ASSU AVG Module

Het opstellen van een register van verwerkingsactiviteiten is onder de AVG een verplichte maatregel. Het register van verwerkingsactiviteiten (verwerkingsregister) bevat informatie over de persoonsgegevens die je kantoor verwerkt. Je mag zelf weten hoe je het register opstelt. Wel schrijft  de AVG voor welke informatie je als verantwoordelijke of verwerker in het register moet zetten. 

FAQ

Onderstaand een overzicht van de meest gestelde vragen rondom de AVG.

Per 25 mei 2018 geldt er een nieuwe wet voor alle landen in de EU: de Algemene verordening gegevensbescherming (AVG). De nieuwe wet geeft bedrijven een grotere verantwoordelijkheid om de privacy van personen te beschermen. De AVG gaat over de bescherming van persoonsgegevens. Dit omvat:

  • Klantgegevens

  • Personeelsgegevens

  • Andere persoonsgegevens

Om te voorkomen dat Google kan beschikken over gegevens van het surfgedrag van bezoekers kunnen zij een tool downloaden: de Google Analytics Opt-out Browser Add-on voor de JavaScript-code van Google Analytics (ga.js, analytics.js, dc.js).

Als je als internetsurfer je wilt afmelden, downloadt en installeer je de add-on voor je webbrowser (op ieder apparaat natuurlijk!). De Google Analytics Opt-out Add-on is compatibel met Chrome, Internet Explorer 11, Safari, Firefox en Opera. De add-on voor afmelding moet kunnen worden geladen en uitgevoerd in je browser om correct te functioneren. Voor Internet Explorer moeten indirecte cookies zijn ingeschakeld. 

De add-on voorkomt dat de JavaScript-code van Google Analytics (ga.js, analytics.js en dc.js) die op websites wordt uitgevoerd, informatie over bezoekactiviteit deelt met Google Analytics.

 

Hoe voldoe je aan de AVG als je (marketing) cookies wilt (blijven) gebruiken?

Bij de AVG draait alles om het beter beschermen van de privacy van personen. Websites zijn bronnen van privacy gevoelige informatie. Dit komt mede door het gebruik van cookies en andere tracking technologieën, waardoor het direct of indirect mogelijk is om een persoon te identificeren. En daarmee hebben cookies te maken met de AVG

De AVG is ook van toepassing bij het gebruik van cookies op je ASSU Website. Of het nou is om de website beter te laten functioneren, statistische info te verzamelen, info bewaren over artikelen in een winkelwagentje, afsluitmodules, bij premievergelijkingen of social media share buttons. Er worden vaak veel meer cookies gebruikt op een website dan men in eerste instantie denkt. 

De AVG, persoonsgegevens en websites

De AVG vereist een heleboel van organisaties als het aankomt op het beter beschermen van persoonsgegevens. Je website heeft ook te maken met deze gegevens, vanwege het gebruik van cookies op een website. Daarom zijn websites in de meeste gevallen de grootste bijdrager in het delen van Persoonlijk Identificeerbare Informatie. Een website is doorgaans voor meer dan 50% verantwoordelijk voor het delen van deze informatie.

YORON draagt zorg voor het loggen van toestemming / wijziging /verwijdering

Wanneer je website cookies gebruikt anders dan functionele cookies (dus ook analytische en marketing cookies), dien je hiervoor de verkregen toestemming / wijziging / verwijdering volgens de AVG te registreren. Dit doet YORON in een log, waarin anoniem de gegeven toestemming, aanpassing of verwijdering van de toestemming vast wordt gelegd. Met het log bestand stelt YORON jou in staat om aan te geven hoe je aan de toestemming bent gekomen, een vereiste van de AVG. Op basis van de AVG moet een website toegankelijk blijven en geen cookies plaatsen totdat de gebruiker zijn voorkeuren en toestemming heeft aangegeven.

Daarnaast heeft de AVG nog meer vereisten waar het gebruik van cookies op je website aan moeten voldoen. Hier kun je ook lezen wat het belang is van opt-in en opt-out en welke kansen er zijn voor online marketeers.

De AVG bezorgt je organisatie een hoop werk en zoals je nu weet is de AVG dus ook van toepassing op je ASSU Website bij gebruik van cookies of andere trackers. Je website is echter wel het meest eenvoudig om aan te pakken en te laten voldoen aan de AVG. Dit kan je oplossen door je huidige oplossing te integreren met, of de CookieInfo oplossing te implementeren. Met behulp van 2 scripts zorg je ervoor dat het gebruik van cookies op je website voldoet aan de voorwaarden van de AVG.

