Rond 25 mei leek het internet te ontploffen met artikelen over de Algemene verordening gegevensbescherming (AVG). Ook je inbox stroomde waarschijnlijk vol met mails over gewijzigde voorwaarden. Er ontstaan gauw misverstanden over zo’n complex onderwerp. Hoe is het vele cookiemeldingen later en waar is die van ons eigenlijk?
Allereerst, ik ben geen jurist. Alles in dit artikel is dan ook in geen enkele vorm juridisch advies. Met het verstrijken van tijd kan deze informatie ook niet meer volledig, correct of relevant zijn. Elke situatie en de daarbij horende AVG-implementatie is anders. Schakel bij twijfel daarom altijd een juridisch expert in. Wél ben ik medeverantwoordelijk geweest voor het implementeren van de AVG binnen ons bedrijf. Daarom deel ik graag mijn bevindingen:
- Een korte terugblik
- The internet is wrong. Again!
- Privacybewust keuzes maken
- Zeg Antagonist, waar is jullie cookiemelding?!
- Onze inzet voor online veiligheid
Een korte terugblik
Goed, nu we de disclaimers en waarschuwingen hebben gehad: let’s go! De AVG is een feit. Hij wordt gehandhaafd en dit heeft veel balletjes doen rollen. Kijk bijvoorbeeld naar het relletje met ICANN en WHOIS, waar we eerder over schreven. ICANN hield die het liefst volledig openbaar, maar dat stond haaks op de nieuw ingevoerde Europese wet.
Naarmate de deadline van 25 mei in de buurt kwam, kregen steeds meer organisaties last van AVG-stress. Veel media- en beveiligingsbedrijven speelden hier slim op in. Overal op het internet verschenen dan ook artikelen over de AVG en “handige” tools die beloofden alle problemen met één druk op de knop voor je op te lossen.
Zelf heb ik veel van deze tools getest en weinig vond ik bruikbaar genoeg. Zo zaten er ook een paar tussen die met een schot hagel te werk gingen. En waar je, bij wijze van spreken, een nier mag afstaan om de licentie te kunnen betalen. Veel geld voor een onvolledige oplossing dus. Dit onderstreept nogmaals dat een AVG-implementatie niet one-size-fits-all is. Met alleen op een knopje drukken of je creditcard trekken kom je er niet.
We worden ook steeds vaker geconfronteerd met cookiemeldingen en -walls. Overigens in veel gevallen zinloos of verboden, maar daarover straks meer. De AVG-storm lijkt wat te zijn gaan liggen, maar de wet blijft natuurlijk. Met de komende ePrivacy Verordening, die helaas is uitgesteld, gaat meer duidelijkheid brengen over hoe in onze digitale economie omgegaan moet worden met privacy. Die ontwikkelingen houden we dus nauwlettend in de gaten.
The internet is wrong. Again!
Er wordt op internet erg veel over de AVG geroepen. En als het op internet staat, dan moet het wel waar zijn. Ho, wacht … 😉 Daarom wil ik graag een aantal misvattingen aanstippen die me de afgelopen periode opvielen.
AVG ≠ verwerkersovereenkomst
Als je voor het verwerken van persoonsgegevens een andere organisatie inschakelt, dan heb je hier inderdaad een verwerkersovereenkomst voor nodig onder de AVG. Dit is echter maar een onderdeel. Het hebben van een verwerkersovereenkomst alleen, zorgt er dus niet voor dat je dan ook direct aan de AVG voldoet.
Cookiemeldingen en -walls
Cookiemeldingen zijn niet nodig als jij je bezoekers niet trackt. Daarnaast zijn cookiewalls in veel gevallen verboden. Je mag volgens de AVG namelijk een gebruiker niet verplichten persoonsgegevens af te staan als dit niet nodig is voor het vervullen van de dienstverlening.
Misleiding bij toestemming vragen
Toestemming vragen voor het verwerken van persoonsgegevens, en dus ook het tracken van bezoekers, moet ondubbelzinnig zijn. De accepteerknop groen en de afwijsknop grijs maken, is dus eigenlijk niet toegestaan. Groen associeer je met positief, waardoor je iemand onbewust naar die knop stuurt. Dat maakt het twijfelachtig of de bezoeker dan bewust kiest om persoonsgegevens af te staan. Verboden dus, maar toch doen veel websites het.
