Nieuws
Proud Nerds
De AVG, daar bescherm je persoonsgegevens mee
Allereerst, het kan niet missen, de privacywetgeving AVG. IN 2018 werd de Algemene verordening gegevensbescherming in het leven geroepen. Die heeft alles te maken met het rechtmatig omgaan met persoonsgegevens.
Voor wie relevant?
De AVG geldt voor íedereen die gegevens verwerkt. Bij een website heb je daar al heel snel mee te maken. Je verzamelt gegevens wanneer mensen zich voor een nieuwsbrief inschrijven. Bij reactiemogelijkheden en (contact)formulieren verwerk je persoonsgegevens. En ook wanneer je plugins op je website hebt voor social media like- of deelknoppen, dan moet jíj jouw bezoekers toestemming laten geven dat deze bedrijven hun gegevens verzamelen. Gebruik je Google Analytics en dus cookies? Yep, ook hier: persoonsgegevens. En zo kunnen we nog wel even doorgaan.
Wat is een verwerking?
We hebben het steeds over ‘verwerkingen’, maar wat bedoelen ze daar eigenlijk mee? Een verwerking is in feite alles wat je doet met een persoonsgegeven. Dus opslaan, inzien, aanpassen, verwijderen, versturen, een back-up maken en ga zo maar door. Houd deze stelregel maar aan: als je twijfelt of het een verwerking is, dan is het een verwerking. Zit je altijd goed.
Wat is een persoonsgegeven?
Ook de term ‘persoonsgegeven’ moet je erg letterlijk nemen. Als iets ook maar in de kleinste mate met een persoon te maken heeft, dan is het al een persoonsgegeven. Denk aan namen, adressen, maar bijvoorbeeld ook identificatiecookies.
De essentie van AVG Waar het op neerkomt bij de AVG is…
- dat je in control bent van de persoonsgegevens die je verwerkt;
- dat je transparant bent naar de personen waarvan jij persoonsgegevens verwerkt;
- dat je aan de slag gaat met de verzoeken van die de personen waarvan jij persoonsgegevens verwerkt;
- dat je goede afspraken maakt met andere partijen waarmee je persoonsgegevens deelt;
- en dat je je beveiliging goed op orde hebt.
Checklist AVG
Concreet moet je het volgende doen om je website te laten voldoen aan de AVG…
-
Plaats een duidelijke privacyverklaring
In een privacyverklaring moet je in heldere taal duidelijk maken welke gegevens je verwerkt via de website, waarom je dit doet, hoe lang én hoe je de beveiliging hebt geregeld. Vermeld ook welke rechten de betrokkenen hebben en hoe ze contact met je organisatie kunnen opnemen. -
Publiceer je cookiestatement
Je moet goede redenen hebben om persoonsgegevens te verwerken. Een koopovereenkomst is bijvoorbeeld zo’n gegronde reden. Wanneer je geen goede reden hebt -als je reclame wilt sturen, of persoonsgegevens via cookies verwerkt bijvoorbeeld- dan heb je toestemming nodig van de betrokkenen en moet je ze op transparante wijze informeren. Dat doe je met een cookiestatement op de website. Hierin leg je uit wat cookies zijn en hoe bezoekers deze kunnen in- en uitschakelen. -
Neem veiligheidsmaatregelen
De AVG verplicht je om persoonsgegevens adequaat te beveiligen. Je wilt natuurlijk niet dat de persoonsgegevens die jij via jouw website verwerkt, worden gestolen of op andere manier worden misbruikt. Je kunt daarvoor verschillende veiligheidsmaatregelen treffen. Bijvoorbeeld door een SSL/TLS-certificaat te activeren: een protocol dat informatie tussen de bezoeker en de website versleutelt. Je herkent dit certificaat aan de https in de url en aan het slotje in de adresbalk.
We raden je ook aan altijd je CMS up-to-date te houden. Hackers zijn altijd op zoek naar lekken in je systeem. Door je CMS, plugins en themes regelmatig te updaten, wordt de kans dat je site gehackt wordt aanzienlijk kleiner. Ontstaat er ondanks je voorzorgsmaatregelen toch een datalek of is er een ander incident? Dan moet je dat binnen 72 uur melden aan de Autoriteit Persoonsgegevens. -
Sluit verwerkersovereenkomsten af met derden
Werk je met partijen zoals Google (Analytics), Mailchimp of Facebook? Dan komen de persoonsgegevens via jouw website bij hen terecht en moet je met hen een verwerkersovereenkomst sluiten. De privacy rondom dit soort is trouwens een hot topic. We schreven recent al artikelen over Google Analytics en de cookie pop-ups. Goed om te blijven volgen! -
Algemene AVG-eisen
Als organisatie moet je ook aan wat andere, meer algemene bepalingen uit de AVG Zo moet iedere organisatie met meer dan 250 medewerkers een ‘verwerkingsregister’ hebben. Daarin moet onder meer staan hoe je omgaat met de persoonsgegevens die je verwerkt. Bijvoorbeeld hoe lang je deze nog bewaart als je ze niet meer nodig hebt. Heb je extreem veel of bijzondere persoonsgegevens te verwerken? Dan heb je een functionaris gegevensbescherming (FG) nodig: een onafhankelijk persoon die erop toeziet dat alles netjes volgens de AVG verloopt.
Heb je hulp nodig bij het AVG-proof maken van jouw website? Onze Nerds helpen je graag.
