Voldoet uw website aan de eisen die de GDPR wetgeving voorschrijft? Deze wet wordt op 25 mei 2018 in de EU van kracht. Hieronder staan 10 wijzigingen die u door zou moeten voeren binnen uw website om te voldoen aan de wetgeving, en om uw bezoekers tevreden te houden.
Goed om te weten: De General Data Protection Regulation (ofwel GDPR) wordt op 25 mei van kracht. De Nederlandse variant is de Algemene Verordening Gegevensbescherming (AVG).
In deze blog willen we vooral aandacht besteden aan hoe u uw website GDPR compliant kunt maken. Daarbij ziet u concrete aanbevelingen van specifieke wijzigingen die u in uw website moet aanbrengen.
De GDPR zal een grote impact hebben op webdesign, en dan vooral op het online marketing aspect waarbij interactie met de bezoeker plaatsvindt, zoals (contact)formulieren, email marketing, social media en e-commerce activiteiten.
In het algemeen gaat het er bij al deze aanbevelingen om dat het concept van toestemming geven gebeurt op vrijblijvende, specifieke wijze. De wetgeving hieromtrent wordt verder versterkt met nieuwe regels en betekent dat bedrijven als de uwe meer transparantie moeten bieden.
Hierna volgen 10 stappen die u nader zou moeten bestuderen ten aanzien van uw website. Overleg de te nemen stappen met uw webdeveloper.
Heeft u vragen of wilt u een GDPR website analyse en compliance implementatie, klik dan hier.
Laten we beginnen met de relatief eenvoudige wijzigingen en vervolgens de meer complexe issues bekijken.
1. Formulieren: Actieve Opt-In
Formulieren die bezoekers uitnodigen om in te schrijven voor nieuwsbrieven, of anderszins contact voorkeuren aangeven moeten standaard niet-aangevinkt zijn of op ‘nee’ staan. Check de formulieren op uw website om te zien of u hieraan voldoet.
Als voorbeeld ziet u hier een bedrijf dat het verkeerd doet. Bij het huidige registratie formulier staat de opt-in vinkbox vooraf aangevinkt en dwingt de bezoeker om actief opt-out te klikken. Dit moet standaard uitgevinkt staan vanaf mei.
2. Ongebundelde Opt-In
De toestemming die u vraagt voor bepaald gebruik van data moet gescheiden zijn van de acceptatie van Algemene Voorwaarden.
In het volgende voorbeeld ziet u een voorbeeld van ongebundelde opt-in. Dit bedrijf laat in het formulier duidelijk een scheiding zien tussen acceptatie van hun ‘Terms & Conditions’ (Algemene voorwaarden) en de toestemming voor het toezenden van informatie / aanbiedingen.
Het is jammer dat het bedrijf niet de optie bood om de contactvoorkeuren specifieker aan te geven. bijvoorbeeld voor contact per email, telefonisch of per post.
3. Specifieke Opt-In
Bezoekers zouden in staat moeten zijn om separaat toestemming te kunnen geven voor verschillende wijzen van contact.
In dit voorbeeld vraagt deze organisatie om specifieke toestemming voor elk type communicatie (per post, via email, per telefoon) en vraagt daarnaast om toestemming om gegevens door te mogen geven aan een derde partij.
4. Eénvoudig toestemming intrekken of Opt-Out mogelijkheid
Het moet eigenlijk net zo eenvoudig zijn om toestemming in te trekken als het is om te geven en de gebruiker moet altijd op zijn recht op het intrekken van toestemming gewezen worden.
Met betrekking tot de gebruikerservaring op uw website betekent dit het selectief wijzigen van de toestemming-voorkeuren in specifieke vormen van communicatie:
Ook moet de frequentie van de communicatie aan te passen zijn, of de communicatie te stoppen zijn:
5. Derde partijen noemen
Uw webformulieren moeten helder weergeven voor welke partij toestemming wordt gegeven voor het gebruik van gegevens. Het is niet meer genoeg om deze partijen als ‘derde partijen’ aan te duiden. Deze ‘derden’ dienen bij naam genoemd te worden.
In dit voorbeeld is te zien dat apart voor elk van de drie partijen toestemming gegeven kan worden voor communicatie.
Wat er niet goed is aan dit voorbeeld is dat de voorkeuren op opt-out staan en niet opt-in.
6. Privacymelding / Privacyverklaring en Algemene voorwaarden
Hier vind u een privacymelding die u kunt gebruiken op uw website. Deze privacymelding is beknopt, transparant en toegankelijk.
Daarnaast moet u uw privacy verklaring en algemene voorwaarden uitbreiden met artikelen die refereren aan de regelgeving in de GDPR. U moet transparant zijn over wat er gebeurt met de gegevens van de gebruiker zodra u deze ontvangt. Ook hoe lang u deze gegevens opslaat en waar u deze gegevens opslaat. Staan ze bijvoorbeeld op een server binnen uw kantoorpand of staan ze ook op een webserver op een andere plek. Dat is geheel afhankelijk van welke software u binnen uw website gebruikt om deze gegevens te verzamelen. Check daarom goed wat voor webformulieren u gebruikt op uw website.
Ook moet u altijd communiceren hoe en waarom u data verzamelt. In uw privacyverklaring moet u opnemen welke diensten u gebruikt om gebruikersinteractie te monitoren. Dat kan bijvoorbeeld marketing automation software zijn of Google Analytics.
7. Online betalingen
Als u een e-commerce bedrijf bent met een webshop, maar ook als u naast uw core business een e-commerce functionaliteit op uw website actief heeft, dan maakt u waarschijnlijk gebruik van een payment provider voor de financiële transacties. Het kan zijn dat uw website daarbij persoonsgegevens verzamelt, voordat deze gegevens worden doorgestuurd naar de payment provider.
