Hoe krijg ik mijn blog AVG-proof? Dat is stiekem best nog wel een dingetje. Vriendlief was zo lief om het voor mij allemaal op een rijtje te zetten en maakte voor mij deze uitgebreide checklist. Speciaal in “Jip en Janneke taal”…zodat ik het ook allemaal begrijp. Wel zo fijn! Lees je mee?
Als je al eerder in deel 1 hebt kunnen lezen weet je hopelijk nog het algemene doel van nieuwe AVG wet. In dit deel zal ik voor alle bloggers uitleggen wat je dan precies moeten regelen. Ook deze keer zal ik het zo eenvoudig mogelijk uitleggen! Het is helaas niet mogelijk om het in een paar zinnen te vertellen, dus ben je er klaar voor, daar gaan we dan:
Beveiliging
De meeste bloggers maken gebruik van een CMS zoals WordPress, jij ook? Daarvoor worden vaak Beveiligingsupdates uitgebracht. Dus het is nu van belang dat je deze ook regelmatig installeert. Natuurlijk hoef je niet meteen elke nieuwe update te installeren maar zodra je ziet dat een update speciaal uitgebracht om een beveiligingslek te dichten dan is het natuurlijk wél noodzakelijk deze zo snel mogelijk te installeren.
Kunnen er ook andere mensen inloggen op je website? Dus hebt je een inlog optie voor gasten? Want dan zullen de wachtwoorden van deze gebruikers ook versleuteld moeten worden opgeslagen. Stel je database wordt gestolen/gehacked en je hebben volledige toegang tot de database, dan zie je namelijk niet de wachtwoorden van de gebruikers maar allemaal gekke tekens (versleuteld wachtwoord).
Ook kun je overwegen om een 2-staps verificatie aan te bieden, net zoals bij de banken gebruikt worden. Dus dat je na het inloggen op je telefoon nog een code opvragen en deze intypen op je website voordat je mag inloggen.
Zie je het groene slotje boven in je adresbalk hier op mijn website? Dit betekend dat deze website beveiligd is met SSL en alle internet verkeer versleuteld is. Het is niet expliciet verplicht maar het advies is eigenlijk wel om dit te gebruiken.
Belangrijk: Zorg dat jouw persoonlijke beveiligingsprocedure ergens op papier uitgewerkt staat!
Inventarisatie
Iedere blogger moet gaan bijhouden hoe hij of zij omgaat met persoonlijke gegevens. Dit geld alleen voor gegevens die je voor langere tijd bewaard.
Je hoeft hier helemaal geen software voor aan te schaffen of iemand in te huren, je kunt dit eenvoudig zelf!
Dus maak bijvoorbeeld een Spreadsheet document met deze kolommen:
– welke persoonsgegevens verzamel je?
– hoe lang bewaar je die?
– hoe gevoelig is die informatie?
– met welke systeem doe je dat?
– waar verzamel je persoonsgegeven?
– hoe worden die gegevens beveiligd?
– deel je de gegevens met andere, zo ja wie?
– heb je met die partij een verwerkersovereenkomst?
– risico beschrijving: beschrijf of nu een beveiligingrisico is en wat je er nu en in toekomst aan gaat doen
Raak niet in paniek van deze lijst, maak een beginnetje, dus zorg dat je de Spreadsheet gemaakt hebt, vul tenminste iets in.
Hiermee laat je al zien dat je er mee bezig bent geweest dat is het belangrijkste. In de toekomst zul je vast weer eens iets spontaans invallen wat je kunt invullen of aanvullen in deze lijst.
Gegevens verwijderen
Het zou maar eens in de toekomst kunnen voorkomen dat iemand je vraagt om zijn ‘Comments’ of een foto waar hij op staat te verwijderen. Door de nieuwe wetgeving ben je daar verplicht toe mee te werken. Natuurlijk gaat dit alleen om foto’s waar iemand duidelijk in beeld is én er geen expliciete toestemming voor gegeven is. Dus als het gezicht niet in beeld is dan hoef je ook niets eraf te halen. Stel je moet wel iemand eraf halen, dan kun je ook persoon eraf knippen of het gezicht ‘blurren’, zoals je vast wel eens gezien hebt op Google Earth.
