Supertips nieuwe AVG / GDPR Cookie wetgeving

Voldoet jouw website aan de nieuwe privacy wetgeving?

Heb je een website of webshop? Dan is het van belang dat je weet dat er in mei 2018 een nieuwe Europese wet van kracht wordt. De AVG is de nieuwe privacywetgeving. Zo heb je vanaf dat moment bijvoorbeeld toestemming nodig om gegevens van anderen te verwerken. Zorg dan ook dat je voorbereid bent!

Wat is de AVG?
Vanaf 25 mei is de nieuwe Algemene Verordening Gegevensbescherming van kracht, ook wel afgekort tot AVG. Vanaf die dag geldt in de hele EU dezelfde privacywetgeving en de Wet Bescherming Persoonsgegevens zal dan ook komen te vervallen. Veel mensen vragen zich af wat het verschil is tussen de AVG en de GDPR, maar dit is slechts een taalkwestie. GDPR is namelijk de Engelse afkorting voor de verordening en staat voor General Data Protection Regulation.

Wat houdt de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG / GDPR) in voor je website of webshop?
Er zijn diverse dingen waar je rekening mee moet gaan houden. Wanneer je gegevens van anderen vraagt om die te gebruiken, dan is het belangrijk dat je hiervoor expliciete toestemming krijgt van de persoon waar het om gaat. Hierbij wordt ernaar gekeken of die persoon daarbij zelf een handeling uitvoert. Denk daarbij aan het aanvinken van een vakje. Bovendien mag diegene op elk moment de gegevens inzien, wijzigen of verwijderen. Niet in alle gevallen heb je overigens toestemming van de gebruiker nodig. Wanneer je bijvoorbeeld een verkoopovereenkomst met iemand aangaat, dan heb je op rechtmatige grondslag recht om de gegevens van deze klant te verwerken.

Check je formulieren
Om te zorgen dat er geen problemen optreden met de verwerking van de persoonsgegevens onder de nieuwe regelgeving is het natuurlijk een must om aan de bron te beginnen. Vraag uitsluitend die gegevens op die je ook nodig hebt. Zijn jouw formulieren op dat punt in orde? Als je gevoelige informatie nodig hebt, kun je je afvragen of je die niet beter op een minder gevoelige route kan verzamelen dan via je website. Komen er formulieren per mail binnen met gevoelige persoonsgegevens en worden ze niet opgeslagen in een database dan kun je voldoen met een melding in je formulier of privacy statement dat je de gegevens alléén voor communicatie met je klant gebruikt en de informatie niet deelt met derden. Als persoonsgegevens via het formulier in een online database worden opgeslagen of als je gegevens gaat delen met derden, dan moet je expliciet vragen om toestemming in het formulier en het akkoord vinkje mag niet van te voren aangezet worden. Kortom: check al je formulieren goed op actualiteit en beoordeel de routes waarop persoonsgegevens binnenkomen en worden opgeslagen.

Voorbeeld tekst voor standaard formulieren:
NB Wij gebruiken de verstuurde informatie alleen om u te helpen met uw vragen. Wij delen uw gegevens niet met derden.
Voorbeeld tekst voor formulieren waarbij gebruik wordt gemaakt van (online) database en delen van info met derden of subverwerkers:
NB Wij gebruiken de verstuurde informatie om u te helpen met uw vragen en delen deze gegevens indien nodig met derden. Door het aanvinken van het vakje geeft u aan dat u akkoord bent met deze voorwaarden. Bekijk ons Privacy Statement.

Een verwerkingsovereenkomst: wat is het en met wie moet je die afsluiten?
Mogelijk zijn er nu ook al eventueel verwerkingsovereenkomsten die je hebt gesloten met bijvoorbeeld een internet marketingbedrijf of een hostingbedrijf. In de nieuwe regelgeving gaat het vooral over de doelverbinding en het inschakelen van subverwerkers. Als een internet marketingbedrijf bijvoorbeeld informatie krijgt met betrekking tot de persoonsgegevens, mogen die alleen worden gebruikt voor het doel dat is gesteld. Ieder ander gebruik is dus verboden. Als er subverwerking plaatsvindt van persoonsgegevens, dan mag dat alleen op basis van dezelfde afspraken als de verwerker zelf heeft gemaakt. Voor subverwerking van persoonsgegevens door derden moet je dus expliciet toestemming vragen. Wanneer je deze overeenkomsten niet helder vermeld op je website, riskeer je hoge boetes.

Hoe moet je het Privacy Statement inhoudelijk aanpassen?
Een belangrijk onderdeel van een privacy statement is dat de gebruiker er dus op gewezen wordt dat gegevens worden verzameld en dat de gebruiker ook weet dat het mogelijk is om zich af te melden, als men niet wil dat deze gegevens gebruikt of gedeeld worden met derden. Verder moet worden toegelicht hoe het gebruik van cookies kan worden uitgeschakeld en welke cookies de website gebruikt.

De privacy statement dient verder aan een aantal duidelijke eisen te voldoen:
– Beknopt
– Transparant
– Begrijpelijk
– Gemakkelijk toegankelijk
Om persoonsgegevens te kunnen verwerken dient er hiervoor altijd een wettelijke basis te zijn. De regels hieromtrent zijn opgenomen in de GDPR/AVG.

