Onder de AVG heeft de gewone burger (lees websitebezoeker) meer en uitgebreidere rechten dan onder de oude wet Wbp (Wet Bescherming Persoonsgegevens). Tegenover deze rechten staan plichten bij degenen die data verzamelen. Om die reden zijn er wat aanvullende eisen gekomen met betrekking tot contactformulieren.
In dit artikel bekijk ik hoe u een contactformulier maakt dat voldoet aan de AVG regels.
Een stukje theorie
Laten we eerst het theoretische stukje even beschouwen voordat we naar de praktische oplossing gaan.
In de regel vraagt u op een contactformulier om persoonsgegevens. Persoonsgegevens zijn gegevens die herleidbaar kunnen zijn naar een persoon. Daaronder vallen dus NAW gegevens maar ook bijvoorbeeld email adressen en IP adressen.
Omdat u om persoonsgegevens vraagt dient u daarmee te voldoen aan de AVG. Om een goed AVG compliant contactformulier te maken moet u rekening houden met de (nieuwe) rechten van de bezoeker. Dat is gelukkig geen hogere wiskunde.
Merk op dat het hier niet gaat om een ‘inschrijfformulier’ zoals dat bijvoorbeeld gebruikt wordt voor het aanmelden op een nieuwsbrief. Het gaat uitsluitend om een contactformulier.
Hieronder volgen de zaken uit de AVG die van toepassing kunnen zijn. Of onderstaande zaken relevant zijn hangt af van wat u vraagt en of deze gegevens vervolgens op worden geslagen in een database. Veel contactformulieren sturen alleen een email bij verzending maar slaan de gegevens niet op. Wel is het zo dat dan de gegevens in ieder geval ‘opgeslagen’ zijn in een email. In principe gelden onderstaande zaken dan ook voor die emails.
Relevante rechten onder de AVG
Data minimalisatie
Deze is makkelijk te begrijpen; u mag alleen die privacy data verzamelen die relevant is voor het doel dat u beoogt. Merk op dat u dit doel moet omschrijven in uw verwerkingsregister maar dat valt buiten de scope van dit artikel. Simpel gezegd betekent dit dat u op een contactformulier eigenlijk alleen om een naam en een email adres mag vragen. Als u meer privacy gegevens wil vragen dan mag dat mits daar een goede reden (doel) voor is.
Recht op inzage
Als u privacy informatie verwerkt van mensen dan hebben deze mensen het recht om aan u te vragen (of)welke gegevens u van hen verwerkt, met welk doel, aan wie deze informatie eventueel nog meer is verstrekt en (indien bekend) wat de herkomst van de gegevens is. U heeft dan de verplichting om ze die informatie, binnen 4 weken, schriftelijk of per email aan te leveren.
Meer informatie hier.
Recht op vergetelheid
Een persoon van wie u privacy informatie verwerkt mag u verzoeken alle informatie van hem of haar uit uw gegevens te verwijderen. U heeft dan aan dat verzoek te voldoen, uitzonderingen daargelaten. U moet dus weten welke informatie u van deze persoon heeft, waar deze is opgeslagen, en hoe deze te verwijderen. Ook hier geldt dat u 4 weken de tijd heeft om dat te regelen.
Meer informatie hier.
Overige rechten
Afhankelijk van de gegevens die u vraagt en het doel dat u daarvoor heeft, alsook het eventuele opslaan van die gegevens in een database kunnen de volgende rechten ook van toepassing zijn: Recht op dataportabiliteit, Recht op rectificatie, Recht op beperking van de verwerking, Recht bij geautomatiseerde besluitvorming en profilering en Recht op bezwaar.
Echter, voor een eenvoudig contactformulier zoals deze op het merendeel van de websites wordt gebruikt zullen deze rechten waarschijnlijk niet echt relevant zijn.
Technisch passende maatregelen
Als u privacy informatie verwerkt dan bent u daar verantwoordelijk voor. De wet eist dat u dat zo veilig mogelijk doet en daarvoor dient u ‘passende technische maatregelen’ te treffen. Nu kan niet beveiligd internetverkeer in theorie ‘afgeluisterd’ worden. Daarom, u raadt het al, moet u ervoor zorgen dat er gebruik wordt gemaakt van een ‘beveiligde verbinding’. Ook dat is gelukkig vrij simpel te realiseren.
