0
Checklist Ik weet welke persnsgegevens ik psla en p basis van welke grndslag dit is Ik heb verwerkersvereenkmsten afgeslten met alle bedrijven die vr mij persnsgegevens verwerken. Ik heb een duidelijk zichtbare en vlledige privacyverklaring p mijn mgeving geplaatst. Ik heb een duidelijk zichtbare en vlledige ckie melding geactiveerd binnen mijn mgeving. Ik heb mijn instellingen vr het gebruik van data binnen bijvrbeeld Ggle Analytics en Htjar geannimiseerd. Ik heb alle frmulieren waarbij persnsgegevens wrden uitgewisseld ingericht vlgens de nieuwe standaarden. Ik heb mijn mgeving (vlledig HTTPS) beveiligd dr middel van een SSLcertificaat. Ik ben mij bewust van mijn meldplicht bij datalekken, dat de ik bij het Meldlket datalekken AP. Er wrdt een register bijgehuden van datalekken binnen mijn rganisatie. 1
1. Persnsgegevens Ik weet welke persnsgegevens ik psla en p basis van welke grndslag dit is Welke persnsgegevens sla ik p en waarvr gebruik ik het? Op basis van welke grndslag mag ik deze gegevens verzamelen? He annimiseer/verwijder ik deze gegevens? He zrg ik snel vr een verzicht van persnsgegevens? Met welke platfrmen/derde partijen deel ik persnsgegevens? 2. Verwerkersvereenkmsten Je hebt een verwerkersvereenkmst (k wel DPA data prcessing agreement genemd) ndig met alle partijen die tegang hebben tt de persnsgegevens die jij verzamelt. Het verplicht stellen van een verwerkersvereenkmst (vrheen bewerkersvereenkmst) is niet nieuw. Maar de verwachting is dat er veel strenger gecntrleerd gaat wrden en k zijn er een aantal verplichte zaken bijgekmen. Het betreft dus een vereenkmst die je afsluit met partijen als Ggle Analytics, MailChimp, hstingbedrijf, prgrammeur, et cetera. De vereenkmst biedt garanties dat de bescherming van de rechten van persnen wrdt gewaarbrgd. Als er prblemen ntstaan, kan de verwerker hier verantwrdelijk en aansprakelijk vr zijn. Tip: Grte kans dat juw leverancier al z n vereenkmst heeft klaarliggen. Er zijn k diverse (gratis) mdelvereenkmsten nline beschikbaar. 2
3. Privacyverklaring In je privacy statement met ten minste het vlgende staan: Bedrijfsgegevens (identiteit) Deleinden en rechtsgrnden (reden van de verwerking van de persnsgegevens) Als de verwerking van de persnsgegevens een wettelijke f cntractuele verplichting is, f ndzakelijke vrwaarde, dan met je k aangeven wat de gevlgen zijn als je het niet det. Persnsgegevens (welke persnsgegevens verwerk je en in welke systemen wrdt deze data pgeslagen). Je met aangeven he lang gegevens bewaard wrden óf welke criteria bepalen he lang het pgeslagen zal wrden. Recht p inzage, rectificatie f wissen van de gegevens. De betrkkene heeft recht en je met dat pnemen in het statement. Je met dus k vermelden he dat gedaan kan wrden (per e-mail/frmulier). Aangeven dat ze het recht hebben m een klacht in te dienen bij de AP (Autriteit Persnsgegevens). De privacyverklaring met k p een aparte pagina staan en p elke pagina duidelijk in beeld staan (fter). Tip: Ben je aangeslten bij een keurmerk, kijk dan f daar iets wrdt geregeld in de vrm van een slide en vlledige mdel van een privacyverklaring. 3
4.1 Ckies Zdra je een ckie pslaat ben je verplicht een ckiemelding te tnen. Er zijn 3 verschillende srten ckies: Functinele ckies zijn ndig m een website te laten werken. Bijvrbeeld vr het autmatisch inlggen f het pslaan van prducten in je winkelwagen. Hiervr hef je geen testemming te vragen. Analytische ckies: deze wrden gebruikt m je inzicht te geven in de statistieken van je website (Ggle Analytics). Over analytische ckies met je bezekers infrmeren via een ckie melding f privacy verklaring. Tracking-ckies zijn ckies die binnen een dmein f ver verschillende dmeinen gebruikt wrden m surfgedrag van de bezekers vast te leggen. Bijvrbeeld remarketing campagnes. Vr het gebruik van tracking ckies is expliciete testemming verplicht. 4.2 Ckies Tips & Trics Om aan de nieuwe wetgeving te vlden met de ckiemelding z wrden aangepast dat analytics-ckies pas daadwerkelijk geplaatst wrden als mensen: actief aangeven dat ze hiermee akkrd gaan, f als ze verder navigeren dr de website. Vr tracking-ckies met de gebruiker altijd expliciet testemming geven. Het is daarm verstandig m nderscheid te maken in je ckiemelding. Een bezeker met gebruik kunnen maken van je website. Een ckiewall mag niet meer. 4