Wat is een cookie eigenlijk?
Via een cookie kan het gedrag van iedere internetgebruiker gevolgd worden. Het zijn eigenlijk kleine tekstbestandjes die op jouw apparaat of browser worden opgeslagen. Op die manier kan er door de website die je bezoekt naar je internetgedrag gekeken worden.

Welke soorten cookies zijn er?
Er zijn diverse soorten cookies. Allereerst is er verschil tussen first party en third party cookies. De eerste worden door de website zelf geplaatst en zijn vaak vooral functionele cookies. Een functionele cookie wordt gebruikt om de site optimaal te laten werken. Een third party cookie wordt, zoals de naam ook al zegt, door derde partijen geplaatst. Denk hierbij aan analytische cookies, bijvoorbeeld van Google Analytics. Vergeet ook de tracking cookie, ook wel marketing cookie of commerciële/sociale media cookie, niet, waardoor je bijvoorbeeld advertenties van bepaalde bedrijven ineens op social media, zoals Facebook, ziet verschijnen. Verder zijn er nog allerlei soorten cookies die bijvoorbeeld bedoeld zijn om de website zelf te verbeteren, zoals de Flash cookie.

Cookies voor commerciële doeleinden en voor sociale media
Laten we even inzoomen op de tracking cookie ofwel commerciële cookie. Tracking cookies zijn speciaal bedoeld voor commerciële doeleinden. Je surfgedrag wordt gevolg en de websites pikken precies op waar jij naar op zoek bent. Daar worden de advertenties die jij te zien krijgt op aangepast. Cookies voor sociale media hebben een ander doel. Via een cookie kunnen zij onder andere ‘zien’ met welk account jij bent ingelogd op het sociale netwerk. Zo kun je gebruikmaken van de buttons op de website om een bepaalde pagina te delen op een van je social-media-accounts, zoals Twitter, Youtube, Pinterest en Facebook. Deze bedrijven kunnen jou via de cookie herkennen wanneer je het bericht deelt en krijgen zo ook informatie over de pagina die jij deelt. De afzonderlijke bedrijven hebben allemaal privacyverklaringen hierover opgesteld.

De praktische toepassing van de cookiewet
Waar je in het begin nog vooral de keuze zag tussen ‘ja, ik ga akkoord’ en ‘lees meer…’ als het om cookies ging, wordt ook dat vandaag de dag uitgebreid. Zo zijn er websites waar je aan kunt geven of je ook toestemming geeft voor het verzamelen van commerciële cookies ofwel advertentie cookies en sociale media cookies, naast de toestemming voor de functionele cookies. Op mijn eigen website www.leesberg.nl zie je hier een goed voorbeeld van. In werkelijkheid zullen consumenten hier weinig gebruik van maken en voornamelijk gewoon verder klikken op je website zonder de instellingen te wijzigen of op te slaan. In de praktijk is het bijna ondoenlijk voor de Autoriteit Consumenten Markt (ACN) om alle websites en webshops te controleren op handhaving van de wet, echter als je concurrent zich voordoet als consument en een klacht indient, dan loop je kans op hoge boetes.

Handhaving en controle cookiewet
Volgens de Autoriteit Consumenten Markt (www.acm.nl) hebben ze de top 100 van grootste websites in Nederland afgelopen jaar begeleid met het toepassen van de nieuwe privacywetgeving AVG / GDPR. Bij websites als bol.com heb je (op dit moment) de cookie instellingen gewoon te accepteren en kun je deze dus in het geheel niet weigeren of aanpassen. Wel kun je de cookies bekijken in de zeer uitgebreide Privacy Statement van Bol.com. Bij de nieuwswebsite www.nu.nl, die voornamelijk afhankelijk is van advertentie-inkomsten, is dit wel goed geregeld en kun je zelf de cookie instellingen aanpassen en bewaren.

Consumenten en cookies in de praktijk
In de praktijk zullen consumenten snel kiezen om de website verder te bekijken zonder de cookies te accepteren, te weigeren of handmatig aan te passen. Daarnaast is het voor consumenten zeer ingewikkeld om in browsers te controleren, welke cookies zijn geplaatst en hoe je deze cookies kunt verwijderen. Vooral bij Google Chrome zit dit behoorlijk verstopt in de instellingen, waarschijnlijk omdat Google grotendeels afhankelijk is van hun advertentie-inkomsten. Wellicht worden in de toekomst de browsers nog aangepast, zodat de consument eenvoudig de cookie instellingen kunnen aanpassen aan hun eigen wensen. De wetgeving zorgt uiteraard voor meer transparantie en beschermt de privacy van de consument, maar de wetgeving is complex en ingewikkeld en daardoor praktisch moeilijk toepasbaar voor bedrijven.

Ben jij al voorbereid op de nieuwe cookiewet AVG/GDPR?
Is jouw website of webshop al klaar voor de veranderingen door de nieuwe cookiewet? Neem geen risico en voorkom hoge boetes. Wil jij er zeker van zijn dat jij niets over het hoofd hebt gezien en dat jouw website aan de voorwaarden voldoet? Neem dan contact met ons op voor meer informatie.