Om privacy van website bezoekers te beschermen dient de bezoeker toestemming te geven middels een “kloppend opt-in en opt-out mechanisme dat het vastleggen van de toestemming (consent) van de website bezoeker afdoende registreert".

Jouw website bezoeker heeft toestemming gegeven voor het gebruik van cookies, maar verandert van gedachten. Dan zal je de bezoeker op dezelfde manier in staat moeten stellen om de keuze te veranderen. Gebruikers moeten namelijk toestemmingen net zo makkelijk kunnen intrekken of aanpassen als dat ze het gegeven hebben. 

Maar de AVG gaat nog een stapje verder. Hieronder zie je een overzicht van AVG vereisten en waar je website aan moet voldoen, als je cookies gebruikt. Dit is van toepassing op alle cookies, behalve functionele cookies die het mogelijk maken dat een website functioneert.

AVG vereisten:

  • volledig inzicht van de aanwezige tracking technologieën op de ASSU Website kunnen geven
  • details cookie informatie in toegangkelijke vorm presenteren
  • expliciet toestemming plaatsen voor de verschillende soorten cookies (opt-in)
  • bezoekers van je ASSU Website moeten toestemming voor het gebruik van cookies net zo makkelijk kunnen aanpassen of verwijderen,als dat ze toestemming hebben gegeven
  • registratie van de gegeven, aangepaste of verwijderde toestemming
  • cookies mogen pas geplaatst worden na keuze (behalve voor 'noodzakelijke cookies') soorten cookies door de bezoeker van je ASSU Website
  • inzicht geven in de informatie die je ASSU Website deelt met 3e partijen en waar die data in de wereld wordt gedeeld

De ASSU AGV Module:

  • scant alle bekende tracking technologieën
  • biest een volledige consent (toestemming) registratie plus LOG-files
  • levert een automatische up-to-date cookie verklaring pagina. Integreerbaar met privacy-verklaring.
  • levert maandelijkse rapportage cookies, cookie wijzigingen en consent-log
  • biedt een up-to-date cookie-banner die voldoet aan de vereisnten van de AGV

Een website moet toegankelijk blijven en geen cookies plaatsen, totdat de gebruiker zijn voorkeuren en toestemming heeft aangegeven.

Je zult vooraf beknopt, transparant, begrijpelijk, in een gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal moeten informeren over de cookies en details ervan die je op je website inzet. Daarnaast dient toestemming net zo makkelijk aangepast of verwijdert te kunnen worden als dat je het hebt gegeven (opt-in/opt-out).

Registratie van toestemming (consent)

De verkregen toestemming/wijziging/verwijdering moet je volgens de AVG registreren. In een log registreer je anoniem de gegeven toestemming of aanpassingen. Het log bestand stelt je in staat om te informeren hoe je aan de toestemming bent gekomen. Dit is ook een vereiste van de AVG. Meer over opt-out in het kopje toestemming hieronder.

De komende e-Privacy regelgeving gaat hier toch straks over?

Ja en nee. De ePricacy regelgeving is er nog niet. Het idee is om deze straks samen met de AVG op 25 mei 2018 in werking te laten treden. Er is hiervoor een (uitgelekt) voorstel, maar dit moet nog door alle landen in de EU worden goedgekeurd. Het is dus nog de vraag of de ePrivacy regelgeving op 25 mei 2018 ingevoerd kan worden. De ePrivacy regelgeving grijpt overigens terug op artikel 7 ("Voorwaarden voor toestemming") van de AVG. Het is dus een aanvulling op de AVG wetgeving. 

In de komende ePrivacy regelgeving zijn er voorstellen om de privacy door middel van browser instellingen te kunnen regelen. Maar dat zal moeilijk te realiseren zijn aangezien er voor browser fabrikanten geen incentive is.

Toestemming gebruik van cookies

Onder de AVG zal toestemming dus expliciet moeten worden gegeven door middel van een duidelijke actieve handeling. (artikel 7.1 van de AVG). Hieruit moet blijken dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn (persoons)gegevens instemt.