Een SSL-certificaat voor je domein verplicht?
De AVG schrijft voor dat je verplicht bent om persoonsgegevens die je verwerkt afdoende te beschermen. Een SSL-certificaat is vaak hét hulpmiddel dat je hier erg bij helpt. Verwerk je geen persoonsgegevens, dan kun je die ook niet beschermen. SSL is daarom niet per se voor elke website vereist. Echter, dat neemt niet weg dat het absoluut is aan te raden om wél SSL te gebruiken. Daarom krijg je dat van ons, gewoon gratis. Een zorg minder voor jou 🙂
Privacybewust keuzes maken
Ik wil je geen opsomming van je rechten geven, want daar staat het internet al vol mee. Wél geef ik je graag een aantal tips. Hopelijk zetten die je aan het denken en kun je daarmee beter de beste keuzes voor jouw privacy maken.
1. Denk na over het verdienmodel van een bedrijf
Is de dienst van een internetbedrijf gratis of erg goedkoop, dan is de kans groot dat ze volledig of voor een groot deel op advertentie-inkomsten draaien. Een social-media-platform met duizenden mensen in dienst en datacenters wereldwijd moet dat immers ergens van betalen. Zoek dus op hoe het bedrijf inkomsten genereert. Misschien verkoopt het wel gegevens van je door en vind jij dit een te grote inbreuk op je privacy om de dienst te blijven gebruiken.
2. Lees het privacystatement!
Als je persoonsgegevens verwerkt, dan is het als internetbedrijf wettelijk verplicht om een privacystatement te hebben. De AVG schrijft voor dat die in begrijpbare, menselijke taal moet zijn geschreven. Vaag geformuleerde, erg lange of moeilijk leesbare privacystatements zouden een indicatie kunnen zijn dat het bedrijf erachter liever niet heeft dat je het leest of volledig begrijpt.
3. Tracking is een vorm van persoonsgegevensverwerking
Onderschat de kracht van big data niet. Het bedrijf dat trackt, weet precies wat jouw browsegedrag is. En dus ook welke websites je bezoekt en wat je daar doet. Daarnaast slaat het gegevens op die (vrijwel) direct naar jou zijn te herleiden. Met genoeg data en slimme algoritmes kan zelfs het meest onschuldig ogende internetgedrag worden omgezet naar een profiel dat beangstigend goed aansluit bij jouw persoonlijkheid.
4. Laat je niet verplichten persoonsgegevens af te staan
Het is als bedrijf verboden om van je te eisen dat je persoonsgegevens afstaat die onnodig zijn voor het uitvoeren van de dienstverlening. Persoonsgegevens die ze hiervoor nodig hebben, horen ze in een publiekelijk beschikbaar privacystatement te zetten.
Sommige websites verplichten je akkoord te gaan met tracking, anders kom je de website niet op. Vaak zijn dat sites die volledig afhankelijk zijn van advertentie-inkomsten (e.g. nieuwswebsites). Dit is nu nog een grijs gebied, hopelijk gaat de nieuwe ePrivacy Verordening hier duidelijker in zijn. De kans is groot dat het keihard verboden gaat worden. Geen cookiewalls meer dus.
5. Denk na over de persoonsgegevens die je afstaat
Waarom wil een webshop verplicht weten wanneer je jarig bent? Ik kan weinig situaties bedenken, waarom je geboortedatum nodig is voor het leveren van een artikel. Tenzij je als webshop bijvoorbeeld alcoholische dranken aanbiedt en moet aantonen op zijn minst een poging te doen om verkoop aan minderjarigen te verhinderen. Als ze erom vragen, dan moet het in ieder geval in het privacybeleid van dat bedrijf beschreven staan waarom.
6. Stel vragen bij twijfels over je privacy!
Dit is niet brutaal, maar zelfs een hele normale zaak. Het houdt iedereen scherp over met wat voor persoonsgegevens ze werken. Er wordt regelmatig geroepen dat persoonsgegevens verzamelen het nieuwe goud is. Dit zou nog wel eens kunnen kloppen. Houdt dus altijd in je achterhoofd hoe waardevol de gegevens zijn die je afstaat!
Zeg Antagonist, waar is jullie cookiemelding?!
