Wat moeten hobbybloggers met AVG en privacyverklaring?

Sharp Ben avatar

In:

Laatste update: 23/05/2018

Grote ongerustheid en trammelant in blogland dezer dagen. Op 25 mei 2018 treedt de nieuwe Europese privacywet in voege. De wet – in het Nederlands bekend als Algemene Verordening Gegevensbescherming (AVG), GDPR in het Engels – geldt voor iedereen die op een of andere manier persoonlijke gegevens wil of moet bewaren. Maar moet ook de kleine hobbyblogger nu echt aan de gang met AVG en privacyverklaring?

Het schijt aan AVG/GDPR?

En om maar meteen die vraag te beantwoorden: ja, in de praktijk moet zelfs de kleine hobbyblogger zich aan de AVG houden. Want zelfs de doorsnee hobbyblogger houdt persoonsgegevens bij. Al was het maar omdat er bezoekersstatistieken worden bijgehouden (IP-adressen) en er de mogelijkheid is om reacties achter te laten onder je blogs (namen en e-mailadressen).

Kunnen AVG en privacyverklaring je gestolen worden en wil je toch blijven bloggen? Dan heb je nu in ieder geval het perfecte excuus gevonden om de reactiemogelijkheid onder je artikels voorgoed uit te schakelen. Om dezelfde reden zul je dan ook moeten stoppen met het verzamelen van bezoekersstatistieken voor je blog. Je kan je wel de vraag stellen wat de fun van het bloggen dan nog is.. Maar goed, het kan!

Ook voor bloggers met een gratis blog?

Moet je ook aan de AVG voldoen als je bijvoorbeeld op WordPress.com of Blogger.com blogt? Voor zover ik dat nu kan zien geldt de AVG ook in dat geval. Immers, ook hier kan je reacties toestaan (en dus namen en mailadressen verzamelen) Bovendien worden ook hier statistieken bijgehouden (IP-adressen). En tot slot kunnen mensen zich soms inschrijven om je blog te volgen.

Op WordPress.com worden de stats bijgehouden via Jetpack. IP-adressen worden maximaal 28 dagen bewaard.

Hooguit kan je je als blogger wat makkelijker verschuilen achter de privacyvoorwaarden van de aanbieder van je gratis blog. Door met hen in zee te gaan onderschrijf je ook hun voorwaarden.

Je kan er wel van op aan dat de kans relatief klein is dat er wat misloopt met de bewaarde gegevens. Dergelijk grote jongens kunnen het zich immers niet permitteren om laks om te gaan met (de beveiliging van) data. Het is echter zonneklaar dat jij als gebruiker uiteindelijk verantwoordelijk blijft voor wat er op je site gebeurt.

Ook al heb je een gratis blog, ik zou je sowieso aanraden om een privacyverklaring te maken. Al was het maar omdat je doorsnee lezer/gebruiker geen onderscheid maakt tussen een blog op een eigen domein en een gratis blog. Voor hen zijn het allemaal websites.

Wel is het waarschijnlijk dat je privacyverklaring hier wat korter kan. Zeker als je je enkel beperkt tot de mogelijkheden en functionaliteiten die je door de provider worden aangeboden.

Wat zijn persoonsgegevens?

Misschien denk je: “Ach, ik blog gewoon voor mijn plezier, mijn blog is geen onderneming en ik verzamel geen gevoelige gegevens.”

Echter, zodra het je menens is met je blog en zodra je een vorm van interactie met je lezer wil komt AVG/GDPR om de hoek kijken.

Wat wordt er precies verstaan onder (gevoelige) persoonsgegevens?

  • namen
  • geboortedata
  • adresgegevens
  • mailadressen
  • telefoon- en GSM-nummers
  • IP-adressen

Eigenlijk is elk brokje info dat je kan terugleiden tot een persoon gevoelige informatie.

