De nieuwe privacywet en je website

Als het goed is ben je al op de hoogte dat op 25 mei een nieuwe wet genaamd Algemene Verordening Gegevensbescherming (AVG) wordt ingevoerd die grote impact gaat hebben op iedereen die een eigen bedrijf en een website heeft. Mijn collega Martijn van Zorg Link is er al maanden mee bezig om de software up te daten. We weten dus dat het best complex is, vandaar een aantal aandachtspunten voor jou om direct aan de slag te gaan met de beveiliging en privacy.

Let op: wij geven geen juridisch advies en aan dit artikel kan geen rechten worden ontleend. Ook kunnen we geen advies hierover uitbrengen. Met dit artikel geven we enkel een aantal tips om op te letten.

Beveiligen van je computer, smartphone en website

Dit punt is altijd al voor therapeuten en praktijken een MUST! Toch zien we helaas nog veel systemen en vooral wachtwoorden die niet veilig zijn. Beveiliging begint met de bestanden die op je computer en mobiele telefoon staan. Niet alleen alle cliëntgegevens en dossiers vallen uiteraard onder de wet, maar telefoonnummers van cliënten, cursisten of klanten zijn ook persoonsgegevens die onder de nieuwe wet vallen. We hebben de hoop dat je dit al doet, maar als herinnering toch aantal tips op een rij.

Zorg altijd voor een wachtwoord wanneer de computer aangaat of uit de slaapstand komt

Mocht je even weg zijn van je computer moet je zorgen dat niemand ‘per ongeluk’ in je computer kan kijken. Of zelfs maar een glimp op je scherm kan laten vallen.

Gebruik een sterk wachtwoord

Een wachtwoord hoort uniek en sterk te zijn. Dus voor elke website een ander wachtwoord. Je kunt een website een sterk wachtwoord laten maken en deze in een password manager opslaan. Ik moet bekennen dat ik zelf niet zo’n manager gebruik. Ook al is het veilig, ik heb zelf het gevoel dat ik niet wil dat mijn wachtwoorden ergens bij elkaar opgeslagen zijn. Ik onthoud dus gewoon mijn wachtwoorden en ik heb daar een trucje voor: Pak een woord of zin met een hoofdletter, leesteken en cijfercombinatie. Kies een letter die je afhankelijk van de website waar je inlogt verandert. Dus voor facebook een F en voor Google een G. Bijvoorbeeld Jan!sLeuk@1234. Voor Google wordt het Jan!sGeuk@1234. Of je wachtwoord veilig is kun je testen via: Howsecureismypassword.net.

2-factor authentificatie, twee stappen om in te loggen

Met alleen een sterk wachtwoord ben je in veel gevallen toch nog niet voldoende beschermd. Stel je voor dat iemand toch achter je wachtwoord komt, dan kan diegene zomaar jouw gegevens inzien. Bij een 2-factor authentificatie heb je twee stappen om ergens in te kunnen loggen. Je wachtwoord en vaak een nummer die je via sms ontvangt of via de Google Authenticator app. Voor je belangrijkste gegevens heb je gewoon een 2-factor authentificatie nodig. Denk aan je e-mail, website en zeker je cliëntgegevens. Zoals in het intro al aangegeven heeft ook Zorg Link een 2-factor authentificatie voor het beveiligen van alle cliëntgegevens.

Zorg dat de gegevens op je computer, mobiel en tablet versleuteld wordt opgeslagen

Het versleutelen of encrypten is een techniek waarbij je gegevens tijdelijk onleesbaar maakt om ze te beschermen. Hiervoor wordt een ‘sleutel’ gebruikt, welke je nodig hebt om de gegevens weer leesbaar te maken. Mocht iemand gegevens stelen, dan kunnen ze niet gelezen worden omdat jij de sleutel bezit. Via Howtogeek kun je lezen hoe je dat doet.

Zorg dat de gegevens op je website versleuteld wordt verstuurd

Zodra je een website bezoekt worden er gegevens van de server van de website naar je computer verstuurd. En natuurlijk andersom. Zodra iemand een contactformulier invult wil je dat alleen jij de gegevens ontvangt en niet dat het onderweg ook nog door iemand anders bekeken kan worden. Via een SSL-certificaat kun je alle gegevens versleuteld laten versturen. Deze vraag je aan en installeer je bij de webhost zodat alle pagina’s automatisch versleuteld zijn. Je kunt in de balk van de browser zien of je website versleuteld is of niet.

Investeer in een goede firewall, malware en anti-virus software

Dit spreekt eigenlijk voor zich. Check nog een keer of alles goed werkt of laat er iemand met verstand naar kijken. Ook bij de mac heb je een firewall nodig (standaard in het systeem, maar wel aanzetten!) en kun je last van virussen en malware hebben. Bescherm dus je computer, telefoon en tablet bij Windows èn Apple.