De praktische oplossing
Leuk die theorie maar wat moeten we ermee doen? De twee sleutelwoorden binnen de AVG zijn ’transparantie’ en ‘zorgvuldig’. Dat is waar het in de kern om gaat.
Technisch passende maatregelen
Als u privacy gevoelige informatie vraagt dan moet u er voor zorgen dat deze informatie veilig uitgewisseld kan worden. In de praktijk betekent dat dat u de informatie-uitwisseling met uw website moet ‘encrypten’. Hoe dat precies werkt is niet belangrijk voor dit artikel, het komt erop neer dat u een zogenaamd beveiligingscertificaat, ook vaak SSL certificaat, installeert op uw website.
SSL certificaten zijn er in verschillende soorten en prijsklassen maar in dit geval zal veelal een eenvoudig SSL certificaat (certificaat met alleen domein validatie) volstaan. De kosten daarvan zijn afhankelijk van de leverancier van het certificaat. Een Let’s Encrypt certificaat is gratis en bijvoorbeeld eenzelfde certificaat van Comodo kost in de regel minder dan 10 euro per jaar.
Een certificaat aanvragen of installeren is vrij eenvoudig maar als u ICT zaken last vindt dan kan uw hosting partij of ICT dienstverlener u daar vast mee helpen. UIteraard kunt u ook met Multitask ICT bellen, we helpen u graag.
Als u een certificaat op uw website hebt dan ziet u een groen slotje links bovenin uw browser met daarnaast de tekst ‘Veilig’. Zie ook de afbeelding hierboven. Ook begint het adres van uw website (de URL) met de letters https in plaats van http. De toegevoegde ‘s’ staat voor secure.
Gebruik van het certificaat afdwingen
Het installeren van een certificaat is nog niet voldoende, ook het gebruik ervan moet afgedwongen worden. Als u probeert http://www.avgpraktisch.nl te openen dan wordt u vanzelf doorgestuurd naar https://www.avgpraktisch.nl
Wees transparant
Transparant zijn betekent niets meer dan duidelijk aangeven ‘wat’ u vraagt, ‘waarom’ u dat vraagt en ‘hoe’ u met die gegevens om gaat.
Geef aan wat u vraagt en wat daarvan het doel is
U vraagt om persoonsgegevens met een doel; hoogstwaarschijnlijk omdat u dan contact op kunt nemen met degene die u een bericht stuurt. Het enige dat u moet doen is dat vermelden op het contactformulier. Op het contactformulier op deze website staat daarom de volgende zin:
“Dit formulier vraagt u om uw naam en email adres zodat wij met u kunnen communiceren.”
Geef aan wat u met de gegevens (niet) doet
Sommigen zullen nu zeggen “maar dat staat toch al in onze Privacyverklaring?”. Dat kan best zijn maar mensen gaan nu eenmaal niet een verklaring opzoeken. Omwille van de transparantie moet u dat ter plaatse op het formulier kort en bondig aangeven. U mag daarbij uiteraard wel naar uw Privacyverklaring verwijzen.
Op het contactformulier op deze website staat daarom de volgende zin:
Uw gegevens worden worden nooit aan derden verstrekt. Zie onze Privacyverklaring om te zien hoe wij met uw gegevens omgaan.
Vraag toestemming
De AVG stelt heel duidelijk dat u een wettelijke grondslag moet hebben om persoonsgegevens te verwerken. Er zijn zegge en schrijve zes wettelijke grondslagen. In een ander artikel zal ik daar meer over schrijven maar voor nu is het voldoende te weten dat de wettelijke grondslag van een contactformulier de ‘Toestemming’ is. Anders gezegd, u gaat de gevraagde persoonsgegevens verwerken voor het door u gestelde doel (contact op kunnen nemen) met als wettelijke grondslag Toestemming.
In dit geval is het dan ook handig om expliciet die toestemming te vragen. Zonder die toestemming mag u de persoonsgegevens niet verwerken.
