Laatste update: 23/05/2018
Grote ongerustheid en trammelant in blogland dezer dagen. Op 25 mei 2018 treedt de nieuwe Europese privacywet in voege. De wet – in het Nederlands bekend als Algemene Verordening Gegevensbescherming (AVG), GDPR in het Engels – geldt voor iedereen die op een of andere manier persoonlijke gegevens wil of moet bewaren. Maar moet ook de kleine hobbyblogger nu echt aan de gang met AVG en privacyverklaring?
Het schijt aan AVG/GDPR?
En om maar meteen die vraag te beantwoorden: ja, in de praktijk moet zelfs de kleine hobbyblogger zich aan de AVG houden. Want zelfs de doorsnee hobbyblogger houdt persoonsgegevens bij. Al was het maar omdat er bezoekersstatistieken worden bijgehouden (IP-adressen) en er de mogelijkheid is om reacties achter te laten onder je blogs (namen en e-mailadressen).
Kunnen AVG en privacyverklaring je gestolen worden en wil je toch blijven bloggen? Dan heb je nu in ieder geval het perfecte excuus gevonden om de reactiemogelijkheid onder je artikels voorgoed uit te schakelen. Om dezelfde reden zul je dan ook moeten stoppen met het verzamelen van bezoekersstatistieken voor je blog. Je kan je wel de vraag stellen wat de fun van het bloggen dan nog is.. Maar goed, het kan!
Ook voor bloggers met een gratis blog?
Moet je ook aan de AVG voldoen als je bijvoorbeeld op WordPress.com of Blogger.com blogt? Voor zover ik dat nu kan zien geldt de AVG ook in dat geval. Immers, ook hier kan je reacties toestaan (en dus namen en mailadressen verzamelen) Bovendien worden ook hier statistieken bijgehouden (IP-adressen). En tot slot kunnen mensen zich soms inschrijven om je blog te volgen.
Op WordPress.com worden de stats bijgehouden via Jetpack. IP-adressen worden maximaal 28 dagen bewaard.
Hooguit kan je je als blogger wat makkelijker verschuilen achter de privacyvoorwaarden van de aanbieder van je gratis blog. Door met hen in zee te gaan onderschrijf je ook hun voorwaarden.
Je kan er wel van op aan dat de kans relatief klein is dat er wat misloopt met de bewaarde gegevens. Dergelijk grote jongens kunnen het zich immers niet permitteren om laks om te gaan met (de beveiliging van) data. Het is echter zonneklaar dat jij als gebruiker uiteindelijk verantwoordelijk blijft voor wat er op je site gebeurt.
Ook al heb je een gratis blog, ik zou je sowieso aanraden om een privacyverklaring te maken. Al was het maar omdat je doorsnee lezer/gebruiker geen onderscheid maakt tussen een blog op een eigen domein en een gratis blog. Voor hen zijn het allemaal websites.
Wel is het waarschijnlijk dat je privacyverklaring hier wat korter kan. Zeker als je je enkel beperkt tot de mogelijkheden en functionaliteiten die je door de provider worden aangeboden.
Wat zijn persoonsgegevens?
Misschien denk je: “Ach, ik blog gewoon voor mijn plezier, mijn blog is geen onderneming en ik verzamel geen gevoelige gegevens.”
Echter, zodra het je menens is met je blog en zodra je een vorm van interactie met je lezer wil komt AVG/GDPR om de hoek kijken.
Wat wordt er precies verstaan onder (gevoelige) persoonsgegevens?
- namen
- geboortedata
- adresgegevens
- mailadressen
- telefoon- en GSM-nummers
- IP-adressen
- …
Eigenlijk is elk brokje info dat je kan terugleiden tot een persoon gevoelige informatie.
Verder kijken dan je neus lang is
Het stopt immers niet bij de in het oog springende dingen die op je blog zelf gebeuren. Ik had het al over het meten van je blogstats. Maar wat gedacht van de mogelijkheid voor je lezer om zich te abonneren op je blog, of zich in te schrijven op een eventuele nieuwsbrief? En oh ja, als je een winactie organiseert moet je vroeg of laat toch wat persoonsgegevens hebben om een en ander vlot te laten verlopen.
Waar het om gaat is dat niet alleen jij als blogger toegang hebt tot persoonsgegevens van je bezoeker. Ook partijen die instaan voor de goede werking van je blog kunnen in theorie aan die informatie. WordPress, je hostingprovider, je affiliatepartners, je e-mailprovider, bepaalde plugins, you name it.
Met deze derde partijen sluit je trouwens een verwerkersovereenkomst. Daarin maak je dan afspraken over het zorgvuldig omspringen met de door jou verzamelde gegevens. Bij grote bedrijven zit deze verwerkersovereenkomst vaak vervat in de algemene voorwaarden.
Dus het is verstandig om vooraf eerst even te kijken:
- welke informatie je zoal bij bijhoudt in functie van je blog
- hoe en waar je die gegevens bewaart
- of je voor het bewaren en beveiligen van die informatie een beroep doet op externe diensten (en welke dat dan zijn)
Wat is een privacyverklaring?