Samengevat:
Zorgt dat je een checklist hebt om een ‘verwijderingsverzoek’ volledig te kunnen uitvoeren. Bijvoorbeeld:
[] Foto’s
[] reacties
[] inlogaccount
[] nieuwsbrief
Verwerkersovereenkomst
Een heel vervelend woord, maar betekend eigenlijk dat als je een samenwerkt met iemand welke jouw of andermans persoonsgegevens gebruikt dat er dan zo’n ‘Verwerkersovereenkomst’ van moet zijn. Daarin moet staan wat die andere partij gaat doen jouw gegevens. Een veel voorkomende situatie is dat je een aparte partij hebt via wie je de nieuwsbrieven verstuurd. Die partij heeft immers AL jouw verzamelde e-mailadressen.
In dat document moet staan wat die partij gaat doen met jouw e-mailadressen en wie welke verantwoordelijk heeft. Meestal zijn zo’n documenten standaard te downloaden bij desbetreffende externe partij.
Voorbeeld waar je mogelijk een ‘Verwerkersovereenkomst’ van moet opvragen zijn:
[] Je hosting provider, dus het bedrijf waar je website staat (bijvoorbeeld: WordPress.com , Antagonist.nl, Vimexx.nl)
[] het bedrijf welke je gebruikt om nieuwsbrieven te vesturen (bijvoorbeeld: Mailchimp)
Nieuwsbrief
Verstuur jij ook een nieuwsbrief? Dat betekend dus dat je een lijst van e-mailadressen hebt verzameld van personen.
Mogelijk heb je die personen nooit specifiek gezegd wat je voorwaarden zijn en verteld waar ze nu exact voor aangemeld zijn, daar gaat nu verandering in komen.
Vanaf nu is het zo dat de gebruiker altijd een vakje moet aanvinken om duidelijk aan te geven dat hij toestemming heeft gegeven om mee te doen aan de nieuwsbrief. En mocht je verschillende soorten nieuwsbrieven hebben zoals ‘Acties’, ‘Nieuws’, ‘Winacties’, dan moet het duidelijk zijn waar die persoon zich voor heeft opgegeven. Als dat nu dus niet duidelijk is bij de aanmelden of bij je bestaande nieuwsbrieflezers dan zul je dat nog moeten regelen!
Het afmelden van de nieuwsbrief moet ook altijd eenvoudig kunnen. Ga dit dus niet meer verstoppen op je website of in je nieuwsbrief. Het moet duidelijk zichtbaar zijn.
Cookies
Wie kent ze niet? Die vervelende verplichte popups op alle website, irritant toch? Dat is helaas nog niet voorbij. Mocht je alleen functionele en anonieme analytische cookies hebben dan hoeft er alleen een melding getoond te worden zonder dat je goedkeuring hoeft te vragen aan de gebruiker.
Maar misschien wil je toch wel iets meer weten van de bezoekers, zodat je gerichte advertenties getoond kunnen worden of je wilt een ‘Share’ of ‘Like’ knopje. In dat geval heb je toestemming nodig van de bezoeker en moet die eerst toestemming voor geven. En je moet ook nog ergens inbouwen dat de dit later door die gebruiker weer aangepast kan worden.
Je moet dus op zoek naar een plug-in die dat allemaal netjes voor je kan regelen:
[] website moet ook getoond kunnen worden met alleen functionele en anonieme cookies (blokkeren mag niet)
[] je moet altijd ergens een melding tonen bij Cookie gebruik
[] persoonsgebonden cookies mogen pas gebruikt worden ná toestemming van de gebruiker
[] soorten cookies moet op elk moment aanpasbaar zijn: ‘statistieken’, ‘marketing’, ‘social media’
Wat nu super vervelend is voor elke bezoeker, is dat het instellingen zijn voor iedere website apart. Ik hoop echt dat volgend jaar de nieuwe wet (ePrivacy Verordening) actief wordt. Deze wet bepaalt dat je het maar eenmalig hoeft in te stellen in je browser (Chrome, Internet Explorer). Hoe relaxt is dat!