Dit betekent dat een “opt-out” optie (bijvoorbeeld een al ingevuld vinkje in een check box) geen geldige manier zal zijn om toestemming te verkrijgen. Een “opt-in” is daarom nodig, ook voor cookies. Zolang de bezoeker van de website niet expliciet middels een actieve handeling toestemming heeft gegeven, mogen cookies niet worden geplaatst. Als verschillende cookies of cookies voor meerdere doeleinden worden gebruikt, moet voor iedere cookie/doeleinde apart toestemming worden gegeven.

Opt-in en opt-out.

In Jip en Janneke taal betekent dit dat vooraf ingestelde “vinkjes” of een “check-box” niet voldoen. De website gebruiker zal zelf de vinkjes moeten aanvinken: opt-in (zie 1).

cookiebanner van cookieinfo

Bovendien geldt dat de toestemming te allen tijde ook aangepast of ingetrokken moet kunnen worden (opt-out).

Het verwijzen naar de browserinstellingen, zoals eerder aangegeven, is niet voldoende. Het intrekken van toestemming moet net zo gemakkelijk zijn als het geven ervan. Dit betekent dat er een “opt-out” knop toegevoegd moet worden op de pagina’s van je website. (Of in Jip en Janneke taal een “verwijder/pas mijn cookies aan” knop.)

Website moet toegankelijk blijven

Om ervoor te zorgen dat de toestemming vrijelijk kan worden gegeven, mag het niet geven van toestemming geen gevolgen hebben voor de betrokkene. Dit betekent dat website bezoekers alsnog gebruik moeten kunnen maken van de website (weliswaar met beperkingen), ook al hebben zij geen toestemming gegeven voor het gebruik van cookies.

Marketing kansen – betere kwaliteit van opt-in’s

Door de nieuwe regels hebben online marketeers er een grote uitdaging bij als het aankomt op het gebruik van marketing cookies. Er zal een mechanisme moeten zijn dat aan alle vereisten van de AVG voldoet zoals beschreven in dit blog. Het creëert echter ook kansen. Cookies mogen ook onder de AVG gebruikt worden als je maar voldoet aan de spelregels.

Het lijkt een grotere uitdaging dan het is, mits je over de juiste technologie beschikt. Door geheel transparant te zijn in het gebruik van cookies naar je website bezoeker, creëer je ook vertrouwen. Hierdoor zal de website bezoeker de marketing cookies accepteren (opt-in). Daarnaast is het de gedachte dat je beter gekwalificeerde website bezoekers krijgt doordat je expliciet toestemming verkrijgt voor het plaatsen van cookies. Je weet dan dat je te maken hebt met website bezoekers die geïnteresseerd zijn in jouw product of diensten.

Cookies veranderen maandelijks

30% van alle cookies en tracking technologieën verandert elke maand. Daarmee heb je als verantwoordelijke voor de content op je ASSU website een hoop werk om je website bezoekers te informeren over de aanwezige cookies op je website. En dat moet je elke maand controleren en indien nodig aanpassen, ook op pagina met een privacy verklaring. Aangezien de AVG verlangt dat je transparant bent in het verstrekken van informatie, wil je kunnen terugvallen op een geautomatiseerde oplossing die je cookies maandelijks scant. 

Cookies en Websites

Maar we zien bijvoorbeeld ook websites met 50, 100 en soms wel meer dan 250 cookies. Het in kaart brengen en bijhouden van alle soorten cookies, trackers, beacons, etc. en de bijbehorende cookie verklaring is zeer tijdsintensief. Het is ook iets wat je kunt ondervangen met een goede technische oplossing. Daarnaast kan je ook automatisch een cookie verklaring opstellen

Samenvattend

De impact van de AVG op het gebruik van cookies op je ASSU Website is groter dan je in eerste instantie zou denken. Je dient bezoekers van je website te voorzien in gedetailleerde informatie over de soorten cookies, de details van de cookies, de juiste opt-in en opt-out functionaliteit en de registratie van de gegeven toestemming (consent). Daarnaast verandert 30% van de cookies maandelijks en zul je deze moeten identificeren en aanpassen in je cookie verklaring. Wanneer je cookies op een transparante manier aanbiedt op je website, zullen website bezoekers eerder geneigd zijn tot een opt-in. En de opt-ins die je verkrijgt zijn daarmee van betere kwaliteit.

Wil je weten hoe je website voldoet aan de AVG en hoe je de kwaliteit van je opt-ins verhoogt? Probeer dan CookieInfo met behulp van de 30 dagen gratis trial.

Functionele cookies

Deze houden je voorkeuren bij en onthouden dus dat je al eerder op de site bent geweest. Zo onthoudt Google bijvoorbeeld je voorkeur voor de taal waarin wordt gezocht.