Als dat het geval is, en uw website slaat deze persoonlijke gegevens op nadat de informatie is doorgestuurd, dan zou u uw web proces moeten (laten) aanpassen zodat persoonlijke informatie na een bepaalde periode gewist wordt, bijvoorbeeld 80 dagen. De GDPR wetgeving vermeld niet het exacte maximale aantal dagen voor de opslag van de gegevens. Het wordt aan u overgelaten om uit te kunnen leggen welke periode redelijk en noodzakelijk is.
8. Tracking software van derden
Gebruikt u tracking- of monitoring-software van derden op uw website? Dan worden zaken met betrekking tot compliance met de GDPR wat complexer.
Vele websites maken gebruik van marketing automation software op hun website. Het hierbij gaan om leadtracking applicaties zoals Leadfeeder, Lead Forensics, CANDDI of de grotere pakketten zoals: Act-On, Active Campaign, Marketo, Sharpspring, HubSpot, Infusionsoft, Salesforce Pardot, Eloqua en Ontraport. Maar bijvoorbeeld ook open source marketing automation software zoals Mautic.
Het gebruik van deze applicaties voor tracking, monitoring en profiling doen een aantal interessante vragen rijzen met betrekking tot GDPR compliance. Het is in ons opzicht een grijs gebied. De applicaties volgen de gebruiker op manieren waarvan hij dat niet verwacht en waarvoor hij geen toestemming gegeven heeft. Elke keer als ik terugkom op uw website, of een specifieke pagina bekijk, wordt mijn surfgedrag gevolgd (en eventueel d.m.v. leadscoring punten aan mijn tracking id toegekend)
Hoe dan ook, de aanbieders van marketing automation software verzekeren ons dat zij GDPR compliant zijn.
Aanbieders zoals CANNDI adviseren daarbij dat gebruik van duidelijke banners / bars / meldingen dat cookies gebruikt worden op de website aanbevolen is.
De aanbieders van marketing automation software zijn er zeker van dat zij compliant zijn met de GDPR wetgeving. Maar wanneer de software iets illegaals doet dan is het uw verantwoordelijkheid als Data Controller. De echte vraag is waar de exacte compliance risico’s zitten bij het gebruik van deze software en hoe u als eindgebruiker deze risico’s voor uzelf kunt verkleinen. Er zijn vele verschillende aanbieders van marketing automation die verschillende pakketten met diverse functionaliteiten bieden. Uw GDPR compliance risico’s zijn dan ook sterk afhankelijk van welke software u gebruikt en welke functies daarvan actief zijn. Uw online marketing processen dienen dus goed in kaart te worden gebracht. Daarnaast is het van belang dat u het contract dat u met de software aanbieder gesloten heeft nog eens goed bekijkt.
9. Google Analytics en Google Tag Manager
Bent u geïnteresseerd in Google’s perspectief op de GDPR, neem dan een kijkje op deze website: How Google complies with data protection laws
Vele websites gebruiken Google Analytics om gedrag van bezoekers te volgen. Google Analytics is altijd een anoniem tracking systeem geweest. Er wordt geen ‘persoonlijke data’ van gebruikers verzameld. GDPR heeft hier in direct zin naar ons idee weinig mee van doen. Uiteraard is het wel goed om gebruik ervan te vermelden in uw Privacyverklaring.
Met betrekking tot Google Tag Manager; het is een krachtige tool die het mogelijk maakt om uw website informatie door te laten sturen naar applicaties van derden d.m.v. stukjes code. U kunt uw eigen data repository integreren, maar tevens externe remarketing en retargeting systemen en vele andere applicaties. Met betrekking tot Google Tag Manager is het van belang dat u een contract heeft met degenen die u toegang geeft tot Tag Manager (externe kan dat uw online marketing bureau of uw webdesigner zijn) om zeker te zijn dat zij op de hoogte zijn van hun wettelijke verantwoordelijkheden als ‘data processor’ namens u als ‘data controller’.
Het komt er dus op neer dat de nieuwe GDPR verlangt dat de derde partijen die uw data verwerken ‘data processors’ geïdentificeerd en gedocumenteerd worden en dat u overeenkomsten sluit met deze partijen zodat verantwoordelijkheden van ieder duidelijk zijn vastgelegd. .
10. Het is niet alleen uw website die GDPR compliant moet zijn.
De wetgeving heeft betrekking op uw gehele bedrijfsvoering. In dit artikel richten we ons alleen op het online marketing aspect van uw bedrijfsproces.
Neemt u uw website tot in detail onder de loep dan er zijn vele zaken te overwegen omtrent GDPR compliance. Er zijn een enkele belangrijke kwesties te noemen die aandacht verdienen in het licht van de naderende deadline:
- U heeft waarschijnlijk vele persoonlijke gegevens opgeslagen op diverse plaatsen binnen uw bedrijf. Heeft u gedocumenteerd waar, welke gegevens opgeslagen zijn?
- Moet u de toestemming nog krijgen voor de persoonlijke data die u in bezit heeft of moet deze nog opnieuw verkregen worden?
- Heeft u beleid gedefinieerd voor hoe lang u persoonlijke data bewaart, zodat u deze niet ‘onnodig’ in bezit houdt.
- Wordt de data veilig opgeslagen met daarbij technologie en de menselijke factor in ogenschouw genomen?
- Of u nou een data processor of een data controller bent, beschikt u over de juiste overeenkomsten voor deze verstandhouding?
Deze vragen zijn voor de GDPR deadline het meest van belang om een antwoord op te hebben.