Vertaald naar de praktische kant van dit artikel betekent dat simpelweg dat u om die toestemming moet vragen. U doet dat eenvoudig met een checkbox die de contactformulier bezoeker aan kan vinken. Alleen als deze toestemming gegeven wordt moet het contactformulier de gegevens opslaan of emailen.
Merk op dat deze checkbox niet al aan mag staan vanwege het AVG principe ‘Privacy by default’. Contactformulier bezoekers moeten expliciet een vinkje zetten om toestemming tengeven, anders heeft het geen wettelijke waarde.
Op ons eigen contactformulier ziet u daarom het volgende staan:
Gebruik eenvoudige taal
Tot slot nog dit. Het moet voor iedereen begrijpelijk zijn wat u vraagt, met welk doel en hoe u met de verstrekte persoonsgegevens om gaat. Gebruik Jip & Janneke taal. Duidelijk en transparant zijn zal bovendien veelal in uw voordeel werken.
Voorbeeld zien?
Het contactformulier op deze website is een uitwerking van het bovenstaande.
De registratie in het verwerkingsregister
Als u persoonsgegevens verwerkt dan heeft u een volgens de AVG een ‘Verantwoordingsplicht‘. Uit deze verplichting vloeien een aantal maatregelen voort. Voor het contactformulier betekent dit heel concreet dat u bovenstaande zaken moet documenteren in het register van verwerkingsactiviteiten, oftewel in het verwerkingsregister.
In een ander artikel zal ik meer uitleggen over het verwerkingsregister maar voor nu volstaat het om te zeggen dat het verwerkingsregister simpelweg een bestand of database dat de informatie bevat over de persoonsgegevens die u verwerkt. De AVG schrijft voor welke informatie u als verantwoordelijke daarin dient op te nemen. Als de Autoriteit Persoonsgegevens (AP) daar om vraagt, moet u het register direct kunnen laten zien.
Overigens is het strikt genomen zo dat u niet in alle gevallen verplicht bent om een verwerkingsregister te hebben want er zijn uitzonderingen, al zal dat in de praktijk maar weinig voorkomen. Voor dit artikel ga ik ervan uit dat u wel degelijk een verwerkingsregister moet hebben.
Online verwerkingsregister versus Excel sheet
U bent vrij om zelf invulling te geven aan de opzet van het verwerkingsregister. In de praktijk zie je dat veel zzp’ers en kleine bedrijven een Excel sheet of iets dergelijks gebruiken. Soms geven branche organisaties of andere organisaties een soort sjabloon in Excel aan hun leden.
Als je dat vergelijkt met een online verwerkingsregister zoals wij dat gebruiken en in de markt zetten dan zijn er wel flinke verschillen. Zo mist u in een Excel sheet vaak een aantal essentiële zaken, is een ‘workflow’ niet geautomatiseerd, krijgt u geen directe rapportages, risico overzichten e.d. en is het onderhoud toch wat lastig, zeker als u met meerdere mensen daarin moet werken.
Registeren verwerkingsactiviteit in ons online verwerkingsregister
Hieronder laat ik u zien hoe ik het contactformulier met bijbehorende zaken in ons online verwerkingsregister zet. Daarmee heb ik dan deze specifieke verwerking goed geregistreerd en kan ik aantonen hoe alles geregeld is mocht de Autoriteit Persoonsgegevens daarom vragen.
De registratie van de verwerkingsactiviteit
Hieronder ziet u een scherm waarmee ik verwerkingsactiviteiten in het (online) verwerkingsregister kan vastleggen. Ik ga hiervoor door alle tabbladen heen, van links naar rechts. Ik begin met de verwerking zelf.
Allereerst geef ik de registratie een handige titel zodat ik in mijn overzicht direct kan zien om welke activiteit het gaat. In dit geval heb ik gekozen voor ‘Contactformulier avgpraktisch.nl‘.
Het doel van deze activiteit is dat ik kan communiceren met de personen die mij een bericht sturen.
Zoals eerder aangegeven, de wettelijke grondslag voor deze activiteit is ‘Toestemming’. Ik kan deze eenvoudig in het dropdown menu selecteren.
