cookies, analytische cookies en marketing cookies. Voor functionele cookies is geen toestemming vereist, zonder deze cookies zou een website namelijk niet functioneren. Voor de meeste cookies: analytische en marketing cookies dient echter wel toestemming gevraagd te worden. Deze toestemming moet vrijelijk, specifiek, geïnformeerd en ondubbelzinnig gegeven worden. Dat is waar het in de praktijk nog steeds vaak misgaat.

Echter met enkele aanpassingen is dit makkelijk te verhelpen en heeft u uw cookiebanner op orde. Indien u gebruik maakt van aanvinkvakjes, mag vooraf alleen het vakje ‘noodzakelijk’ of ‘functioneel’ aangevinkt zijn, overige categorieën vakjes mogen niet vooraf aangevinkt zijn. Daar dient de websitebezoeker zelf toestemming voor te geven door het vakje aan te vinken. De websitebezoeker kunt u informeren door in de cookiebanner naar uw privacy- en cookieverklaring of cookiebeleid te verwijzen middels een link. Om aan u informatieplicht te voldoen moeten onderstaande zaken in ieder geval opgenomen worden:

  • Naam cookiedienstverlener;
  • Land waar de cookiedienstverlener gevestigd is en de passende waarborgen wanneer het om een derde land (buiten de EU) gaat;
  • Verwijzing naar de privacyverklaring van de cookiedienstverlener;
  • Uitleg over wat de cookie doet.

Nieuwsbrief

In de praktijk zien we ook vaak dat onduidelijkheid bestaat wanneer en aan wie een digitale nieuwsbrief verstuurd mag worden. Ook voor het versturen van een nieuwsbrief is in principe toestemming nodig. De toestemming is rechtsgeldig als aan de volgende vereisten is voldaan:

  • Uit de vraag blijkt duidelijk namens wie de berichten worden verzonden;
  • De frequentie wordt benoemd;
  • Er wordt aangegeven wat voor soort informatie zal worden gestuurd. Is dat bijvoorbeeld een overzicht van alle wekelijkse aanbiedingen, van nieuwe acties of nieuwe producten?;
  • Ook wordt vermeld via welke weg de communicatie zal worden verstuurd;
  • Het moet voor de ontvanger duidelijk zijn waar hij terecht kan voor meer informatie. Denk hierbij bijvoorbeeld aan het opnemen van een verwijzing naar de privacyverklaring;
  • De toestemming is niet gekoppeld aan het verkrijgen van (gratis) producten of diensten.

Maak privacy aantoonbaar

Zoals hierboven beschreven zijn er behoorlijk wat specifieke eisen waar u als organisatie aan moet voldoen voordat uw website AVG-proof is. Wij zijn uitermate ervaren met het begeleiden van organisaties om websites AVG-proof te maken en bieden het Privacy Verified certificaat aan wanneer uw website aan alle vereisten voldoet. Dit certificaat kunt u vervolgens uitdragen aan uw klanten en indien gewenst als referentie op uw website plaatsen. Velen zijn u al voorgegaan.

Terug naar overzicht