Steeds meer webdesigners besteden inmiddels het onderhoud en troubleshooting van de door hun gemaakte WordPress websites uit aan SolidWP. Als er een website voor onderhoud bij SolidWP wordt aangemeld voegen wij deze toe aan onze onderhoudssystemen. Hiermee kunnen wij een website op diverse fronten monitoren, onderhouden en veilig houden.
Als medewerker van SolidWP ben ik onder andere belast met deze procedure voor nieuwe klanten en websites. Één van de zaken waar dan opgelet wordt is of de AVG op orde is voor de betreffende website. Hoewel dit niet direct te maken heeft met technisch onderhoud vinden wij dit wel een belangrijk punt. We merken dan ook nog regelmatig dat lang niet alle wettelijke verplichte zaken bij een website op orde zijn.
Ik heb nog niet zo lang geleden voor mijn eigen website hierover een uitgebreid artikel geschreven welke ik gemakshalve hieronder grotendeels overneem. Hier en daar iets aangepast voor de specifieke situatie van jou als webdesigner.
Wettelijke vereisten voor websites en webshops
1. Algemene Verordening Gegevensbescherming (AVG)
De AVG is een van de belangrijkste regelgevingen met betrekking tot gegevensbescherming en privacy. Deze verordening is van toepassing op alle bedrijven en organisaties die persoonlijke gegevens verwerken van individuen binnen de Europese Unie, ongeacht waar het bedrijf gevestigd is.
Belangrijkste Punten van de AVG:
- Toestemming: Je moet expliciete toestemming verkrijgen voordat je persoonlijke gegevens verzamelt en verwerkt. Gebruikers moeten op de hoogte zijn van welke gegevens worden verzameld en waarvoor ze worden gebruikt.
- Rechten van Gegevenssubjecten: Personen hebben het recht om toegang te krijgen tot hun gegevens, deze te corrigeren, te laten verwijderen, en bezwaar te maken tegen de verwerking ervan.
- Gegevensbescherming door Ontwerp en Standaardinstellingen: Dit houdt in dat je al bij het ontwerpen van de website/webshop rekening moet houden met de bescherming van persoonlijke gegevens. Denk hierbij bijvoorbeeld aan de hostingpartij, partijen voor nieuwsbrieven, betaalproviders en andere derde partijen.
- Datalekken Melden: In geval van een datalek waarbij persoonlijke gegevens zijn aangetast, moet jouw klant dit melden aan de relevante toezichthoudende autoriteit en mogelijk ook aan de betrokkenen.
Doorgaans voorzien jouw klanten jou van hun teksten maar in het geval van bijvoorbeeld een privacybeleid is het heel lastig voor de eindgebruiker om te weten wat er nu precies in een privacybeleid moet staat en waarom. Hierin kan je wellicht jouw klanten ondersteuning bieden.
2. Cookiebeleid en toestemming
Volgens de ePrivacy-richtlijn moet je bezoekers informeren over het gebruik van cookies en vergelijkbare technologieën op je website. Gebruikers moeten de mogelijkheid hebben om toestemming te geven voor het gebruik van cookies voordat deze worden geplaatst op hun apparaten.
3. Online Verkoopvoorwaarden
Voor webshops is het essentieel om duidelijke en transparante verkoopvoorwaarden te hebben. Deze voorwaarden moeten details bevatten over prijzen, betalingsmethoden, leveringsvoorwaarden, retourbeleid en garanties.
Wat moet er verplicht op een website?
AVG-vereisten voor een website:
- Privacyverklaring: Het opstellen van een duidelijke, begrijpelijke privacyverklaring is verplicht. Het moet informatie bevatten over welke gegevens worden verzameld, hoe ze worden gebruikt, met wie ze worden gedeeld en hoe gebruikers hun rechten kunnen uitoefenen.
- Cookiebeleid: Een cookiebeleid informeert bezoekers over welke cookies worden gebruikt op de website, waarvoor ze dienen en hoe gebruikers ze kunnen beheren of uitschakelen. Je dient een cookiebanner te hebben met keuze mogelijkheid voor het wel/niet toestaan voor het verzamelen van cookies. Tevens moet het cookiebeleid een cookiegenerator bevatten.
- Toestemming voor gegevensverzameling: Voor het verzamelen van persoonlijke gegevens, zoals via contactformulieren of nieuwsbriefinschrijvingen, is expliciete toestemming van de gebruiker vereist.
- Beveiliging van gegevens: Er moeten passende beveiligingsmaatregelen worden genomen om persoonlijke gegevens te beschermen tegen verlies, diefstal of ongeoorloofde toegang.
