Uw Website en de Algemene Verordening Gegevensbescherming

 

Vanaf 25 mei wordt de Wet Bescherming Persoonsgegevens vervangen voor de Algemene Verordening Gegevensbescherming (AVG). De AVG is de Nederlandse versie van de General Data Protection Regulation (GDPR). Als ondernemer moet u hier klaar voor zijn. Zowel met de computer als de zaak als met de Website.

Vanuit het perspectief van websites zien we drie gebieden waarop de AVG van toepassing zal zijn. Dit begint met de hosting van uw website, daarna de website zelf en tenslotte de gegevensverwerking bij u op de zaak. We belichten kort wat u op deze vlakken moet weten en doen.

Hosting

Iedere webdesigner weet het; Uw website moet een beveiligde verbinding met uw klant hebben. Hiervoor moet uw host zorg dragen door een SSL certificaat aan te leveren. Het kan goed zijn dat u daar meer voor moet betalen. Technisch zijn er geen verschillen tussen gratis certificaten en betaalde certificaten. Laat u dus niet gek maken, maar kies voor gratis waar dit kan.

Tenslotte moet ook de webserver zelf veilig zijn. Dit is echt een kerntaak van de host. U mag er vanuit gaan dat de host de veiligheid goed op orde heeft. Maar zelf kunt u wel een aantal stappen ondernemen. Check bijvoorbeeld bij uw webdesigner of hij/zij FTP toegang nodig heeft tot de site. Zo niet, laat deze dan door de host afsluiten. Ja, dat heeft voor- en nadelen. Met uw webdesigner kunt u dit goed afstemmen.

Een SSL verbinding brengt nog een voordeel met zich mee. Zoekmachines als Google en Bing gaan websites zonder SSL lager waarderen. Nu al op desktop computers en vanaf juni 2018 ook op mobiel. Heeft u een formulier op uw website en geen SSL, zal de Chrome browser zelfs waarschuwingen gaan geven. Belangrijk dus.

Tip – Webdesigners, met SSL ondersteuning, is het vaak ook mogelijk HTTP2 in te zetten en zo de website te versnellen.

Actiepunten Hosting:

  • Laat SSL installeren
  • Overleg met de webdesigner of FTP toegang afgesloten kan worden
  • Vraag uw host wat deze doet om uw website veilig te houden.

Website

Belangrijk – Denkt u dat uw website te klein en onbelangrijk is voor een hacker? Juist uw website is dan interessant. Lees alles over uw risicoprofiel.

Stel, u heeft keurig dat SSL certificaat geregeld. Dan heeft u keurig een beveiligde verbinding tussen uw bezoeker en uw website. Maar als uw site al is gehackt, is die hele SSL verbinding een wassen neus. De veiligheid en privacy van uw bezoeker zijn nog steeds in het geding.

De hacker

Wanneer we naar hackers kijken zien we grofweg twee groepen; de scriptkiddies en de echte hackers. Slecht nieuws, de echte hacker komt waarschijnlijk toch wel binnen. Het goede nieuws, de echte hacker richt zich op groot gewin. Dus meer op bedrijven als banken en andere instellingen die enorme hoeveelheden persoonsgegevens bezitten.

De scriptkiddies maken vooral gebruik van bekende lekken in software. Zo ook de software op uw webserver. WordPress is één van de meestgebruikte stukken software om een website mee te bouwen. Ongeveer 40% van de websites wereldwijd werken ermee. Het grootste deel van de updates van WordPress zijn dan ook beveiligingsupdates.

Kaal is WordPress best goed beveiligd. Het zijn de plugins en thema’s die WordPress een stuk gevaarlijker maken. Ook daar komen met grote regelmaat updates voor uit. Ook die richten zich veelal op veiligheid. Het is dus belangrijk om updates regelmatig en snel te installeren. Maar… kijk uit. Updates kunnen de site ook kapot laten gaan. Blindelings installeren is verre van verstandig.

