14 mei 2018
AVG/GDPR & cookie-implementatie: zo doen wij het
Er is heel veel gezegd en geschreven over AVG/GDPR. Dat gaan wij dus zeker níet uitgebreid doen. Wél laten we graag zien hoe wij het voor onze klanten implementeren. We gaan er in deze blog vanuit dat we werken met de volgende tools: Google Analytics, Google Tag Manager, Facebook/AdWords, Mailchimp en Mouseflow/Hotjar.
We adviseren iedereen AVG-richtlijnen op hun website(s) te volgen
- Iedereen moet een privacy- en cookiebeleid hebben conform AVG/GDPR (ik zou zeggen Google eens op "avg privacybeleid generator" of huur een jurist in).
- Voor functionele cookies (bijv. account-functionaliteit en onthouden producten in winkelmandje) hoef je helemaal niets te doen.
- Voor analytische cookies (bijv. als je Google Analytics gebruikt) hoef je geen toestemming te vragen als je aan bepaalde voorwaarden voldoet (IP-adressen anonimiseren, altijd SSL gebruiken voor Google Analytics en de gebruikersovereenkomst accepteren) maar moet je bezoekers wel informeren, een logische plek is in een privacyverklaring. Een cookiebar is hiervoor dus niet meer nodig, maar mocht je toch een cookiebar willen weergeven, dan kan dit kan met onze Cookiemelding voor Google Tag Manager
- Voor tracking cookies (bijv. voor retargeting en profiling) moet je expliciet toestemming vragen. Een gebruiker moet dus eerst actief op "ja" (of vergelijkbaar) klikken. Pas daarná mag je de scripts laden en de gebruiker gaan "tracken". Belangrijk: het moet net zo makkelijk zijn om de toestemming weer in te trekken als om 'm te geven. Dit mag niet via de browser-instellingen zijn. Voor het managen van die expliciete toestemmingen bestaan tools (zoals deze), je kunt het natuurlijk ook custom laten bouwen door je webbouwer of door ons.
Het is als klant goed om zelf zorg te dragen voor je privacy- en cookiebeleid, dit adviseren wij dus ook. Wij helpen graag bij het bouwen van cookiemeldingen en dergelijken!
Wij stellen de tools correct in
- Google Analytics/Google Tag Manager: we accepteren het nieuwe privacybeleid + verwerkersovereenkomst, anonimiseren IP adressen, gebruiken voor Google Analytics altijd een SSL-verbinding, delen geen gegevens met Google en bewaren cookie- of User-ID gekoppelde gegevens maximaal 26 maanden.
- Mouseflow/Hotjar: we accepteren het nieuwe privacybeleid + verwerkersovereenkomst, we anonimiseren IP adressen en slaan geen invoer (van toetsen) op.
- Facebook/AdWords: we accepteren het nieuwe privacybeleid + verwerkersovereenkomst.
- Mailchimp: we accepteren het nieuwe privacybeleid + verwerkersovereenkomst en we voegen nooit zomaar e-mailadressen toe (nee, ook niet als een klant het vraagt, dit mag gewoon écht niet meer). Indien nodig kunnen we bestaande lijsten die niet helemaal netjes zijn verkregen opschonen (om toestemming vragen).
We willen niet pretenderen dat dit voor ons gesneden koek is, want dat is het voor niemand. Dus, heb je suggesties, laat het weten!