5 tips om je website GDPR-compliant te maken

Op 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) van kracht, dit is de Nederlandse benaming voor de General Data Protection Regulation (GDPR). De regelgeving rondom het verzamelen van persoonsgegevens wordt strenger, evenals het toezicht op deze regelgeving. Zoals te lezen in ons vorige blog, praktische informatie om GDPR-compliant te zijn als bedrijf’brengt dit voor vrijwel iedere organisatie veranderingen met zich mee.

Naast een aantal organisatorische veranderingen moeten er ook aan de klantzijde wat zaken veranderen. In de wereld van online marketing hebben we natuurlijk ook veel met persoonsgegevens te maken. In deze blog geven wij 5 tips hoe jij je website GDPR-compliant kunt maken en gegevens op een legale manier verzamelt en verwerkt:

1 – Updaten van de privacyverklaring

Een groot deel van GDPR gaat over het communiceren met gebruikers over hoe en waarom je gegevens verzamelt. Het belangrijkste is dus het bijwerken van je privacy verklaring. Leg zo duidelijk mogelijk uit welke informatie er verzamelt wordt op de website en hoe deze gebruikt wordt.  Op de website van Smith & Doe is een gratis privacyverklaring checklist te vinden die je op weg helpt.

2 – Zorg voor een goed cookiebeleid

Het is al langer verplicht om je websitebezoekers te laten weten dat er gebruik wordt gemaakt van cookies op een website. Het cookiebeleid wordt vanaf mei uitgebreid met analytische cookies. Dit wordt gebruikt door Google Analytics om je websitestatistieken te meten. De melding over het gebruik van cookies kan door middel van een pop-up op de website wanneer iemand deze voor het eerst opent, of een iets simpelere balk boven of onderdaan de pagina die verwijst naar het cookiebeleid.

Wil je geen hele lappen tekst op je website, verwijs dan naar een cookiebeleid waarin je dit vastlegt. Daarom is het verstandig om naast een privacyverklaring een cookiebeleid te hanteren.

3 – Expliciet toestemming vragen

We hebben het allemaal wel eens gezien, de al aangevinkte vinkjes bij een formulier zoals ‘Ja, ik wil de nieuwsbrief ontvangen’ die wel erg makkelijk over het hoofd te zien zijn. Dit mag niet langer. De bezoeker moet actief gevraagd worden of hij/zij zich wil aanmelden plus moet het hierbij duidelijk zijn waar de gegevens worden opgeslagen. Waar de gegevens worden opgeslagen kan worden opgenomen in de privacyverklaring, zodat deze informatie niet prominent op je website aanwezig is.

4 – E-mailbestand reviewen

Wanneer je al een bestaand e-mailbestand hebt, waarover je twijfels hebt of alle e-mailadressen in dit bestand op een wijze zijn verzameld die GDPR-compliant zijn, is het verstandig om deze te updaten. Dit kan bijvoorbeeld door het gehele bestand een e-mail te sturen waarin een persoon opnieuw op de hoogte wordt gebracht van zijn of haar inschrijving, waarbij een optie tot uitschrijven is*. De ontvangen kan er dus voor kiezen om zich uit te schrijven of niet te reageren op de e-mail. Niet uitschrijven staat dus gelijk aan het geven van toestemming voor het ontvangen van de e-mails.

*Een optie tot uitschrijven aanbieden in commerciële e-mails is overigens altijd verplicht.  

5 – Een SSL certificaat

Een technisch aspect van het GDPR-compliant maken van je website: het hebben van een SSL-certificaat. De overheid eist van jou dat je een goed SSL-certificaat gebruikt als je persoonsgegevens verwerkt. Met een SSL-certificaat wordt het dataverkeer tussen de website en de bezoeker wordt gecodeerd. Dit maakt het voor hackers lastiger om deze gegevens ‘af te luisteren’.

Er zijn drie verschillende type SSL-certificaten. Het verschil zit in de validatiemethode: hoe uitgebreider de validatie, des te completer het SSL-certificaat. De drie varianten zijn:

  • Domeinvalidatie
    Validatie op domeinnaamhouder niveau. Dit type certificaat is vooral geschikt voor situaties waarbij gegevens veilig verzonden moeten worden, maar waarbij de identiteit van de website minder belangrijk is (website achter een inloggscherm).
  • Organisatievalidatie
    Bij dit certificaat worden alle bedrijfsgegevens gecontroleerd en in het SSL-certificaat opgenomen. Dit certificaat is aan te raden voor publieke websites, meestal met een niet commercieel doeleinde.
  • Uitgebreide validatie
    Alle (bedrijfs)gegevens worden volgens uitgebreide richtlijnen gecontroleerd. Dit type certificaat is aan te bevelen aan financiële instellingen en webshops.

Naast dat het SSL certificaat onderdeel is van GDPR-compliance, is het ook bevorderend voor de SEO (zoekmachineoptimalisatie) van een website. Een van de beoordelingscriteria van Google is de gebruikersvriendelijkheid van een website. Het hebben van een SSL-certificaat brengt een stuk veiligheid voor de gebruiker met zich mee, wat door Google dus als positief wordt ervaren op het gebied van gebruiksvriendelijkheid. Naast het belang van een SSL-certificaat voor de GDPR-compliancy is het dus ook van belang voor de organische vindbaarheid van je website. Lees op deze pagina meer over het beveiligen van je website en onze bijbehorende diensten.

Wil je meer inhoudelijke informatie over de GDPR krijgen? Kom dan op 8 maart naar onze GDPR-ontbijtsessie, waar onze partner Smith & Doe (privacy expert) zal vertellen hoe je jouw bedrijf kunt klaarstomen voor de nieuwe privacywetgeving.