Via de brwser is het k mgelijk m ckies te te staan f te weigeren, een ckiemelding is dan niet meer ndig Gebruik je remarketing campagnes en de gebruiker geeft geen testemming? Zrg er dan vr dat dit zichtbaar is vr de gebruiker, z kan deze er alsng er vr kiezen m ze aan te zetten. 5.1 Ggle Analytics annimiseren Als er geen expliciete testemming wrdt gegeven vr het plaatsen van analytische ckies, zijn deze stappen ndig m ervr te zrgen dat de data geen persnsgegevens bevatten. Een gevlg hiervan is wel dat de lcatiedata in Analytics minder nauwkeurig zijn. Om Ggle Analytics privacyvriendelijk te maken, dien je de vlgende stappen te drlpen: Verwerkersvereenkmst met Ggle afsluiten. Als verantwrdelijke dien je een verwerkersvereenkmst af te sluiten met Ggle. IP-adressen anniem verwerken. Ggle biedt de mgelijkheid m het laatste gedeelte van het IP-adres van websitebezekers te verwijderen. Gegevens delen met Ggle uitzetten: Uitsluitend andere Ggle-prducten; Anniem met Ggle en andere; Technische ndersteuning; Tegang vr (Ggle-)accunt specialisten. 5
5.2 Ggle Analytics annimiseren Tt slt is het de laatste stap m de nline bezeker te Infrmeren ver het gebruik van Ggle Analytics. De vlgende punten meten in de cmmunicatie wrden meegenmen: Aangeven dat Ggle Analytics ckies gebruikt. Aangeven dat er een bewerkersvereenkmst is afgeslten met Ggle. Aangeven dat de gegevens anniem wrden verwerkt. Aangeven dat gegevens delen is uitgeschakeld. Aangeven dat er geen gebruik wrdt gemaakt van andere Ggle-diensten in cmbinatie met Ggle Analytics-ckies. Lees hier de vlledige beschrijving vr het privacyvriendelijk instellen van Ggle Analytics in deze handleiding. 6. Gebruik van data in Htjar annimiseren Binnen Htjar bestaat de mgelijkheid m user recrdings in te zetten, waardr je gebruikers kunt zien navigeren dr de website. Er wrdt een registratie gemaakt van pageviews, muse mvements, clicks en data input. Als hiervr geen expliciete testemming wrdt gegeven dr het accepteren van de ckie melding, dan zal k Htjar geannimiseerd meten wrden zdat de data geen persnsgegevens bevatten. 6
De recrdings kunnen binnen Htjar geannimiseerd wrden dr een aantal stappen te drlpen. Hiermee heb je wel de user recrdings-infrmatie tt je beschikking, maar znder dat het persnlijk identificeerbaar is. Htjar biedt hierbij twee mgelijkheden: Het verbergen van ingeverde infrmatie in invervelden. Infrmatie die een gebruiker invult, bijvrbeeld persnsgegevens als adresgegevens f een e-mailadres, wrdt niet pgeslagen. Deze setting geldt site-breed. Het verbergen van specifieke elementen. Specifieke elementen als invervelden en 'gewne' tekst, kunnen uit de recrdings en heatmaps wrden geweerd. Lees hier meer ver het annimiseren van recrds binnen Htjar in deze handleiding. 7.1 Testemming bij frmulieren (pt-in) Op het mment dat gebruikers persnsgegevens achterlaten p je website, bijvrbeeld met een e-mail pt-in, met vr deze gegevens helder zijn waarm je ze ndig hebt en he je ze gaat gebruiken. Er met duidelijk wrden gecmmuniceerd waar iemand zich vr inschrijft, he vaak er wrdt verstuurd en dat je je heel makkelijk p elk gewenst mment weer uit kan schrijven (pt-ut). Bvendien met de pt-in een duidelijke en bevestigende actie zijn. Verwijs bij elke pt-in met een link naar de privacyverklaring. Tip: Stel een autmatische mailing in m de nieuwe abnnees te verwelkmen. Zet hierin een (aantrekkelijke) welkmsttekst met de infrmatie dat de ntvanger vanaf nu mail kan verwachten, én die duidelijke pt-ut. Vergeet daarin niet de links naar al je scial media-accunts te vermelden. Misschien wil de ntvanger geen nieuwsbrief van je, maar je wel vlgen via scial media. 7