Privacyverklaring
Het laatste puntje van dit deel gaat over Privacyverklaring. Hierin moet je zo uitgebreid mogelijk aangeven wat je doet met de persoonsgegevens en wat hun rechten zijn. Denk aan bijvoorbeeld je Cookies, Prijswinnaars, nieuwsbriefleden, enz. Eigenlijk is het meer een samenvatting van hetgeen we hierboven hebben besproken maar dan in je eigen woorden, een korte samenvatting. Denk aan bijvoorbeeld onderstaande basis puntjes die er in zouden moeten staan:
[] Wie ben je en wat doe je?
[] welke gegevens verzamel je en wat doe je er mee? (nieuwsbrief, Google Analytics, enz)
[] Waar gaan de gegevens van bijvoorbeeld de nieuwsbrief en reacties naar toe? En waar sla je die gegevens op?
[] Hoe lang blijven de gegevens uit vorig puntje bewaard?
[] Een hoofdstukje over ‘Rechten’, waar heeft bezoeker recht op.
(Eigenlijk snap ik niet helemaal waarom zoiets verplicht beschreven moet worden als het een algemeen recht is welke is opgesteld door AVG wet?)
[] Beveiliging; schrijf iets over hoe je je website hebt beveiligd (SSL, Backups, enz)
Tot slot
Er zal altijd wel iets zijn wat ontbreekt in dit artikel, geef gerust hieronder even aan en deel het hieronder in de reacties! Het volgende en laatste deel zal specifiek gaan over mijn website Janske.nl. In deel 3 zal ik aangeven wat ik allemaal al gedaan heb voor AVG én hoe ik dit heb aangepakt.
Ben jij inmiddels wat wijzer en kun je met deze handige checklist aan de slag? Deel hem dan vooral even!
Top! Als het goed is hebben de meeste bedrijven waar jij diensten afneemt je al een verwerkersovereenkomst (vroeger ook wel bewerkersovereenkomst) gestuurd. Maar vraag er vooral om als je er eentje mist, of maak er zelf een om naar bedrijven te sturen (is wel veel werk, ik hoop dan ook dat er hier en daar voorbeelden online zijn te vinden). 🙂
Ook als je verder niets doet met gegevens die je via je site ‘verzameld’, is het belangrijk de bovenstaande info op je site te hebben. Ik verdien bijvoorbeeld niks met mijn blog (… het is een hobby), maar ik zal toch moeten voldoen aan verzoeken tot verwijderen. Ik verwacht ze niet, want ik plaats niets van of over anderen, waar het hun privacy aantast. Als er al iets geplaatst wordt door anderen zijn het reacties, die zelf worden ingevoerd. Maar ook dan mag iemand zich bedenken en dat willen verwijderen.
Ik moet er deze week echt even een eind aan breien, aan mijn verklaringen XD Het hoeft niet zoveel werk te zijn.
Potdorie, ik maak anders vandaag wel even een excel sheet dat ik beschikbaar kan stellen. We moeten elkaar toch helpen?
Ik heb de boel aardig op orde gelukkig. Maar ik vind het echt een crime en echt met een kanon schieten op een mug.
Bedankt voor deze 2de uitleg, echt verhelderend ! Ik heb de privacyverklaring bijna klaar, maar pfoe wat een dingetje is het.
Thnx weer! Gelukkig het meeste geregeld, maar sommige puntjes waren toch weer nieuws voor me! 🙂 Fijn, gaan we weer mee aan de slag
Nu nog op zoek naar een goede cookie plugin. Als Marco er eentje gevonden heeft hoor ik het graag 😉
Bedankt voor je duidelijke en heldere uitleg! Ik kom er alleen niet uit hoe ik nu een verwerkingsregister moet maken? Ik heb een webshop in Dames accessoires maar vind het nog erg lastig. Heb je nog wat duidelijker jip en Janneke tips voor me 🙂