Heel eenvoudig: in de privacyverklaring geef je aan wat je doet om de hoe je omgaat met gegevens die je lezers en bezoekers eventueel achterlaten op je blog. Het document moet makkelijk vindbaar zijn op je site. Daarnaast moet de privacyverklaring ook nog in een toegankelijke taal (aangepast aan je doelpubliek) zijn opgesteld.
Wat moet er in de privacyverklaring van je blog?
Dat hangt natuurlijk ook af van jouw persoonlijke situatie. Je kan er een uitgebreid document van maken of het juist heel beknopt houden.
De privacyverklaring moet aangeven:
- (contactgegevens van) de eigenaar van het blog
- (contactgegevens van) de persoon die verantwoordelijk is voor de gegevensverwerking op je site
- welke persoonsgegevens je verzamelt in functie van je blog
- waarom je deze gegevens precies gebruikt (waarom je ze nodig hebt)
- hoelang je ze desgevallend bewaart
- hoe je ze beveiligt (wat je doet om te vermijden dat ze in handen van derden komen)
En dan we er nog niet, want je moet ook nog melden dat:
- je lezers en bezoekers het recht hebben om de info die jij over hen hebt bewaard desgevraagd in te zien
- men je eventueel kan verzoeken om de gegevens te wijzigen of definitief uit je systeem te halen (en hoe dat dan het best kan gebeuren)
Tot slot zou ik – puur omwille van de transparantie – melding maken van de derde partijen/online dienstverleners die je helpen met de administratie om en rond je blog.
En in het geval van datalekken moet je uiteraard:
- je lezers en volgers hiervan op de hoogte brengen
- het probleem binnen 3 dagen melden bij de Autoriteit Persoonsgegevens (NL) of de privacycommissie (BE)
Het is tot slot goed om in het achterhoofd te houden dat zo’n privacyverklaring voor je blog niet iets is dat je één keer opstelt om daarna nooit meer naar om te kijken. Immers, ga je in de loop der tijd bijvoorbeeld anders om met reacties, of je gaat met andere partijen samenwerken, of je houdt de gegevens toch langer bij dan eerst afgesproken, dan moet je privacyverklaring worden aangepast.
AVG en privacyverklaring voor bloggers?
Een hele boterham, niet? Zie je het niet zitten om je privacyverklaring zelf in elkaar te knutselen dan kan je altijd nog je toevlucht nemen tot tools zoals de privacyverklaring generator. Maar of dat nou wel zo verstandig is? Je privacyverklaring dient immers in een toegankelijke taal geschreven te zijn. En het heeft bovendien voordelen als je zelf iedere letter van je privacyverklaring begrijpt. Is dat het geval als je zo’n gestandaardiseerd document gebruikt? Om diezelfde reden zou ik ook niet zomaar de privacyverklaring van een collega-blogger overnemen.
Ik weet niet hoe het met jou zit, maar ik vrees de dag dat een bezoeker op me toe zal stappen met de vraag of ik zijn gegevens uit mijn ecosysteem wil halen. Hoe kan ik trouwens controleren of die bezoeker inderdaad diegene is die hij beweert te zijn? Identiteitsbewijs vragen? Dat is pas schending van de privacy!
Update: WordPress en AVG/GDPR
Voor een deel van de hierboven aangehaalde problemen is een oplossing in zicht. Tenminste als je blogt via WordPress.org.
Volgens ingelichte bronnen is WordPress momenteel hard aan het werk om het gebruik van het cms aan te passen aan de nieuwe Europese privacywet. Zo zal de nieuwste versie van WordPress (4.9.6.) waarschijnlijk voorzien zijn van een paar handige tools om het je makkelijker te maken om aan de regels te voldoen. Dan moet je onder meer denken aan:
- een speciale sectie die alle AVG-toestanden bundelt
- een (Engelstalige) tool voor het aanmaken en instellen van je privacyverklaring
- tools om gegevens van gebruikers te managen
- mogelijkheden om verzoeken om wijzigingen/verwijdering van persoonlijke gegevens te beheren en af te handelen
- tools gebruikersgegevens na verloop van tijd te wissen
Zelf heb ik het nog niet kunnen uitproberen, maar dit lijkt op iets waar veel bloggers op zitten te wachten, dunkt me.
Opgelet: ga nu niet gelijk die nieuwste WordPress-versie installeren. Het gaat hier namelijk om een testversie. Wacht liever op de officiële release.
Meer van dat?
- Op de website Charlotte’s law vind je nog veel meer over AVG/GDPR. Een must als je zinnens bent om zakelijk te gaan bloggen of als je je blog echt commercieel wil inzetten. Charlotte is jurist en kent dus écht het klappen van de zweep. Op haar site vind je trouwens ook een model voor een privacyverklaring op maat van hobbybloggers. Het kan als basis dienen voor jouw privacyverklaring.
- Zo voldoe je als blogger aan de Privacyverordening (AVG/GDPR)
Geef een reactie