Op 25 mei komt er in Nederland een nieuwe privacywet genaamd Algemene Verordening Gegevensbescherming (AVG). Deze nieuwe privacywet gaat grote impact hebben op iedereen die een eigen bedrijf heeft en daarvoor een site heeft. Voldoet u al aan de eisen van de AVG? In dit bericht worden een aantal aandachtspunten naar voren gebracht, om beter om te gaan met de beveiliging en privacy van uw website.
Let wel op: Dit bericht is geschreven na het lezen van diverse berichten over dit onderwerp met als doel om eigen klanten te informeren over deze nieuwe wetgeving.
Beveiliging van uw computer en smartphone
Het beveiligen begint met de bestanden op uw eigen -werk- computer en mobiele telefoon. Bijv. de telefoonnummers van uw klanten zijn namelijk persoonsgegevens die onder de nieuwe wet vallen, maar ook kunt u deze verwerkt hebben in bedrijfsdocumenten. Het is daarom aan te raden om dit te beveiligen. Een aantal tips:
- Beveilig uw computer met een wachtwoord, die ingevoerd dient te worden bij het aangaan van de computer of uit slaapstand komt;
- Gebruik een sterk wachtwoord
- Zorg ervoor dat uw computer encrypted is
- Een goede firewall, malware en anti-virus software
- Maak geen gebruik van openbare WIFI-spots zonder VPN
Dit zijn geen bijzondere maatregelen voor u om te nemen.
Sterke wachtwoorden en/of het gebruik van een wachtwoordmanager
Vaak komt het nog wel voor, een zwak wachtwoord voor het gebruik van online diensten. Denk aan een wachtwoord als bijv. “Dennis18”. Heeft u dit zelf ook? Het hebben van een zwak wachtwoord, is uw website niet alleen onveilig, maar bijvoorbeeld ook uw e-mailaccount als u daarvoor hetzelfde wachtwoord hanteert.
Het advies om te zorgen dat u een random – sterk – wachtwoord heeft van minstens 16 karakters. Hiervoor kunt u gebruik maken van een Password Manager. Met een Password Manager hoeft u slechts 1 sterk wachtwoord te onthouden voor meerdere sterke random wachtwoorden voor al uw accounts. Daarnaast kunt u ook razendsnel inloggen dankzij een browser extensie. Zeker een aanrader!
Heeft u bezwaren tegen een Password Manager? Dan kunt u ook op een geheel offline manier toch een relatief veilig en makkelijk te onthouden uniek wachtwoord verzinnen voor elke site waar u een account voor heeft. Een voorbeeld: Gebruik songteksten van favoriete muziek.
2-factor authenticatie wachtwoord
Tegenwoordig is een sterk niet meer voldoende. Stel dat uw wachtwoord toch bekend is, dan kan iedereen zomaar inloggen op uw account(s). Een 2-factor Authenticatie op de belangrijkste online software is zeker handig in dergelijke gevallen. Dat is een combinatie van een wachtwoord plus een andere manier van inloggen. Denk bijvoorbeeld aan inloggen bij Belastingdienst met uw DigiD plus sms code.
In WordPress kunt u hiervoor ook gebruik maken van de iThemes Security Pro Plugin.
Informeer uw klanten over hun privacy op uw website
Op de website van uw bedrijf bent u wettelijk verplicht uw klanten en bezoekers duidelijk te informeren over welke privacy gevoelige gegevens u verzamelt en met welk doel. Ook als u alleen hun gegevens vastlegt in uw klantenbestand. Heeft u een website? Dan dient u wel een privacy verklaring op te stellen op uw website.
Bij de volgende website mogelijkheden dient u goed na te denken over de privacy:
- Nieuwsbrieven
- Google Analytics, die IP-adressen verzamelt
- Google Maps, die de geolocatie van uw bezoeker verzamelt;
- Embedded Vimeo of Youtube Video’s
- Facebook pixels
Wat zijn persoonsgegevens?
Alle gegevens die direct en indirect te herleiden zijn naar een persoon vallen onder deze privacywet.Denk aan Naam, E-mailadres, maar ook aan IP-adres en geolocatie (verzameld met Google Analytics cookies) of RFID tag, MAC-adres, IMEI, cookie.
Toestemming vragen voor gebruik van persoonsgegevens
Maakt u bijvoorbeeld gebruik van cookies op uw website? Heeft u een online nieuwsbrief? Zorg dan dat u altijd expliciet toestemming vraagt en hebt voordat u de gegevens gaat verzamelen of cookies plaatst. Een standaard cookiebanner waarop u meldt dat als iemand de website bezoekt impliciet toestemming geeft voor het opslaan van cookies voldoet straks niet meer bij de nieuwe privacy wetgeving.
Bij nieuwsbrieven dient u ook transparant te zijn. E-mail mensen alleen over hetgeen waarvoor ze zich hebben opgegeven en niet andere producten of diensten. U mag niet zomaar iemand toevoegen aan uw mailing lijst zonder toestemming van deze persoon. Dat u toestemming heeft gekregen dient u wel kunnen aantonen.
Stop met tracking cookies
Het is wellicht interessant om te zien wie uw website heeft bezocht, maar in hoe verre is dit belangrijk voor uw werkzaamheden? Ons advies is om alle cookies op uw website te verwijderen.
Haal de Google Analytics tracking code uit uw website, verwijder de Facebook pixels. Denk ook aan andere plugins die bijv. IP-adressen bijhoudt voor uw website. Tenzij u het echt nodig hebt, kun u het laten staan. Denk dan wel aan dat u een flinke cookiemuur voor uw website nodig heeft.
Niet zeker of u cookies hebt? U kunt het zien via de Chrome developer tools te vinden via F12 of rechtermuisknop “Inspect” (zie ook Cookielawinfo.com). Check het op alle pagina’s, bij het invullen van een formulier, het bekijken van een video of er cookies worden geplaatst.
Zorg voor goede afspraken buiten Europa
Vaak gebruikt u online Amerikaanse diensten zoals Google voor e-mail en Dropbox voor backups. In de Verenigde Staten zijn de regels voor privacy minder streng, officieel mag u met landen buiten Europa geen persoonsgegevens delen tenzij u expliciet toestemming hiervoor hebt.
De basis van de AVG is transparantie en gewone taal
Het belangrijkste binnen de AVG is dat u transparant bent over alles wat u doet tegenover uw klanten en bezoekers van de site. Dat moet u volgens de nieuwe wet wel in normale taal uitleggen, zodat iedereen het kan begrijpen.
Verzamel dus alleen de gegevens die u echt nodig hebt om uw werk te doen, beveilig die goed met wachtwoorden en 2-factor authenticatie, informeer uw bezoekers en klanten.