Privacy wet mei 2018

Op diverse manieren moet je zelf aan de slag om privacy van persoonsgegevens veilig te stellen. Als je alles gedaan hebt, beschrijf je dat in een privacyreglement, zodat bezoekers dat ook weten. Je bent vrij om dat uitgebreid op te schrijven voor je bezoekers, maar moet het zelf wel ergens opgeschreven hebben.

plugin: Ultimate GDPR Compliance Toolkit for WordPress
Akismet kan reactieformulier voorzien van Privacy waarschuwing

Zet vinkje naast Display a privacy notice under your comment forms. Standaard staat het uit:

Akismet & Privacy.

To help your site be compliant with GDPR and other laws requiring notification of tracking, Akismet can display a notice to your users on your contact form. This feature is disabled by default, however, if you or your audience is located in Europe, you need to turn it on.

[collapse]
Nieuwsbrieven via bijv MailChimp

Geïnteresseerden dienen zich in te schrijven, soms alleen met email adres, soms ook met naam en andere persoonsgegevens. Dat moet met de nieuwe wet anders: men moet weten waar men ja tegen zegt, en bij het formulier al de privacyverklaring zien. Men moet de inschrijving bevestigen en eenvoudig kunnen uitschrijven.

De website eigenaar is verantwoordelijk voor wat er verder met die gegevens gebeurt.

Wb MailChimp: volg de aanwijzingen van MailChimp. Ik werkte het een beetje uit op https://mulderitmaatwerk.nl/wordpress/mailchimp/.
Ik gebruik vaak MailChimp en dien een verwerkersovereenkomst af te sluiten met MailChimp, waarin MailChimp aangeeft hoe ze met de gegevens omgaat. Mailchimp biedt een verwerkingsovereenkomst aan voor haar gebruikers.
Verder houdt Mailchimp in haar blog gebruikers op de hoogte van haar vorderingen rond GDPR en AVG. Zie meer op: https://nicklink.nl/2018/02/28/gdpr-en-avg-bij-nieuwsbrief-mailchimp-en-google-analytics/

[collapse]
Evenementen en inschrijvingen

Op sommige websites sta ik anderen toe om een activiteit te plaatsen en om aanmeldingen voor de activiteit via e-mail te ontvangen. Ik heb ervoor gezorgd dat onder iedere bevestiging staat:
NB: in het kader van de nieuwe Europese Privacy wet vragen we je om zeer voorzichtig met deze persoonsgegevens om te gaan, door ze na het evenement te verwijderen van je computer. Tenzij je goede redenen hebt om de persoonsgegevens langer te bewaren.
Events manager pro biedt de mogelijkheid om onder ieder evenement een extra mailadres opgeven waar bevestigingen naar toe moeten worden gestuurd.

Ik heb het regeltje tekst toegevoegd bij Instellingen / emails/ E-mails naar evenementen admin/eigenaar


Geregeld dien je er zorg voor te dragen dat je oude reserveringsgegevens verwijdert. Dat gaat het makkelijkste door bij een voorbij evenement het vinkje te verwijderen dat men kan reserveren. Alle reserveringen worden dan verwijderd.

Daarnaast moeten mensen die een plaats reserveren en hun e-mail adres achterlaten, uitdrukkelijk toestemming geven door een vinkje te zetten. Ook moet de webbeheerder op iemand’s verzoek direct een overzicht kunnen geven van welke persoonsgegevens van hem/haar zijn opgeslagen . (zie https://www.lyyti.com/en/blog/event-manager-this-is-how-the-gdpr-will-change-the-way-you-work  of https://www.eventbrite.co.uk/blog/data-protection-for-event-organisers-ds00/

Bezoekers die een plaats willen reserveren dienen een vinkje te zetten naast: I consent to my submitted data being collected and stored as outlined by the site. Dit verschijnt vanzelf onderaan het reserveringsformulier. Je kan de tekst vertalen in bijvooorbeeld: Ik geef toestemming om mijn persoonsgegevens op te slaan en te gebruiken, zoals vastgelegd in %s.  (Algemeen- privacy tabje)

[collapse]
Media en foto's
  • Media: Als je afbeeldingen uploadt, moet je voorkomen dat je afbeeldingen uploadt met daarin EXIF GPS locatie gegevens. Bezoekers van de website kunnen de afbeeldingen van de website downloaden en de locatiegegevens inzien. Je kunt dit hier online checken en deze gegevens eventueel verwijderen.
  • Foto’s met persoonsgegevens: je dient toestemming te vragen als iemand herkenbaar op de foto staat. Geef de gelegenheid aan personen om hun foto te verwijderen.

Neem op in de privacyverklaring:
Media
: Als je een geregistreerde gebruiker bent en afbeeldingen naar de site uploadt, moet je zelf voorkomen dat je afbeeldingen uploadt met daarin EXIF GPS locatie gegevens. Bezoekers van de website kunnen de afbeeldingen van de website downloaden en de locatiegegevens inzien. Je kunt dit hier online checken en deze gegevens eventueel verwijderen.
NB: als wij foto’s plaatsen vragen we je toestemming hiervoor als je herkenbaar op een foto staat. Sta je op een foto en wil je die foto verwijderd hebben? Neem dan contact met ons op, dan zorgen we daarvoor.