Technische en organisatorische maatregelen

Tip – WebsiteNazorg.nl controleert uw website tot 20 keer per maand op updates. Zijn er updates, controleert WebsiteNazorg de kwaliteit ervan en rolt ze uit op uw website. Gaat er iets kapot? Heeft u recht op gratis technische ondersteuning. Zo voorkomt u een onverwachte rekening.

Het tijdig uitrollen van updates vormt de basis van een gezonde en veilige website. De AVG stelt dat u als ondernemer technische en organisatorische maatregelen moet nemen om de bezoeker te beveiligen. Regelmatig onderhoud valt onder organisatorische maatregelen. Met een gedetailleerd rapport heeft U altijd bewijs in handen.

Daarnaast kan ook de veiligheid verbeterd worden door gebruik te maken van de juiste (combinatie) veiligheidsplugins. Iedere website is uniek en vraagt dus andere instellingen. Het gebruik van beveiligingsoplossingen laat een actieve houding zien ten opaichte van de technische maatregelen die u als ondernemer neemt voor uw bezoeker.

Tip – Op basis van uw abonnement, levert WebsiteNazorg de nodige beveiligingsplugins. Deze worden op maat geïnstalleerd op uw website. Zo weten wij zeker dat uw website werkt en optimaal is beveiligd. De installatie en het onderhoud hiervan zit in het abonnement verwerkt. En ja, het wordt door Nederlandse technici uitgevoerd. Een deel van de technologie wordt door ons zelf ontwikkeld. U hoeft niet los te betalen voor beveiliging.

Bent u toch gehackt, is het handig dat u kunt aantonen dat u uw best heeft gedaan uw zaakjes goed op orde te hebben. Een overzicht van uitgevoerd onderhoud kan een belangrijk bewijsstuk zijn. Een duidelijk overzicht van het bedrijf dat uw website onderhoud is dus belangrijk. Aanvullend is het goed om regelmatig veiligheidsscans op de website uit te laten voeren.

Belangrijk – klanten van WebsiteNazorg ontvangen maandelijks een rapportage van uitgevoerde werkzaamheden aan de website. Zo heeft u niet alleen bewijs dat we echt aan uw website werken, maar ook altijd bewijs dat u uw best doet volgens de AVG te werken.

Tenslotte moet u weten welke persoonsgegevens in uw database zitten. Heeft u een webshop, dan slaat u namen, adresgegevens en bestellingen op. Ben u een hele grote webshop, misschien ook wel betalingsgegevens. Zorg dat wachtwoorden versleuteld zijn en dat je geen bijzondere persoonsgegevens bewaard tenzij u daar extra bescherming voor regelt.

Belangrijk – “Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden ook wel bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.” – Autoriteit Persoonsgegevens 29-12-2017.

Privacy verklaring

Op uw website geeft u uw manier van handelen weer in een Privacy Verklaring. Hierin legt u in detail uit welke persoonsgegevens u verwerkt en wat de bewaartermijn is. Ook legt u uit hoe het recht op vergetelheid kan worden uitgevoerd en geeft u hiervoor een contactperssoon aan. Dit kan een functionaris gegevensbescherming zijn. Andere verklaringen kunnen grotendeels weg.

Werkt u met diensten als Google Analytics? Dan is het belangrijk deze zo in te stellen dat deze geen data meer doorgeven aan andere diensten. Google maakt het bijvoorbeeld mogelijk om data vanuit Google Analytics niet meer door te geven aan andere Google apps. Dit vraagt wel handelingen aan uw kant. Verzamelt uw analytische partner wel complete IP adressen, moet hier toestemming voor worden gevraagd.

Actiepunten Website:

Computers op de zaak

Binnen de AVG draait het allemaal om de verwerking van persoonsgegevens. Heeft u een webshop, staat een deel van die gegevens in de database van de website. In de praktijk zal het gros van de gegevens in uw computer worden bewaard. Denk aan ontvangen e-mails van klanten, maar ook CRM systemen.