WCAG 2.0 en EAA, digitaal toegankelijk voor iedereen
Maar liefst 25% van de Nederlandse bevolking heeft een beperking. Dat zijn dus ontzettend veel mensen die slechtziend, kleurenblind, slechthorend, dyslectisch, laaggeletterd zijn of motorische beperkingen hebben en mogelijk moeite hebben jouw website te gebruiken. De Web Content Accessibility Guidelines (WCAG 2.0) zijn de EU-richtlijnen die bepalen dat websites en apps toegankelijk en gebruiksvriendelijk moeten zijn voor mensen met een beperking. Vanaf juli 2025 wordt bovendien de European Accessibility Act van kracht.
Voor wie relevant?
Sinds 1 juli 2018 geldt de WCAG voor websites van rijks-, regionale of lokale overheidsinstanties en semi-overheidsinstanties. Sinds 2021 moeten ook mobiele apps webtoegankelijk zijn. Voor zorg- en commerciële partijen is de WCAG niet verplicht. Neemt natuurlijk niet weg dat het altijd heel goed is te voldoen aan de toegankelijkheidseisen.
Sterker nog, voor een grote groep ondernemers is het vanaf 2025 ook verplicht. Dan gaat de Europese Toegankelijkheidswet EEA in. Onder meer e-commerce-diensten (websites en webshops) en financiële diensten moeten dan digitaal toegankelijk zijn. Kleine ondernemers worden hiervan vrijgesteld. De eisen binnen de EEA worden gebaseerd op de eisen uit de WCAG. Ondernemers kunnen de kunst dus nu vast afkijken van overheidsinstanties.
De vier WCAG-principes
Om elke eis uit de WCAG in dit artikel op te sommen, gaat wat ver. Maar in de basis leunt de WCAG op vier principes. Onder die principes vallen 13 richtlijnen en daarbinnen zijn dan weer succescriteria bepaald.
-
Waarneembaar
Zijn de informatie en de componenten op jouw website of in je app voor alle gebruikers en met alle zintuigen ‘waarneembaar’? Slechtzienden hebben bijvoorbeeld moeite afbeeldingen op je site waar te nemen. Voorzie ze daarom van een alternatief in tekst en geef de optie die tekst te laten voorlezen door een screenreader. -
Bedienbaar
Dit principe gaat ervan uit dat alle onderdelen van jouw website en de navigatie bedienbaar zijn voor alle gebruikers. Als iemand bijvoorbeeld geen muis kan bedienen, maar de website volledig benadert met een toetsenbord, moet hij daarmee ook eenvoudig door het menu kunnen scrollen. Ook formulieren moeten makkelijk bedienbaar zijn en alle gebruikers moeten de tijd krijgen om content te lezen en gebruiken. -
Begrijpelijk
De content en de bediening van een website of app moeten verder begrijpelijk en voorspelbaar zijn. Daaraan voldoe je bijvoorbeeld door consequent te zijn in de benaming van buttons. Ook moet je gebruikers helpen fouten te vermijden en ze te verbeteren. -
Robuust
Een toegankelijke website is degelijk en robuust gebouwd. Als je hulptechnologieën zoals een screenreader inzet, moet deze de code bijvoorbeeld perfect kunnen lezen. -
Plaats een toegankelijkheidsverklaring
Ben je als overheidsinstelling verplicht te voldoen aan de WCAG? Dan is het ook verplicht om een toegankelijkheidsverklaring te plaatsen op de website, uitgevoerd door een onafhankelijke partij.
Checklist toegankelijke content
Proud Nerds is trots partner van DDAI, de Dutch Digital Accessibility Index. Wil je weten of de content op jouw website toegankelijk genoeg is voor iedereen? DDAI heeft een checklist ontwikkeld voor mensen die zich bezighouden met het creëren van content of het schrijven van redactionele teksten.
Wetgeving medisch hulpmiddel
Op 26 mei 2021 is de verordening medische hulpmiddelen ingegaan. Daarmee zijn de eisen aan medische hulpmiddelen strenger geworden. Bij medische hulpmiddelen denk je meteen aan zaken als MRI-scanners, maar ook software die nodig is voor een goede werking van het medisch hulpmiddel valt onder deze verordening.
In hoeverre is jouw website of app een medisch hulpmiddel?
In principe vallen websites van zorginstellingen niet onder deze wetgeving. Websites die interventies doen met een medische behandeling tot gevolg worden wél gezien als medische hulpmiddelen. Met de kanttekening dat zaken als voedingsadvies of coaching bij stoppen met roken niet worden gezien als medische behandelingen. Een app voor thuismonitoriting van patienten met hartfalen, zou wel onder de wetgeving vallen. Het bevat software die berekeningen uitvoert waarop een klinische behandeling wordt gebaseerd.
Eisen aan medische hulpmiddelen
Wil je weten aan welke eisen je moet voldoen als jouw website, webshop of app inderdaad gezien wordt als medisch hulpmiddel? Bekijk dan deze site van de rijksoverheid, of neem contact op met één van onze experts.
Regels voor webwinkels en platforms
Aan welke regels moet een webwinkel voldoen? De Autoriteit Consument & Markt heeft een duidelijke checklist op haar website gepubliceerd. En de regels om consumenten te beschermen, worden verder aangescherpt. Vanaf 28 mei 2022 krijgen webshops en online platformen te maken met nieuwe regels om hun klanten beter te beschermen. Zo moet je straks transparanter zijn over reviews. De Kamer van Koophandel heeft deze nieuwe regels voor je op een rij gezet.
Weten of je website of app compliant is?
Twijfel je of jouw website, webwinkel of app voldoet aan alle relevante wet- en regelgeving? Neem dan contact op met Proud Nerds. Wij voeren met plezier een compliancy-test uit.