Log niet in op openbare WIFI spots zonder VPN

Het is fijn dat je op veel plekken gratis WIFI hebt, maar het is erg onveilig. Gegevens kunnen op deze manier snel gestolen worden. Mensen die kwaadwillig zijn kunnen meekijken naar je e-mail en gebruikte wachtwoorden stelen. Wanneer je een openbaar netwerk wilt gebruiken, gebruik dan altijd een VPN verbinding. Een VPN geeft je beveiligde (versleutelde) en anonieme (omgeleide) toegang tot een netwerk en maakt daarmee de internetverbinding veiliger. Net zoals een firewall de gegevens op je computer beschermt, beschermt een VPN je gegevens online.

Het opslaan en gebruik van persoonsgegevens

Informeer je cliënten over hun privacy

In de nieuwe wet AVG ben je als bedrijf en website wettelijk verplicht je klanten en bezoekers duidelijk te informeren over welke privacygevoelige gegevens je verzamelt en met welk doel. Je verzamelt al snel veel gegevens, denk aan je e-mail, telefoontjes, website, statistieken, cliëntgegevens, dossiers, correspondentie. Alle gegevens die direct en indirect te herleiden zijn naar een persoon vallen onder de privacywet, denk aan:

  • Naam
  • Emailadres
  • Foto
  • Vingerafdruk
  • IP-adres en geolocatie (verzameld met Google Analytics cookies)
  • Leeftijd
  • RFID tag, MAC-adres, IMEI, cookie
  • Gezondheidsgegevens
  • Politieke opinies

Voor je cliëntgegevens en dossiers zijn er heel veel regels waar we in een ander artikel uitgebreider in zullen gaan. Bij je website moet je ten eerste een privacyverklaring opstellen om de bezoeker te informeren. Gebruik je nieuwsbriefsoftware zoals Mailchimp kijk dan even goed naar de privacy.

Vraag toestemming voor het gebruik van persoonsgegevens

Het is belangrijk dat voordat je gegevens gaat verzamelen je expliciet toestemming vraagt. Op je website verzamel je gegevens via de cookies die je website plaatst. Een standaard banner om te informeren over de cookies voldoet eigenlijk niet meer. Want dan gebruikt een bezoeker je website al en zijn de cookies al geplaatst. Er moet daarvoor toestemming gevraagd worden, dus dmv een cookiewall.

Het versturen van e-mailnieuwsbrieven gaat ook erg ingewikkeld zijn. Mensen moeten zich expliciet voor een lijst hebben opgegeven en je mag deze mensen niet voor een andere dienst mailen. Dat iemand zich ook voor deze lijst heeft opgegeven moet je kunnen aantonen. Het lijkt me bijna duidelijk dat je deze lijst ook niet aan iemand anders mag geven zonder toestemming van alle mensen die erop staan.

Gebruik je een pop-up op je website of geef je iets weg (zoals onze checklist) dan moet je er duidelijk bij vermelden waar je hun e-mailadres voor gaat gebruiken. Zorg bij een nieuwsbrief altijd voor een dubbele opt-in. Dit betekent dat iemand zich na inschrijving nog een keer bevestigen.

Voor je cliëntgegevens en dossiers moet je ook expliciet toestemming vragen. Verwerk dit zeker in een behandelovereenkomst die je bij aanvang van een behandeltraject laat ondertekenen.

Sla contactformulieren van je website niet op

Je zal vast een contactformulier op je website hebben. Zorg er dan voor dat alle berichten direct naar je e-mail wordt gemaild en niet worden opgeslagen op je website. Wij maken gebruik van WordPress en gebruiken Contact Form 7, deze slaat de berichten standaard niet op. Als het contactformulier niet op je website wordt opgeslagen, hoef je je daar geen zorgen over te maken.

Cookies en statistieken

Uit statistieken kun je een hoop informatie halen. Om statistieken bij te kunnen houden wordt er een cookie geplaatst, welke dus gegevens van bezoekers opslaan (hallo AVG). Meer over cookies vind je hier: cookies op je website. Persoonlijk ben ik dol op statistieken, maar de meeste mensen doen er niets mee. In dat geval kun je het beste deze cookies van je website verwijderen. Facebook pixel (mocht je het kennen) is sowieso aan te raden om te verwijderen.

Ook andere plugins gebruiken cookies om gegevens op te slaan. Denk aan social media (Facebook) like plugins, Google AdSense, AdWords en een boodschappenmandje. Met de nieuwe wet moet je om deze te gebruiken een cookiewall gebruiken.

En nu?

De belangrijkste boodschap is dat je al je beveiliging op orde hebt en dat je transparant bent in welke gegevens je van klanten, leveranciers, cliënten en via je website verzameld. Laat iedereen weten wat en hoe je dit doet, maak het niet te ingewikkeld en gebruik gewone taal. Mocht je toch gegevens verliezen (laptop met gegevens gestolen, website gehackt) dan ben je verplicht dit te melden.

 

De komende maanden gaat nog veel duidelijk worden over deze nieuwe wet. Uiteraard houden we je op de hoogte!

 

Laat een antwoord achter