7.2 Testemming bij frmulieren (pt-in) Je met al je e-mail pt-ins registreren. Achteraf met je kunnen aantnen he je ze hebt verkregen en waarvr deze persnen precies testemming hebben gegeven. Z met je dus nderscheid maken tussen pt-ins die wrden verkregen als iemand een bestelling det en bijvrbeeld vr pt-ins die verkregen hebt via een pp-up f lead magnet (een gratis aanbd dat je det aan je bezeker in ruil vr het e-mailadres van deze bezeker). Het is belangrijk p verschillende grepen f lijsten aan te maken binnen het nieuwsbriefsysteem. Als de pt-ins autmatisch wrden gekppelt via een universele plug-in, dan zal in de database duidelijk en eenvudig terug te kijken zijn wanneer wie, waar en he iemand zich heeft aangemeld. Tip: Kun je dit niet aantnen vr je huidige klantenbestand? Zrg dan eerst vr een e-mail met daarin een pt-in vr de daadwerkelijke e-maillijst, van waaruit je vervlgens gaat e-mailen. Alleen mensen die zich dan actief aanmelden zul je mgen blijven mailen. Overigens mag je klanten met wie je een betaalrelatie hebt, ng wel znder actieve pt-in mailen ver srtgelijke prducten f diensten. 7.3 Testemming bij frmulieren (pt-ut) Accunts en prfielen meten (z eenvudig mgelijk) in te zien, aan te passen f te verwijderen zijn. Mensen met een accunt bij een website kunnen wellicht al een aantal gegevens zelf inzien en wijzigen. Hetzelfde geldt vr e-mailvrkeuren die gewijzigd kunnen wrden binnen prgramma s zals MailChimp. 8
MailChimp det dat al en geeft dat k aan in de fter van een nieuwsbrief, er staat dan ziets als klik hier m juw prfiel te wijzigen. Dit geldt k vr het verwijderen van gegevens (het recht m vergeten te wrden). In de privacyverklaring met daarm k heel staan he mensen hun gegevens kunnen wijzigen f verwijderen. Hiervr kan k een specifiek cntactfrmulier wrden ingericht waarbij men nline een frmeel verzek kan indien m alle gegevens van die persn te verwijderen uit alle systemen. Tip: Ga na f de leverancier van juw nieuwsbrief sftware het je mgelijk maakt deze stappen te maken met het systeem f het mgelijk maakt m het in te buwen. Zrg ervr dat bvenstaande mgelijk is. 8. Beveiliging regelen (SSL) De pslag en verwerking van gegevens met p en tp beveiligd zijn dr middel van een SSL-certificaat. De website waar de persnsgegevens pgeslagen zijn, met vrzien zijn van de allerlaatste beveiligingsupdates van de gebruikte sftware en plugin. Tt slt is het aan te raden m de mgeving vlledig HTTPS te laten inrichten. Dit heeft namelijk k een psitieve impact p de zekresultaten van Ggle. Sinds januari 2018 is Ggle zelfs gestart met het actief tnen van waarschuwingen indien een webpagina niet vldende beveiligd is. 9
9. Een datalek melden Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht hudt in dat rganisaties direct een melding meten den bij de Autriteit Persnsgegevens zdra zij een ernstig datalek hebben. Een datalek melden kan via de website van Autriteit Persnsgegevens: https://datalekken.autriteitpersnsgegevens.nl/ 10. Overige tips & trics Zrg dat alle pt-ins die je hebt binnen je website, shp, scial media en landingspagina s vlden aan de eisen die we in een eerdere slide hebben besprken. Vergeet k je lead-magnets niet! Als iemand ng geen 16 jaar is, met iemand met uderlijk gezag (mede)testemming geven. Overbdig m te vermelden eigenlijk, maar tch: je mag iemand natuurlijk niet meer mailen als iemand zich uitschrijft vr je nieuwsbrieven. Een nreply@ -e-mailadres mag nder de nieuwe wetgeving niet meer. Als je dat nu gebruikt als afzender vr je (nieuwsbrief)mailverkeer, dan met je dat aanpassen naar een adres waar de ntvanger wel naar kan mailen. Alleen iemands naam en mailadres vallen nder gewne infrmatie die je mag pvragen. Vraag je bijvrbeeld m een gebrtedatum, dan met je laten weten waarm (een verrassing p je verjaardag). Zulke data mag niet verplicht meten zijn m je te kunnen aanmelden. Ga na f de sftwareleverancier van juw nieuwsbrief AVG-prf is. Zrg ervr dat je rganisatrisch er k klaar vr bent. Check via https://rv.regelhulpenvrbedrijven.nl/avg/ wat je ng meer kunt den m rganisatrisch klaar te zijn vr de AVG. 10
11