Volgens de wet heeft ieder persoon die in uw systeem voorkomt het recht te vragen om daaruit verwijderd te worden. Dit heet het recht op vergetelheid. Dan moet de persoon uit bijna alle systemen verwijderd worden. Er gelden wettelijke uitzonderingen. Bijvoorbeeld in het geval van een webshop, omdat aan de persoon bestellingen vastzitten. U kunt dan natuurlijk besluiten gegevens de anonimiseren. Fictieve namen en adressen invoeren is dan een oplossing.

Zijn er nog personen buiten uw bedrijf om die toegang (nodig) hebben tot de persoonsgegevens? Zo ja, hoe gaan die met de gegevens om? Wanneer u de gegevens hebt ontvangen van een bezoeker of klant, heeft u met uw bedrijf de volledige verantwoordelijkheid voor die gegevens en de uitwisseling ervan.

Een ander probleem is Phishing. Kunnen anderen zich gemakkelijk voordoen als uw bedrijf? Dit gebeurd veelal via het ‘spoofen’ van e-mail adressen. Een goed afgestelde mailserver en DNS is dan de oplossing. Via een dienst als mail-tester.com kunt u zelf testen of uw mailserver en DNS goed zijn ingesteld om phishing tegen te gaan. Bonus: Uw e-mail beland minder snel in de spamfolder van de gebruiker. Uw webdesigner en webhost kunnen helpen de instellingen aan te passen.

Actiepunten Computer:

  • Heeft u antivirus software geïnstalleerd?
  • Welke persoonsgegevens slaat u waar op?
  • Hoe verwijdert u persoonsgegevens uit uw databanken?
  • Is het nodig bijzondere persoonsgegevens op te slaan?
  • Kunnen derden bij de persoonsgegevens van uw contacten?
  • Indien ja, hoe gaan die daar mee om en weet uw bezoeker dit?
  • Is de mailserver beveiligd tegen Phishing?

Leg een privacy dossier aan

Een handige tool om uw bedrijf voor te bereiden op de AVG, is het aanleggen van een privacy dossier. Met de actiepunten bij bovenstaande koppen heeft u al voldoende aanknopingspunten om zo’n dossier op te zetten. Zorg ook dat medewerkers dit document kennen en op de hoogte zijn van hoe uw bedrijf met persoonsgegevens om gaat. Zo kunnen ze in detail antwoord geven wanneer een bezoeker of klant hierom vraagt.

Handhaving?

De Wet Bescherming Persoonsgegevens was de voorloper van de AVG. Handhaving vond vooral plaats op basis van meldingen. Meldingen vanuit klanten, partners en personeel van bedrijven

Bij de AVG is de verwachting dat streng gehandhaafd zal worden. Door de Europese wet in vrijwel alle landen gelijk te handhaven, ontwikkelen landen gezamelijke tools om bijvoorbeeld bij websites te testen of deze voldoen aan de regels.

Privacy Statement Opstellen

Het slotstuk op jouw werk is uw eigen Privacy Statement. Als groot bedrijf laat u die door een jurist opstellen, maar zelf kunt u waarschijnlijk ook gewoon een duidelijke tekst op papier zetten over hoe uw organisatie met persoonsgegevens omgaat. Deze transparantie zal door uw klanten zeker gewaardeerd worden. Vooral wanneer het zakelijke klanten betreft.

Let op: De teksten op deze pagina mogen nooit als ‘bindend’ juridisch advies gelezen worden. Het is onze interpretatie van de teksten verstrekt door de Autoriteit Persoonsgegevens. Naarmate deze verder worden vormgegeven, updaten we ook deze pagina. Let op: u bent ten alle tijden zelf verantwoordelijk voor hoe uw organisatie met de AVG omgaat. 

Heeft U nog vragen over de AVG? Bezoek dan ook onze AVG Kennisbank. Hier proberen we veelgestelde vragen op te helderen.