[collapse]
Functionaris gegevensbescherming

Dit is alleen onder bepaalde omstandigheden vereist.

https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/avg-guidelines

In dat geval moet die functionaris zich ook aanmelden. Men kan zich ook aanmelden terwijl het niet verplicht is.
Je zou kunnen schrijven:

Organisatie xxx is nog niet verplicht een Functionaris Gegevensbescherming aan te stellen.  Persoon yyy is niet officieel aangemeld als Functionaris Gegevensbescherming.

Of de term Functionaris Gegevensbescherming helemaal weglaten.

[collapse]
diverse vragen over de wet vanuit juridisch oogpunt

https://blog.iusmentis.com/?s=avg {/spoiler]

Google analytics
[collapse]

Zie hier wat je kan doen om te voldoen zonder cookie waarschuwing te moeten plaatsen:
https://rsnijders.info/vakblog/2015/01/17/bloggen-en-de-wet-google-analytics/
en https://www.marketingportaal.nl/online-marketing/google-analytics-cookiewet

[collapse]
Contactformulieren
  • Aanwijzingen contactform 7
    Voeg aan ieder contactformulier een acceptatievinkje toe en geef uitleg waarom we deze persoonsgegevens nodig hebben.
    tabje aanvullende instellingen: acceptance_as_validation: on
    Formulier: [acceptance accept-this-1] Ik stem ermee in dat Eetbaar Nijmegen mijn e-mailadres bewaart zodat zij mijn vraag om informatie kan behandelen. Bekijk onze <a href=”https://eetbaarnijmegen.nl/privacy/”>privacyverklaring<a/> om te zien hoe we met je persoonsgegevens omgaan. [/acceptance]Het ziet er dan zo uit: wie geen vinkje plaatst naast rode pijl (door mij ingetekend), krijgt de waarschuwing dat hij dit vinkje wel moet zetten om door te gaan.
  • DIVI: voeg een checkbox toe, verplicht veld. Met een tekst als: ik stem ermee in, dat ..

  • Gebruik eventueel de plugin WP GDPR. Deze maakt een pagina aan, zie verder https://wp-gdpr.eu/add-ons/contact-form-db-7-addon/. Lijkt me nuttig als je veel reacties hebt en bezoekers snel wil kunnen tonen wat ze geschreven hebben en hoe ze dit kunnen verwijderen. Niet gratis.

[collapse]
Backup persoonsgegevens
  • Welke maatregelen neem je met backups?

    Uit een artikel (niet meer online): Als je bijvoorbeeld klantgegevens verzamelt om als webwinkel een aankoop aan te nemen, dan zijn deze gegevens niet meer noodzakelijk voor het doel “leveren bestelling” zodra het product bij de klant over de drempel is. Eigenlijk moeten ze dus meteen daarna worden gewist.Maar persoonsgegevens hangen vaak samen met meerdere doelen. Na levering van een product geldt bijvoorbeeld nog een retourperiode van zeven werkdagen, en de klant kan nog geruime tijd later terugkomen met een conformiteitsclaim. Om die af te handelen, zijn ook zijn gegevens nodig. En omdat er dan nog een doel is voor de persoonsgegevens, mag je ze alsnog bewaren.
    De Belastingdienst eist dat je je financiële administratie zeven jaar bewaart (art. 52 Algemene wet inzake rijksbelastingen). Dat is een doel dat ook samenhangt met de afhandeling van de aankoop, want de factuur is deel van je administratie. Die moet je dus bewaren en die mág je dan ook bewaren.In de praktijk moet je dus eigenlijk per document bepalen “waarom staan hier nog persoonsgegevens in” en dan eventueel besluiten te anonimiseren of weg te gooien. Je kunt bv. de factuur bewaren maar het klantrecord uit je bestellingen-database wissen.Bij een backup is dit een lastige. Het is inderdaad een hele berg werk om in een backup van een jaar terug dat ene bestandje met bestelling van klant 481 te wissen. De Wbp zegt echter nergens “wissen hoeft niet als dat veel werk is”. En vanuit privacyoogpunt is “dan moet je je backupstrategie maar anders inrichten” een goed verdedigbaar standpunt.Maar een lastige blijft het. Weten jullie een backupstrategie die zo privacyvriendelijk mogelijk is? Ik kom niet verder dan “maak geen incrementele backups want dan zit je met een hele oude full backup met data die krachtens Wbp weg moet”.


    uit: https://veiliginternetten.nl/privacyverklaring-generator-start/generate/#start
    Het bepalen van bewaartermijnen is lastig. Bepaal per gegevenscategorie hoe lang het voor jouw bedrijf noodzakelijk is om de persoonsgegevens te bewaren. Hou daarbij altijd in gedachten dat je de gegevens echt nodig hebt, niet dat het leuk of handig is om ze te hebben of dat ze in de (verre) toekomst mogelijk nog van pas zouden kunnen komen. Heb je bijvoorbeeld een website met accounts voor klanten? Verwijder dan accounts die al twee jaar inactief zijn en waar je een herinnering naar hebt gestuurd waar nooit op is gereageerd. Ontvang je CV’s en motivatiebrieven van sollicitanten en sla je deze op? Verwijder bij een afwijzing alle documenten (en persoonsgegevens) na 4 weken. Oók de e-mails waarin deze gegevens staan.