Vervolgens is het zaak om eventuele verantwoordelijken aan te wijzen.
Het informatiesysteem is in dit geval een website. Ook dit kan ik eenvoudig uit een dropdown menu selecteren.
Het resultaat is als volgt:
Op het tabblad Persoonsgegevens geef ik aan om wat voor persoonsgegevens het gaat. ook hier kan ik eenvoudig gegevens selecteren uit een dropdown menu.
De bewaartermijn voor dit soort gegevens is in de regel maximaal 2 jaar. U mag een langere termijn aangeven als u daar een goede reden voor heeft. Ik heb het tabblad Bewaartermijn niet getoond hier maar wil wel vertellen dat daar een grote tabel staat met meest gebruikelijke en wettelijke bewaartermijnen voor allerlei verschillende data en doeleinden.
Merk op dat u nu strikt genomen de verzamelde gegevens die u niet meer gebruikt zou moeten weg gooien na 2 jaar. Het helpt in dat geval dat u uw emailbox goed organiseert. Zo zou u ervoor kunnen kiezen om alle contactformulier reacties in een aparte map (of mappen) te plaatsen. Dat voorkomt dat u later moet gaan zoeken in uw Postvak IN.
Van Verwerkers en bijkomende Verwerkersovereenkomsten is hier geen sprake dus die slaan we over (vullen we niet in). Het online register voorziet in allerlei model documenten, waaronder ook een model verwerkingsovereenkomst. Dat is gemakkelijk als u een verwerkingsovereenkomst op moet stellen.
Op het tabblad Extra info kunt u tenslotte extra opmerkingen plaatsen die informatie toevoegen aan de verwerkingsactiviteit. Achterliggend is het idee dat als de Autoriteit Persoonsgegevens om inzage vraagt dit geen vragen of discussie zal opleveren.
Andere overwegingen
Tot slot nog een paar woorden om dit verhaal in een wat grote perspectief te plaatsen.
Impact van een datalek
Hoewel het bovenstaande een goede exercitie is moet u ook kijken naar de ‘impact’ van een eventueel datalek.
Het zal duidelijk zijn dat in de regel bij een lek in contactformulier berichten de impact niet heel ernstig zal zijn. Stelt u zich voor dat u alle contactformulier berichten, bijvoorbeeld 200, online opslaat in een database en uw website wordt gehacked; de hacker zou dan toegang hebben tot alle (200) verzamelde berichten. Daarmee maakt de hacker dan een naam en email adres buit en in theorie zou hij deze mensen kunnen benaderen, wellicht uw identiteit gebruikende om iets voor elkaar te krijgen.
Hoewel dit een ‘incident’ is dat u zult moeten registeren in uw verwerkingsregister, en wellicht ook moet melden aan de Autoriteit Persoonsgegevens en misschien ook aan de betrokkenen moet communiceren, is de impact natuurlijk niet te vergelijken met die van een gehackte database vol met credit card nummers van een paar honderdduizend mensen. Anders gezegd; de impact van een datalek zou ‘gering’ kunnen zijn. Overeenkomstig zijn de beveiligingseisen ook minder stringent.
Passende maatregelen
We hebben in deze context alleen gesproken over passsende maatregelen op het formulier zelf. Als uw formulier onderdeel is van een CMS zoals bijvoorbeeld WordPress, Joomla of Drupal (dat zal vrijwel altijd het geval zijn) dan is het uiteraard ook zaak dat u de toegang tot de website goed afschermt.
Beperk het aantal mensen dat kunnen inloggen op uw CMS, beperk hun rechten, dwing het gebruik van sterke wachtwoorden af en overweeg een tweetraps autentificatie (two factor authentification) te gebruiken. Daarnaast moet u er ook voor zorgen, of laten zorgen, dat de beveiliging webserver bij de uw hosting provider op orde is.
Overigens, als u uw gegevens online opslaat en uw hosting provider kan bij uw website (meestal het geval) dan dient u strikt genomen ook een verwerkingsovereenkomst met uw hosting provider te hebben en deze moet vervolgens terug te vinden zijn in uw verwerkingsregister.
Vindt u dit een informatief artikel?
Tip uw vrienden en relaties!