Vrijwel elke website verzendt of verzamelt persoonsgegevens. Die van jou waarschijnlijk ook want een simpel contactformulier is namelijk al voldoende. Als website-eigenaar ben jij er verantwoordelijk voor dat privacygevoelige informatie veilig wordt opgeslagen en dat er uiteraard ook veilig mee wordt omgegaan. In de Wet bescherming persoonsgegevens (Wbp) is vastgelegd aan welke voorwaarden je daarbij moet voldoen. Sinds 1 januari 2016 is deze wetgeving aangescherpt, en kan de privacywaakhond Autoriteit Persoonsgegevens (voorheen College bescherming persoonsgegevens) flinke boetes uitdelen als er niet aan de gestelde eisen wordt voldaan.
Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Met de AVG wordt de regelgeving versterkt en uitgebreid.
Ga zorgvuldig om met persoonsgegevens en zorg voor een versleutelde verbinding
Dit is natuurlijk een open deur, maar in de praktijk gaat dit toch nog vaak mis.Een belangrijk punt waar het nog regelmatig aan schort is dat de website persoonsgegevens via een niet-beveiligde verbinding verstuurt.
Installeer een SSL-certificaat
Jammer, want dit probleem is eenvoudig op te lossen met een SSL-certificaat. SSL staat voor Secure Sockets Layer, met dit certificaat worden vertrouwelijke gegevens versleuteld verzonden zodat ze niet onderschept kunnen worden. Je kunt zo’n veilige verbinding herkennen herkennen aan het slotje in de adresbalk. Meer over SSL-certificaten.
Meld een datalek
Je spreekt van een datalek wanneer persoonsgegevens verloren raken of onrechtmatige verwerking niet kan worden uitgesloten. Een datalek kan ontstaan door technisch falen (je verzendt persoonsgegevens via een onbeveiligde verbinding of je website is gehackt), maar ook door menselijke fouten (je verzendt een e-mail met per ongeluk alle mailadressen in het CC-veld). En natuurlijk kunnen persoonsgegevens ook in verkeerde handen komen doordat een laptop of externe harde schijf gestolen wordt.
Een datalek kan dus in vele vormen voorkomen. Volgens de Wbp ben je verplicht om elk datalek bij de Autoriteit Persoonsgegevens (AP) te melden. De betrokkenen (van wie de persoonsgegevens zijn) hoef je alleen te informeren als ‘het datalek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer.’ Denk hierbij bijvoorbeeld aan reputatieschade of identiteitsfraude.
Kan de AP aantonen dat het datalek is ontstaan door verwijtbare nalatigheid? Bijvoorbeeld omdat je gegevens verzendt via een onbeveiligde verbinding of omdat je het wachtwoord van de database niet hebt afgeschermd, dan kun je een flinke boete opgelegd krijgen.
Sla gegevens versleuteld op of verdeel informatie meerdere servers
Een compleet veilig internet is een mooi streven, maar helaas een utopie. Toch is het wel belangrijk dat jij in ieder geval zelf de randvoorwaarden op orde hebt, zodat jou niets te verwijten valt in het geval van een datalek.
Dit begint met een SSL-certificaat (zie boven), maar wij adviseren daarnaast om persoonsgegevens versleuteld in de database op te slaan.
Het kan een goed idee zijn om de database met persoonsgegevens op een andere server te plaatsen dan waar de website staat.
Zorg voor een bewerkersovereenkomst
Als website-eigenaar ben je automatisch eigenaar van alle data die de website van bezoekers opslaat. De webdesigner waar je mee samenwerkt heeft meestal toegang tot deze gegevens om aan de website te kunnen werken. Misschien zijn er zelfs nog andere externe partijen die toegang hebben tot jouw database. Volgens de Wbp moet je officieel toestemming geven aan externe partijen om persoonsgegevens te verwerken. Dit regel je door middel van een bewerkersovereenkomst, hierin neem je afspraken op over:
- De beschikbaarheid van de persoonsgegevens;
- Beveiligingsmaatregelen;
- Uit te voeren audits;
- Melden van beveiligingsincidenten.
Gebruik een cookiemelding als je persoonsgegevens verwerkt
Dit komt niet voort uit de Wbp maar uit de Wet Telecommunicatie, maar dit hangt er wel nauw mee samen. Een cookie is een klein tekstbestandje dat een website na bezoek op je computer, mobiele telefoon of tablet plaatst. Er bestaan drie soorten cookies:
- Analytische cookies. Deze houden bezoekersstatistieken bij. Zoals de bezoekersaantallen en de tijd op de pagina. Met uiteindelijke doel: verbetering van de website. Deze analytische cookies hebben geen gevolgen voor de privacy. Voorwaarde is wel dat het statistiekprogramma goed ingesteld staat. Je hoeft een bezoeker dan ook geen toestemming te vragen voor het gebruik van deze cookies. Analytische cookies zijn zogeheten first party cookies, omdat de website ze zelf plaatst.
- Functionele cookies. Webshops en websites met bijvoorbeeld inlogfunctionaliteit gebruiken deze bijvoorbeeld. Door functionele cookies worden bijvoorbeeld de loginnaam of de inhoud van je winkelwagentje onthouden. Ook hier is geen cookiemelding nodig, omdat de privacy niet in het gedrang komt. Functionele cookies zijn net als analytische cookies first party cookies.
- Tracking cookies. Deze houden individueel surfgedrag bij en stellen profielen op om bijvoorbeeld gerichte advertenties te laten zien. Deze cookies maken wel inbreuk op de privacy van de bezoeker, en daarom moet je ook vooraf toestemming vragen via een cookiemelding.
Tracking cookies worden ook wel third party cookies genoemd. Third party cookies zijn cookies die via jouw website of webshop worden geplaatst door een externe partij.
Vergeet je privacyverklaring niet aan te passen
Een cookiemelding is niet voldoende. Ook in de privacyverklaring op de site moet je aangeven welke cookies je gebruikt. Ook als dat alleen analytische en/of functionele cookies zijn. Zorg dat minimaal de volgende informatie over cookies bekend is:
- Welke cookies op de computer worden geplaatst.
- Welke informatie iedere cookies vastlegt.
- Wat het doel van de cookies is.
- Hoelang de cookies op de computer bewaard blijven.
De privacy wetgeving is veel gecompliceerder dan dat we in ons blog kunnen vermelden. Houd er ook rekening mee dat wij een webdesignbureau zijn en niet gespecialiseerd in ICT-recht. Wij willen je wel graag op weg helpen en vooral bewust maken van de komende veranderingen in de wetgeving. Voor meer informatie kun je dus altijd contact opnemen