- Contact- en bedrijfsgegevens: De volledige contact- en bedrijfsgegevens moeten op een duidelijk zichtbare plaats staan op de website. Buiten de naam & adresgegevens zijn dit ook een KVK- en BTW nummer. Maak je websites en webshops voor klanten buiten Nederland vervang dan het KVK & BTW nummer door de gegevens van het betreffende land. In sommige landen en in sommige branches is het ook verplicht om licenties te hebben en deze op de website te vermelden. Vraag hiernaar bij je klant. Hij/zij is hier uiteindelijk eindverantwoordelijke in.
Welke regels zijn er voor een webshop?
Verplichte AVG zaken voor een webshop:
- Algemene Voorwaarden: Het opstellen van duidelijke en toegankelijke algemene voorwaarden is cruciaal. Hierin moeten zaken als betalingsvoorwaarden, retourbeleid, garanties en geschillenbeslechting worden opgenomen.
- Facturatie- en betalingsgegevens: Webshops moeten factureren en betaalgegevens van klanten bewaren voor boekhoudkundige en belastingdoeleinden gedurende de vereiste wettelijke termijn.
- Klantgegevens en privacy: Naast de AVG-vereisten voor websites moeten webshops zorgen voor veilige opslag van klantgegevens, zoals adresgegevens en betalingsinformatie, en transparant zijn over hoe deze gegevens worden gebruikt.
- Herroepingsrecht: Klanten moeten het recht hebben om binnen een bepaalde termijn producten terug te sturen en een terugbetaling te ontvangen volgens het wettelijke herroepingsrecht.
- SSL-certificaat en veilige betalingen: Het hebben van een SSL-certificaat is essentieel voor het veilig versleutelen van gegevens tussen de webserver en de browser van de klant, met name tijdens betalingstransacties.
Minimale vereisten voor een privacybeleid
Een privacybeleid is een cruciaal document voor elke website of webshop. Hier zijn enkele minimale vereisten waaraan een privacybeleid moet voldoen:
Identificatie van de Verwerkingsverantwoordelijke
- Vermeld duidelijk de identiteit van de verantwoordelijke voor gegevensverwerking, zoals de naam van je bedrijf en contactgegevens.
Doeleinden van Gegevensverwerking
- Beschrijf nauwkeurig en transparant waarom je persoonlijke gegevens verzamelt en hoe je deze zult gebruiken.
Rechtsgrondslag voor gegevensverwerking
- Een belangrijk onderdeel van de privacyverklaring is het uitleggen van de rechtsgrondslag voor gegevensverwerking. Dit betekent dat je moet aangeven welke juridische basis je hebt om persoonlijke gegevens te verwerken, zoals toestemming, contractuele verplichtingen, wettelijke verplichtingen, gerechtvaardigd belang, enzovoort.
Gegevenstypen
- Geef een overzicht van de specifieke soorten persoonlijke gegevens die je verzamelt, zoals naam, adres, e-mailadres, IP-adres, etc.
Gegevensdeling en Ontvangers
- Informeer gebruikers met wie je persoonlijke gegevens deelt en wie de ontvangers ervan zijn, zoals derde partijen of dienstverleners.
Rechten van Gegevenssubjecten
- Leg uit welke rechten gebruikers hebben met betrekking tot hun persoonlijke gegevens, inclusief het recht op toegang, rectificatie, verwijdering en bezwaar.
Gegevensbeveiliging
- Beschrijf de maatregelen die je hebt genomen om persoonlijke gegevens te beschermen tegen ongeoorloofde toegang, vernietiging, verlies of wijziging.
Bewaartermijn
- Specificeer hoelang je persoonlijke gegevens bewaart voordat je ze verwijdert of anonimiseert.
Klachten
- Je moet aangeven hoe gebruikers klachten kunnen indienen met betrekking tot gegevensbescherming en bij wie ze terecht kunnen in geval van geschillen.
Conclusie wettelijke vereisten voor websites
Het naleven van wettelijke vereisten voor websites en webshops, met name de AVG-verplichtingen, is van cruciaal belang om de privacy van gebruikers te waarborgen en boetes te voorkomen. Een gedetailleerd privacybeleid en transparante voorwaarden helpen niet alleen om aan de wet te voldoen, maar ook om het vertrouwen van klanten te winnen en te behouden. Het is altijd verstandig om juridisch advies in te winnen of gebruik te maken van vooraf opgestelde sjablonen die zijn afgestemd op de specifieke behoeften van een website of webshop om volledige naleving van de juridische eisen aan een website te verzekeren. Alle informatie over bescherming van de persoonsgegevens, het indienen van klachten en voor nog veel meer kan je terecht bij de autoriteit persoonsgegevens.
Dit artikel is eerder verschenen op Portugalore, wettelijke vereisten voor websites en webshops,
Door José van der Zwan