Verder kijken dan je neus lang is

Het stopt immers niet bij de in het oog springende dingen die op je blog zelf gebeuren. Ik had het al over het meten van je blogstats. Maar wat gedacht van de mogelijkheid voor je lezer om zich te abonneren op je blog, of zich in te schrijven op een eventuele nieuwsbrief? En oh ja, als je een winactie organiseert moet je vroeg of laat toch wat persoonsgegevens hebben om een en ander vlot te laten verlopen.

Waar het om gaat is dat niet alleen jij als blogger toegang hebt tot persoonsgegevens van je bezoeker. Ook partijen die instaan voor de goede werking van je blog kunnen in theorie aan die informatie. WordPress, je hostingprovider,  je affiliatepartners, je e-mailprovider, bepaalde plugins, you name it.

Met deze derde partijen sluit je trouwens een verwerkersovereenkomst. Daarin maak je dan afspraken over het zorgvuldig omspringen met de door jou verzamelde gegevens. Bij grote bedrijven zit deze verwerkersovereenkomst vaak vervat in de algemene voorwaarden.

Dus het is verstandig om vooraf eerst even te kijken:

  • welke informatie je zoal bij bijhoudt in functie van je blog
  • hoe en waar je die gegevens bewaart
  • of je voor het bewaren en beveiligen van die informatie een beroep doet op externe diensten (en welke dat dan zijn)

Wat is een privacyverklaring?

Heel eenvoudig: in de privacyverklaring geef je aan wat je doet om de hoe je omgaat met gegevens die je lezers en bezoekers eventueel achterlaten op je blog. Het document moet makkelijk vindbaar zijn op je site. Daarnaast moet de privacyverklaring ook nog in een toegankelijke taal (aangepast aan je doelpubliek) zijn opgesteld.

Wat moet er in de privacyverklaring van je blog?

Dat hangt natuurlijk ook af van jouw persoonlijke situatie. Je kan er een uitgebreid document van maken of het juist heel beknopt houden.

De privacyverklaring moet aangeven:

  • (contactgegevens van) de eigenaar van het blog
  • (contactgegevens van) de persoon die verantwoordelijk is voor de gegevensverwerking op je site
  • welke persoonsgegevens je verzamelt in functie van je blog
  • waarom je deze gegevens precies gebruikt (waarom je ze nodig hebt)
  • hoelang je ze desgevallend bewaart
  • hoe je ze beveiligt (wat je doet om te vermijden dat ze in handen van derden komen)

En dan we er nog niet, want je moet ook nog melden dat:

  • je lezers en bezoekers het recht hebben om de info die jij over hen hebt bewaard desgevraagd in te zien
  • men je eventueel kan verzoeken om de gegevens te wijzigen of definitief uit je systeem te halen (en hoe dat dan het best kan gebeuren)

Tot slot zou ik – puur omwille van de transparantie – melding maken van de derde partijen/online dienstverleners die je helpen met de administratie om en rond je blog.

En in het geval van datalekken moet je uiteraard:

Het is tot slot goed om in het achterhoofd te houden dat zo’n privacyverklaring voor je blog niet iets is dat je één keer opstelt om daarna nooit meer naar om te kijken. Immers, ga je in de loop der tijd bijvoorbeeld anders om met reacties, of je gaat met andere partijen samenwerken, of je houdt de gegevens toch langer bij dan eerst afgesproken, dan moet je privacyverklaring worden aangepast.

AVG en privacyverklaring voor bloggers?

Een hele boterham, niet? Zie je het niet zitten om je privacyverklaring zelf in elkaar te knutselen dan kan je altijd nog je toevlucht nemen tot tools zoals de privacyverklaring generator. Maar of dat nou wel zo verstandig is? Je privacyverklaring dient immers in een toegankelijke taal geschreven te zijn. En het heeft bovendien voordelen als je zelf iedere letter van je privacyverklaring begrijpt. Is dat het geval als je zo’n gestandaardiseerd document gebruikt? Om diezelfde reden zou ik ook niet zomaar de privacyverklaring van een collega-blogger overnemen.