Wat fijn dat je die vraag stelt. Helaas krijgen we ‘m niet al te vaak, had meer gemogen! Simpel, we gebruiken geen cookies die persoonsgegevens verzamelen. We geloven heilig in online privacy en zetten ons hier dan ook flink voor in. Het tracken van bezoekers of een misleidend track-mij-maar-knopje plaatsen, gaat volledig tegen onze principes in.
Cookies gebruiken we wel, maar alleen diegene die nodig zijn voor het juist functioneren en analyseren van onze website. De analysedata is altijd anoniem. Om meer bewustzijn te creëren, hebben wij rechts onderin op onze website een kleine geen-cookies-knop. Klik je daarop, dan vind je uitleg waarom wij juist geen cookiemelding hebben.
Onze inzet voor online veiligheid
We hebben hard gewerkt om aan de AVG te voldoen. Gaandeweg kwam ik er daarbij achter dat we op veel technische punten het al heel erg goed deden. En daar ben ik stiekem best een beetje trots op! Een kleine opsomming van features die we, ongeacht de AVG, al voor je hadden gemaakt of gepland.
- Twee-factor-authenticatie (2FA) voor veel van onze diensten.
- Een SSL-certificaat voor elke website die we hosten.
- Nieuwe websites gaan standaard direct over SSL.
- HSTS om verkeer uitsluitend over een versleutelde verbinding te sturen.
- DNSSEC voor al je domeinnamen.
- Containerisatie, zodat jouw gegevens niet inzichtelijk zijn voor anderen.
- Kwetsbaarheden in websites worden automatisch opgelost.
- Al je data staan op Nederlandse bodem.
Naar onze mening draait de AVG erom dat je als bedrijf bewust, zorgvuldig en transparant omgaat met privacy van je klanten en alle persoonsgegevens die daar bij komen kijken. Het is iets dat je moet voelen. Dat koop je niet af met een stukje software of een copy-paste van een privacystatement van iemand anders. Houd zelf grip op de gegevens die je verwerkt en wees er eerlijk over.
Tot slot
Wil jij je website huisvesten bij een partij die voelt en begrijpt hoe belangrijk privacy is? Kijk gerust eens naar onze pakketen. Bij vragen mag je natuurlijk altijd contact met ons opnemen via support@antagonist.nl. We helpen graag!
P.S. Blijf op de hoogte en volg ons via Facebook, X, Instagram, e-mail en RSS. Heb je vragen, tips of opmerkingen? Laat het achter als reactie. Vond je het artikel nuttig? Deel het dan met anderen!
Hoe kijkt Antagonist aan tegen deze ontwikkeling? Zie ook de opmerking op de site van de Autoriteit Persoonsgegevens. (Onder “Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan”)
Zelf gebruik ik sinds kort Plausible, hosted. Maar er zijn nog meer alternatieven voor Google Analytics. Misschien een leuk idee voor een blog in de toekomst? (De x alternatieven voor Google Analytics)
Hi Sander, bedankt voor je reactie. We zijn op de hoogte van die ontwikkeling en houden het in de gaten. Bij ons staat Analytics in elk geval ingesteld, zoals de huidige richtlijnen van de Autoriteit Persoonsgegevens voorschrijven. Verder is dat zeker een leuk idee voor een blogartikel. In het verleden hebben we eens geschreven over Matomo (voorheen Piwik), maar er bestaan genoeg andere alternatieven om te bespreken.
Een paar andere alternatieven die ik ben tegengekomen zijn Fathom uit Canada en Simple Analytics uit Nederland.
Uiteindelijk heb ik voor Plausible (uit Estland) gekozen. Ik gebruik de hosted versie. Maar je kan ook voor self hosted kiezen. Misschien dat ik self hosted Plausible op een server bij Antagonist kan installeren? Heb daar geen ervaring mee maar is een interessante en gratis optie.
Hi Sander, we hebben even de documentatie van Plausible bekeken. Zelf hosten vereist Docker en dat is niet geïnstalleerd op onze servers. Als je een NAS hebt, kan een alternatief zijn het daar op te draaien. Matomo (Piwik) gebruiken kan ook – dat werkt wel bij ons.
Hebben jullie plannen om Docker te ondersteunen?
Ik zie dat antagonist.nl nu gebruik maakt van Plausible. Top! 🙂
Momenteel zijn er geen plannen om Docker te ondersteunen, Sander. En klopt, we proberen momenteel Plausible uit 🙂