    [collapse]
backup website

Je website moet goed beveiligd zijn en in geval van nood, moet je een backup kunnen terugzetten. Bevat je website persoonsgegevens, dan heb je ook te maken met het privacybeleid en een verwerkerscontract van de backupinstantie. Dropbox business heeft zo’n overeenkomst wel, de gratis Dropbox personal niet. Je kan wel maatregelen nemen bij de gratis versie. Zoals een beveiligings checkup: https://www.dropbox.com/security_checkup. Lees meer over de veiligheid van Dropbox op https://www.comparitech.com/blog/cloud-online-backup/make-dropbox-more-secure/
Google drive biedt geen contact, Google Cloud wel.
Sla je de data op een externe harde schijf op, denk dan aan encryptie en beveiliging met een wachtwoord. Gratis met Bitlocker (zit in windows 10)
Andere betaalde diensten: https://www.exlade.com/en/disk-password-protection/ (€39, eenmalig)  en https://store.newsoftwares.net/

[collapse]
Stel een privacy reglement op waarin je aangeeft welke gegevens je verwerkt en waarom en hoe en door wie nog meer
  • Uit https://nicklink.nl/2018/02/28/gdpr-en-avg-bij-nieuwsbrief-mailchimp-en-google-analytics/
    De GDPR en AVG stelt de volgende eisen aan de inhoud van een privacy statement:

    • het is duidelijk wie de verwerkingsverantwoordelijke is, en hoe deze te bereiken is
    • het doel van de verwerking wordt aangegeven
    • de wettelijke grondslag waarop gegevens worden verwerkt is aangegeven. In het geval van Mailchimp en Google zal het vaak gaan om ‘ondubbelzinnige toestemming’ als grondslag
    • verwerkers die gegevens ontvangen, in dit geval Mailchimp en/of Google, worden vermeld
    • aangegeven wordt dat data buiten de EU wordt gebracht
    • hoe lang de data bewaard wordt, of de richtlijnen die daarvoor worden gebruikt, is benoemd
    • als geautomatiseerde besluitvorming (bijvoorbeeld profilering) wordt gebruikt, dan is dat aangegeven
    • de rechten van betrokkenen zijn vermeld. Waaronder het recht om de toestemming in te trekken en/of een klacht in te dienen bij een toezichthouder

    Laatste stap is nu je bezoekers akkoord te laten gaan met het privacystatement via een ‘actieve handeling’. Zoals het aanvinken van een checkbox of aanklikken van een button.

  • Tenslotte moet je toestemming vragen aan de lezers van je nieuwsbrief.
    Wb de nieuwsbrief/mailchimp: je kan hen vragen om zich opnieuw aan te melden als ze de nieuwsbrief willen blijven ontvangen. Dit lijkt alleen verplicht als het gaat om reclame voor producten. niet als het om een nieuwsbrief gaat.
    Op http://www.fireflycomms.com/2017/08/17/re-consenting-mailchimp-lists-ahead-gdpr/ staat een suggestie om dit voor elkaar te krijgen. Lees ook de discussie.
    (zie ook https://kb.mailchimp.com/lists/manage-contacts/reconfirm-a-list)
    Bijvoorbeeld zo:

    • maak in mailchimp een export bestand van de lijst met al je adressen die niet ingeschreven waren via hosted sign up form + die waren gesubscribed. (Doe dit via segment: maak een segment en exporteer het als excel)
    • verwijder al deze adressen van je lijst in Mailchimp
    • maak een inschrijf formulier zoiets als deze, voor de oorspronkelijke lijst
    • plaats op het formulier ook het linkje op je privacypagina. In het bovenste deel kan je een hyperlink plaatsen.
    • maak een nieuwe tijdelijke lijst, en kopieer hier de adressen uit je excellijst naar toe.
    • Stuur vanuit Mailchimp de nieuwsbrief en stuur ze aan de emailadressen van de tijdelijke lijst.
    • De contacten die zich wel goed hadden ingeschreven stuur je een andere mail: verzoek hen slechts hun profiel te updaten. zie uitleg
[collapse]

Website veilig?

Check het op https://www.internet.nl/

Privacy generator

https://veiliginternetten.nl/privacyverklaring-generator-start/generate/#start

Uiteindelijk effect voor de burger? minder reclame… zie https://nos.nl/artikel/2214347-campagne-laat-zien-wat-de-nieuwe-privacywet-voor-je-betekent.html

https://www.nrc.nl/nieuws/2018/05/24/mag-je-sportvereniging-nog-wel-fotos-van-jou-online-publiceren-a1604188

https://decorrespondent.nl/8291/dit-moet-je-weten-over-de-nieuwe-privacywet/2405566094932-0fff3cce