Ik weet niet hoe het met jou zit, maar ik vrees de dag dat een bezoeker op me toe zal stappen met de vraag of ik zijn gegevens uit mijn ecosysteem wil halen. Hoe kan ik trouwens controleren of die bezoeker inderdaad diegene is die hij beweert te zijn? Identiteitsbewijs vragen? Dat is pas schending van de privacy!

Update: WordPress en AVG/GDPR

Voor een deel van de hierboven aangehaalde problemen is een oplossing in zicht. Tenminste als je blogt via WordPress.org.

Volgens ingelichte bronnen is WordPress momenteel hard aan het werk om het gebruik van het cms aan te passen aan de nieuwe Europese privacywet. Zo zal de nieuwste versie van WordPress (4.9.6.)  waarschijnlijk voorzien zijn van een paar handige tools om het je makkelijker te maken om aan de regels te voldoen. Dan moet je onder meer denken aan:

  • een speciale sectie die alle AVG-toestanden bundelt
  • een (Engelstalige) tool voor het aanmaken en instellen van je privacyverklaring
  • tools om gegevens van gebruikers te managen
  • mogelijkheden om verzoeken om wijzigingen/verwijdering van persoonlijke gegevens te beheren en af te handelen
  • tools gebruikersgegevens na verloop van tijd te wissen

Zelf heb ik het nog niet kunnen uitproberen, maar dit lijkt op iets waar veel bloggers op zitten te wachten, dunkt me.

Opgelet: ga nu niet gelijk die nieuwste WordPress-versie installeren. Het gaat hier namelijk om een testversie. Wacht liever op de officiële release.


Meer van dat?

Category:

Comments

10 reacties op “Wat moeten hobbybloggers met AVG en privacyverklaring?”

  1. Rosita avatar

    Wat fijn dat je uitgebreid ingaat op die privacyverklaring.

  2. Joke Pallada avatar

    Ander probleempje: als er op een dag iemand naar me toekomt met het verzoek zijn of haar gegevens van mijn blog te halen, heb ik geen flauw idee hoe ik dat moet doen. Ik zou niet weten waar die gegevens bewaard worden.

    1. Sharp Ben avatar
      Sharp Ben

      Dat moet dan geval per geval bekeken worden. Het is in WordPress perfect mogelijk om pakweg de reacties van een bepaalde gebruiker weg te halen…

    2. Jeroen Rotty avatar

      Dat kan nu perfect met wat WordPress 4.9.6 je aanbiedt.
      Kijk maar even onder Instellingen > Privacy en Hulpmiddelen > Export / Erase personal Data

  3. Bas van Vuren avatar

    Dank voor de wake up call, Ben. Ik heb de mijne opgesteld en heden gepubliceerd: https://apiedapie.com/2018/05/04/privacyverklaring/

  4. Janet avatar

    Dank voor deze info. Hoe uitgebreid moeten je contactgegevens zijn? Ik wil mijn telefoonnummer en mijn privé-adres liever niet zomaar op mijn blog vermelden. Volstaan ook mijn naam en woonplaats?

    1. Sharp Ben avatar
      Sharp Ben

      Voor zover ik weet wel. Maar ik ben geen jurist…

  5. Gerda avatar

    Wel van gehoord, maar nooit bij stilgestaan dat het ook voor bloggers geldt. Vond die cookies eigenlijk al voldoende en ga echt niet mijn persoonlijke gegevens open en bloot neerleggen. Hopen dat het goed gaat.

  6. Jan avatar

    Hoi Ben, ik zag dat jij, net als mij, ook Gmail als contact email gebruikt.
    Moet hier nog wat apart over gezegd, lees geschreven, worden m.b.t. de privacy verklaring? Google ‘leest’de mails. Dus wellicht ook gevoelige gegevens. I shier iets over bekent, hoe hiermee om te gaan?
    Groeten, Jan

  7. Sharp Ben avatar
    Sharp Ben

    Gmail is een dienst van Google en dus verwijs ik naar de voorwaarden van Google.

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *