Vóór 25 mei 2018 moet jouw onderneming voldoen aan de eisen van de nieuwe AVG-wet (Algemene Verordening Gegevensbescherming), die dan ook gelijk zal zijn aan de Europese GDPR (General Data Protection Regulation). Deze wet zal de privacy van de burgers beter beschermen en binnen heel Europa op dezelfde manier geregeld zijn, wat natuurlijk een prima zaak is.

Ja, ik weet wat je nu denkt: “Pffffffff, ik heb hier zó geen zin in…. als ik nou net doe of het niet zo is, dan waait het vast wel over.” I feel you. Echt. Maar helaas, het móet. Het is een wetgeving waaraan je moet voldoen en het is jouw verantwoordelijkheid als ondernemer om te zorgen dat je weet wat de wet inhoudt en van jou verlangt en ervoor te zorgen dat het juist wordt geïmplementeerd.

De website autoriteitpersoonsgegevens.nl is DE plek waar alles haarfijn uitgelegd wordt. Lees ook het redelijk simpele stappenplan.

Uiteraard heb ik me er zelf ook in verdiept, want net als jij ben ik ook ondernemer. Nu merk ik wel dat heel veel mensen vragen hebben over wat er nou precies allemaal moet worden gedaan. Ik ben geen jurist, laten we dat voorop stellen, maar here’s my two cents over wat je volgens mij in grove lijnen in ieder geval geregeld moet hebben:

1.  JE WEBSITE MOET EEN SSL-CERTIFICAAT HEBBEN (HTTPS)

Een SSL-certificaat op je website zorgt voor een veilige verbinding. Sowieso was het al handig een veilige verbinding te hebben, aangezien Google sinds een poosje sites zonder SSL als onveilig markeerde. Maar als je contact- of aanmeldingsformulieren op je website hebt waarmee je dus gegevens van mensen verzamelt, dan is HTTPS vanaf 25 mei a.s. verplicht.

Een SSL certificaat kun je regelen door het bij de host van je website aan te vragen. Tot voor kort was dit gratis, maar met het zicht op de AVG en deze verplichting zijn hosts hier helaas geld voor gaan vragen. Wees dus wel op je hoede dat je waar krijgt voor je geld en geen torenhoge kosten die niet in verhouding staan tot wat ze ervoor moeten doen.

Let op: het is belangrijk dat bij het overzetten naar https alle linkjes van afbeeldingen e.d. die in je mediabibliotheek staan ook https krijgen. Of dat jouw site ergens nog vermeld staat met http en dat dat dus automatisch wordt geredirect naar https. Bij sommige hosts gaat dit allemaal automatisch, bij andere hosts niet. Vraag er dus naar of dit ook geregeld is en zo niet, hoe het wel geregeld kan worden!

2. JE HEBT EEN PRIVACYVERKLARING NODIG

Wat houdt een privacyverklaring in? Kort door de bocht: Hierin leg jij aan de lezers uit welke gegevens je van hen verzamelt, waar je die bewaart en wat er mee gedaan wordt. En ook hoe men de gegevens kan laten verwijderen indien gewenst.
De privacyverklaring moet terug te vinden zijn op je website, maar ook bij alle aankopen of optins die je aanbiedt.

Hoe maak je zo’n privacyverklaring?
Via deze link kom je bij een privacyverklaring generator. Stap voor stap beantwoord je vragen die benoemd moeten worden in deze verklaring. Vervolgens kun je deze aan het eind als Word-document downloaden en dan zelf nog aanpassen, als je dat wil (logo erin bijvoorbeeld).
Sla hem wel als pdf-bestand op voordat je deze uploadt op je website. Of maak er een pagina van op je website.
Het slimst is om in de footer of op je contactpagina te verwijzen naar je privacyverklaring zodat als men erop klikt, het pdf-document of een webpagina waar de tekst staat wordt geopend waar je privacyverklaring te lezen is.

Het is niet nodig om iedereen over je privacyverklaring te informeren, hij is tenslotte verplicht per 25 mei 2018. Maar als je deze later aanpast, dan moet je de mensen van wie jij gegevens hebt wel informeren over de wijzigingen.

3. JE HEBT VERWERKERSOVEREENKOMSTEN NODIG

Derde partijen kunnen mogelijk bij de persoonsgegevens van jouw klanten en relaties. Met die partijen moet dan ook duidelijk afgesproken worden, hoe zij omgaan met die persoonsgegevens. En wie er aansprakelijk is. Denk eens aan je VA (virtueel assistent), je boekhouder, je host, je websitebouwer, de leverancier van het mailprogramma waar je mee werkt (Autorespond, Activecampaign, Mailchimp, etc), de leverancier van je online boekhoudprogramma waar je mee werkt… Het gaat heel ver helaas. Maar deze mensen hebben direct of indirect ook toegang tot de systemen waar jij de gegevens van anderen verzamelt of bewaart. En dus moet dit worden vastgelegd.

4. OPTINS MOETEN WORDEN AANGEPAST ZODAT MEN SPECIFIEK AKKOORD GAAT MET HET BEWAREN VAN HUN GEGEVENS

Heb je optin formulieren op je website, waar mensen dus hun gegevens invullen, dan moeten die aangepast worden met een tekst die aangeeft wat er gebeurt met de gegevens die de website bezoeker daar invult. Liefst moet men dit ook voor akkoord aanvinken.
Ook mag je alleen maar relevante gegevens vragen die je écht nodig hebt om de diensten of producten te kunnen leveren waar om gevraagd is.
Als iemand zich dus voor je nieuwsbrief aanmeldt, of voor een webinar, dan mag je geen telefoonnummer vragen. Die heb je namelijk niet nodig om de nieuwsbrief toe te sturen of om je webinar te kunnen tonen. Eigenlijk mag je niet eens om het geslacht vragen als dat niet echt nodig is. Ook hier: het gaat best ver wat allemaal niet meer mag.

Werk je met Autorespond, dan kun je de formulieren daar aanpassen en moet je de codes op je website daarna vervangen door de nieuwe embedcode, zodat de ‘vinkjes’ getoond worden. Dit doe je overigens niet alleen bij je optin-formulieren, maar ook bij de producten die je in Autorespond kunt aanmaken en die men dus online kan aanschaffen. Ook daar kun je vanaf nu een optie aanzetten dat men bij betaling akkoord moet gaan met de privacyverklaring. Hier kun je lezen wat Autorespond er zelf over zegt.

5. TOESTEMMING VRAGEN AAN JE BESTAANDE RELATIEBESTAND

In het registratie-/mailsysteem waar jij de gegevens bewaart moet te herleiden zijn sinds wanneer iemand in jouw systeem staat en hoe jij aan hun gegevens bent gekomen. Als jij bijvoorbeeld met Autorespond werkt, en je hebt je bestand opgebouwd doordat mensen zich inschreven voor een nieuwsbrief of een weggever hebben aangevraagd, of zich aanmeldden voor een webinar, en je hebt dat telkens netjes in een eigen groep gezet (bijv groep ‘aanvraag weggever X’, ‘webinar titel d.d. datum’), dan kun je dus herleiden hoe iemand zijn gegevens in jouw bestand zijn gekomen. En als dit nou voor al je relaties zo is, dan hoef je dus helemaal niemand opnieuw toestemming te vragen.
Is dat niet het geval, dan moet je dus je opnieuw toestemming vragen of ze ermee akkoord gaan dat je hun gegevens bewaart (en dus vertellen over welke gegevens je nu beschikt) en als ze dat niet willen dat ze zich kunnen uitschrijven of hun gegevens kunnen wijzigen.
Onthoud ook dat als men zich uitschrijft voor je nieuwsbrief en aangeeft dat zij in het geheel geen mails meer wil ontvangen, je vanaf nu verplicht bent om die gegevens ook echt helemaal uit je bestand te verwijderen.
(Tenzij het om een klant of oud-klant gaat, want die gegevens moet je bewaren t.b.v. de Belastingdienst)

6. COOKIEMELDING

Cookies, wie kent ze niet… Ook op dat vlak ontkomen we er niet aan. Je bent verplicht om mensen toestemming te vragen voor het verzamelen van gegevens, en daar vallen cookies ook onder. Als je dus via je website gegevens van bezoekers verzamelt, bijvoorbeeld doordat je gebruik maakt van Google Analytics, of de FB pixel omdat je adverteert op Facebook, dan verzamel je dus gegevens en moet je dus de cookiemelding tonen. Toen je deze blog ging lezen zag je het ook in beeld. En als je klikte op ‘lees hier mijn cookies en privacy policy’, dan kwam je op deze pagina.
Dit is hoe ik het heb ingericht, maar er zijn meerdere manieren mogelijk. Waar het om gaat is dat je aangeeft wat voor soort cookies er worden verzameld en met welk doel.

Als je Google analytics gebruikt, dan kun je ervoor kiezen om de instellingen bij Google te veranderen, zodat de cookies anoniem blijven. Op deze manier hoef je in principe ook geen ingewikkelde instellingen in te (laten) voeren in je cookiemelding en volstaat het om bijv te schrijven: Op deze site gebruiken we cookies om het verkeer te analyseren, je voorkeuren te onthouden en je optimaal gebruiksgemak te bieden.

DATALEK

Is je website gehackt? Ben je je externe harde schijf met andermans persoonsgegevens kwijt? Dan hoor je te weten dat je er binnen 72 uur hier melding van hoort te maken.

WERK JE MET EEN VA/VIRTUEEL ASSISTENT?

Dan kan zij jou helpen met het implementeren en aanpassen van een aantal zaken. Maar let wel: zij is niet verantwoordelijk voor jouw onderneming! Jij bent er zelf verantwoordelijk voor dat jij met jouw bedrijf aan deze nieuwe wetgeving voldoet!

Mijn klanten hebben mij uiteraard ook gevraagd of ik het allemaal voor hen wilde regelen. Ik begrijp die vraag ook helemaal (want joh, die AVG, ik vind het óók helemaal niks), maar ik heb hen vriendelijk uitgelegd dat ik bij sommige dingen kan helpen, maar dat ik geen formulieren zoals de privacyverklaring en de verwerkersovereenkomsten maak. Om de simpele reden dat dit juridisch bindende documenten zijn. En mocht daar iets niet goed in zijn verwoord en ontstaat daar een probleem mee, dan zou ik daardoor aansprakelijk kunnen worden gesteld door mijn klanten. Dus om die reden vraag ik mijn klanten om dergelijke juridisch bindende documenten zelf op te stellen en zelf de verantwoordelijkheid te nemen voor een juiste implementatie van deze wet.
Wel kan ik helpen met het op je site zetten van de privacyverklaring, het aanpassen van je optinformulieren, het aanschrijven van je relatiebestand, het installeren van een cookiemelding-plugin op je website. Maar de rest, dat zul je helaas toch zelf moeten doen…

Het is nog erger dan de Belastingdienst, want leuker kunnen we het niet maken, maar makkelijker helaas ook niet 🙁

Gratis AVG Checklist
Ik heb voor mijn klanten een AVG Checklist gemaakt. Deze mag je gratis van mij hebben!
Let op: hij is wel gericht op het werken met Autorespond, dus werk jij daar niet mee, lees dat dan even goed door en kijk hoe dat bij jouw mailsysteem/optins geïmplementeerd kan worden.

Disclaimer: Omdat ik zelf ondernemer ben en aan deze wet moet voldoen heb ik me in de AVG verdiept. Ik ben geen jurist en om die reden kun je aan bovenstaande geen rechten ontlenen. Wat ik heb geschreven is bedoeld als indicatief, gebaseerd op wat ik nu weet en een richtlijn om je te helpen door de bomen het bos te blijven zien 😉

Vond je deze checklist nou handig? Voel je vrij om deze te delen!
Ik had er een soort weggever van kunnen maken, maar ik heb besloten om dat niet te doen (niet iedereen valt misschien in mijn doelgroep en dan vervuilt mijn maillijst weer)
Alleen wil ik je dan wel vragen om de link naar deze blog te delen, zodat mensen eerst op mijn website komen en deze blog kunnen lezen 😉 Dank je wel!

 

Empowering people to create an online business

 

Online ondernemen zonder zorgen!