Performance cookies

Hiermee kan worden gemeten of bijvoorbeeld een advertentie leidt tot een aankoop of aanmelding. Waardoor websites inkomsten kunnen generen, omdat ze hiervoor worden vergoed.

Analytische cookies

Met deze cookies kunnen website-eigenaren de statistieken van hun site bijhouden. In bijvoorbeeld Google Analytics kunnen de aantallen bezoekers, locatie van bezoekers en gebruikte browser worden gemeten.

Profilerings cookies

Dit zijn de cookies die er voor zorgen dat je ineens advertenties te zien krijgt met producten die je net hebt bekeken op bijvoorbeeld wehkamp.nl. Daarnaast gebruikt ook Facebook dit soort cookies wanneer je op de ‘vind ik leuk’ knop hebt geklikt. Daarom zie je soms ook al wie van je vrienden een bepaald product wel of niet hebben ‘geliked’.

Op je ASSU Website maak je wellicht gebruik van 'embedded content'. Denk hierbij aan afsluitmodules, premievergelijkers etc. Zo ook kun je video's hebben laten plaatsen of andere 3e partij content. YORON is hiervoor niet verantwoordelijk. Jij als 'houder' van de domeinnaam waaraan een ASSU Website is gekoppeld bent verantwoordelijk voor alle niet-standaard content.

Iedere ASSU Website wordt standaard geleverd met alleen functionele cookies en een standaard cookie-verklaring. Wordt jouw ASSU Website voorzien van andersoortige cookies, dan dien je dus ook de standaard cookie verklaring hierop aan te passen!

Het opstellen van het Register is vorm-vrij; je mag zelf weten hoe je het Register opstelt. Wel ben je verplicht de volgende elementen in het Register op te nemen: 

  • naam en contactgegevens van je bedrijf
  • naam en contactgegevens van de Functionaris Gegevensbescherming (indien aangesteld) of andere contactpersoon namens je bedrijf
  • de doeleinden van de gegevensverwerkingen
  • de categorieën Betrokkenen van wie persoonsgegevens worden verwerkt
  • de categorieën van persoonsgegevens die worden verwerkt (soort persoonsgegevens)
  • de categorieën ontvangers aan wie persoonsgegevens zijn of worden verstrekt
  • derde landen of internationale organisaties aan wie persoonsgegevens worden doorgegeven (indien van toepassing)
  • de beoogde bewaartermijnen van persoonsgegevens
  • algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Het is niet verplicht om de grondslag(en) voor de gegevensverwerking en opslaglocaties in het Register op te nemen. Dit is wel aan te raden om een compleet van de gegevensverwerking op te stellen. 

Ook een Verwerker dient een (beperkt) register van verwerkingsactiviteiten op te stellen. Het opstellen van het Register is vorm-vrij; je mag zelf weten hoe je het Register opstelt. Wel ben je verplicht de volgende elementen in het Register op te nemen: 

In het Register dient de te worden opgenomen: 

  • naam en contactgegevens van je bedrijf 
  • naam en contactgegevens van de Functionaris Gegevensbescherming (indien aangesteld)
  • naam en contactgegevens van iedere Verwerkingsverantwoordelijke voor wie je werkt
  • categorieën van verwerkingen die je voor iedere Verwerkingsverantwoordelijke uitvoert
  • derde landen of internationale organisaties aan wie persoonsgegevens worden doorgegeven (indien van toepassing)
  • algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (conform de inhoud van de verwerkersovereenkomst).

Het Register moet in een schriftelijke vorm worden opgesteld. Hieronder valt ook een elektronische vorm, dat als voordeel heeft dat het Register eenvoudig actueel te houden is. We hebben een online model register voor je ontwikkeld dat aan de gestelde eisen voldoet als je het goed invult. 

Als je een verwerkingsactiviteit wijzigt of een nieuwe verwerkingsactiviteit start, moet je dit bijhouden in het register. Het is aan te bevelen om ook een oud Register/ oude versie van het register te bewaren om in voorkomende gevallen te kunnen aantonen aan de toezichthouder dat je het register bijhoudt.

Omdat de verwerking van persoonsgegevens in het kader van de advisering en bemiddeling structureel van aard is en je veelal ook bijzondere gegevens verwerkt, ben je verplicht een register bij te houden, ook al heb je minder dan 250 personen in dienst.