In een onderzoek uitgevoerd door onze privacytoezichthouder, de AP, blijkt dat veel websites op onjuiste wijze toestemming vragen voor het plaatsen van bepaalde cookies. Wanneer een organisatie een website heeft, moet deze voldoen aan verschillende eisen uit de welbekende privacywet (de AVG). Hoe zit het ook alweer met websites en deze AVG? Om uw geheugen op te frissen bieden wij in deze blog een aantal AVG-tips voor websites.
Wanneer via de website cookies worden gebruikt, is het vragen van toestemming aan bezoekers in de meeste gevallen verplicht. Dit is alleen anders, wanneer enkel technische en functionele cookies worden gebruikt. Denk daarbij bijvoorbeeld aan het onthouden van de winkelwagen binnen een webshop. Voor het vragen van juiste toestemming moet er een cookiebanner met toestemmings- en weigeringsmogelijkheid worden ingesteld.
Een goede cookiebanner informeert over het soort cookies, waar deze voor gebruikt worden en er wordt altijd verwezen naar meer informatie in een privacy- en cookieverklaring. Maatwerk is hierbij van groot belang, omdat er veel verschillende soorten marketingcookies bestaan en het verplicht is om hier een adequate toestemming voor te verkrijgen. Wij zien vaak dat dit in de praktijk nog niet goed geregeld is. Hoewel de toezichthouder hier dus op aan het handhaven en controleren is.
Wanneer persoonsgegevens worden verwerkt is het verplicht om bezoekers hierover te informeren door middel van een privacy- en cookieverklaring. Plaats de privacy- en cookieverklaring op een makkelijk vindbare plek op de website, en op elke pagina waar gegevens worden uitgevraagd. De inhoud van de verklaring moet makkelijk leesbaar zijn, zodat uw websitebezoekers begrijpen wat er gebeurt met hun gegevens. Licht toe om welke organisatie het gaat, welke persoonsgegevens worden verwerkt én waarvoor. Ook benoemt u hier hoe de persoonsgegevens worden beveiligd en hoe lang de persoonsgegevens bewaard blijven.
Meer algemeen, legt u uit welke rechten betrokkenen hebben en hoe zij hun rechten kunnen uitoefenen. Ook wordt in de privacy- en cookieverklaring extra informatie gegeven over cookies, als verlengstuk van de eerder genoemde cookiebanner. Dit vereist een toelichting over welke specifieke cookies worden gebruikt, met welk doel, hoe lang de informatie bewaard wordt en hoe de cookies verwijderd kunnen worden.
Kortom: de privacy- en cookieverklaring vereist behoorlijk wat informatie, dat ook nog eens overzichtelijk en leesbaar moet worden gepresenteerd. Ook hiervoor geldt dat maatwerk belangrijk is: elke organisatie krijgt te maken met een specifiek publiek en dient hier rekening mee te houden.
Bijna alle organisaties verzenden een digitale nieuwsbrief. Een mooie manier om klanten op de hoogte te houden van ontwikkelingen, erg interessant daarom voor marketeers. De hoofdregel bij direct marketing is dat de ontvanger van het bericht hier voorafgaande toestemming voor heeft gegeven (ook wel: een opt-in). Bij betalende klanten ligt dit anders. Zij hoeven geen voorafgaande toestemming te geven. Wél moeten zij de mogelijkheid hebben tot bezwaar (ook wel: een opt-out) - bijvoorbeeld door het uitvinken van een vooraf-aangevinkte checkbox.
Een juiste toestemmingsvraag ziet er bijvoorbeeld als volgt uit:
“Ja, ik ontvang graag wekelijks een e-mail van Privacy Verified, met daarin informatie over aanbiedingen en evenementen. Lees voor meer informatie onze privacyverklaring.”
Op de meeste websites wordt gebruik gemaakt van formulieren, zoals een contactformulier. Het verwerken van persoonsgegevens mag alleen wanneer hier een doel voor is, en als dit echt nodig is om dat doel te behalen. Opgevraagde gegevens dienen noodzakelijk te zijn. Zo mogen bijvoorbeeld de naam en het adres van de betrokkene worden opgevraagd, wanneer dit nodig is voor de levering van een bestelling. Een bankrekeningnummer mag worden opgevraagd om de incasso in werking te kunnen stellen. Gegevens die simpelweg ‘handig’ zijn om te hebben, mogen niet worden opgevraagd. Zorg daarom altijd voor een juiste overweging en registreer deze.
De AVG stelt niet alleen regels voor uw website, maar ook voor uw interne administratie. Zo dient u een verwerkingsregister en een datalekkenregister bij te houden. Eventuele gegeven toestemming door een betrokkene, dient u te kunnen bewijzen. Ook moeten door u verwerkte persoonsgegevens goed worden beveiligd. Zorg er daarom altijd voor dat uw website beveiligd is middels SSL.
Wilt u weten welke stappen u nog dient te zetten om de website te laten voldoen aan de AVG? Doe gratis onze online privacy quickscan!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.