Hoe bevorder je als websitebeheerder de privacy van je bezoekers?
- 25 juni 2019
- Foto: Anni Roenkae
Het beschermen van privacy en internetvrijheid wordt vaak gezien als zaak van de gebruiker van het internet. Maar als je een website of dienst aanbiedt, kun je natuurlijk ook verantwoordelijkheid nemen. Ook als bijvoorbeeld als ondernemer, vereniging of stichting kun je bijdragen aan onze privacy en vrijheid online.
Als beheerder van de website van een vereniging, stichting of bedrijf word je al gauw aangemoedigd om zo veel mogelijk gegevens over je bezoekers te verzamelen. Het kan ook zijn dat je je er niet bewust van bent dat jouw CMS automatisch informatie opslaat, of die informatie zelf gebruikt in ruil voor hun ‘gratis’ dienst. De informatie kan erg nuttig zijn, ook voor jou of voor de gebruikers van je site. Je kunt bijvoorbeeld zien naar welke informatie wordt gezocht. Zo leer je wat je bezoekers relevant vinden en welke informatie op je site nog ontbreekt. Maar je hebt ook een verantwoordelijkheid'Als je geen rijbewijs kunt betalen mag je niet autorijden om zo zorgvuldig mogelijk met de gegevens van je gebruikers om te gaan. Dat kan je doen door hun privacy actief te beschermen.
Datahonger
Uit onderzoek blijktOnderzoek: Nederland maakt zich zorgen over privacy dat Nederlanders privacy steeds belangrijker vinden. Ze ervaren dat ze te vaak gevolgd worden, dat hun gedrag wordt begluurd, en dat ze worden gemanipuleerd. Ze worden aangetast in hun rechten en het bewustzijn hierover groeit. Gelukkig kiest een toenemend aantal bedrijven, verenigingen en stichtingen ervoor om niet in de verzamelwoede mee te gaan. Om er een punt van te maken hun gebruikers te beschermen tegen de datahonger in de surveillance-samenleving. En dat is helemaal niet zo moeilijk.
Host
De eerste keuze die je als beheerder kunt maken, is bij welke organisatie jij je site laat hosten. Een aantal webhosts profileert zich nadrukkelijk als privacy-vriendelijk. Oriënteer je hierop als je een bewuste keuze wil maken.
Versleutelen
Versleutel de verbinding tussen je website en de bezoeker. Dan kan iemand die toch kan meekijken, hooguit zien dat iemand jouw website bezoekt, maar niet welke pagina’s of onderdelen. Hiervoor worden encryptie-protocollenLet's Encrypt gebruikt die indringers buiten houden. Websites die ze gebruiken zijn herkenbaar aan het groene slotje in de adresbalk en ‘https’ in het adres van de pagina, in plaats van het oude ‘http’. Informeer bij je hosting provider naar hun aanbod op dit gebied. Soms is het gratis, soms betaal je er een bescheiden vergoeding voor.
Tweestaps-authenticatie
Voor een veilige site is echter meer nodig. Goed onderhoud is erg belangrijk. Gebruik je een dienst als WordPress? Kijk regelmatig naar de beheersomgeving of er melding wordt gemaakt van updates. Gebruik je een wachtwoord om in te loggen? Laat gemak niet leidend zijn: voorspelbare wachtwoorden maken je kwetsbaar. De beste keuze voor beveiliging van je website is wat ons betreft het gebruikmaken van dubbele beveiliging. Je kunt behalve een wachtwoord – dat door menselijk falen altijd kan uitlekken – ook een tweede ‘sleutel’ gebruiken. Dat kan een app zijn, maar ook een token – een soort usb-stick. Dit heet tweestaps-authenticatieZo activeer je tweestaps-authenticatie en zorgt ervoor dat zelfs als je wachtwoord uitlekt, de gegevens op je site beveiligd zijn.
Je uitgangspunt moet hoe dan ook zijn: niet meer gegevens aan gebruikers vragen dan strikt noodzakelijk.
Niet overvragen
Je uitgangspunt moet hoe dan ook zijn: niet meer gegevens aan gebruikers vragen dan strikt noodzakelijk. Dit is inmiddels een vereiste in de wet Algemene verordening gegevensbeschermingMeer over de Algemene verordening gegevensbescherming (AVG). De meeste websites zijn echter gemaakt vóór deze in werking trad. Kijk eens naar het contactformulier op je website: vraag je daar niet meer dan echt nodig is om een vraag te kunnen beantwoorden of dienst te kunnen leveren? Het is denkbaar dat je als verkoper van drank of concerttickets wilt weten of iemand 18+ is. Daarvoor heb je niet iemands geboortedatum nodig, alleen een antwoord “ja” of “nee” of “is je geboortedatum voor of na [vandaag-18 jaar]?”. (Maar wat is eigenlijk de waarde van de check als iemand zelf een geboortedatum moet invullen die je niet kunt controleren?)
Ruim op
Als je informatie hebt verkregen, is het dan nodig om alle gegevens te bewaren? Informatie die via formulieren wordt aangeleverd, krijg je meestal per mail binnen, maar vaak slaat de website het ook op, als back-up. Maak er de gewoonte van om informatie na gebruik zo snel mogelijk te verwijderen. Krijg je kopieën van identiteitsbewijzen toegestuurd? Verwijder ze meteen na de controle. Voordeel van het minimaliseren van je data-opslag is dat je het niet hoeft bij te houden, dat je niet in de verleiding komt ze later alsnog te gebruiken voor een ander doeleinde, en vooral dat de gegevens niet gestolen kunnen worden door hackers. Je voorkomt niet alleen een inbreuk op de privacy van je bezoekers, maar ook een mogelijk pr-drama voor je organisatie.
Zoekmachine
Veel websites bieden de bezoekers een ingebouwde zoekmachine aan. Die van Google is gratis, maar geeft heel veel informatie over de gebruikers door naar het eigen hoofdkwartier. Dat is immers het verdienmodel van Google: zoveel mogelijk data uit de gebruikers melken om die commercieel te exploiteren. Je kunt dit voorkomen door gebruik te maken van de zoekfunctionaliteit van het CMSCreating a Search Page. Er zijn ook privacyvriendelijke zoekmachine die je kunt inbouwen in jouw website, zoals StartPage, DuckDuckGo en SearX.
Statistieken
Google biedt website-eigenaren ook informatie via Google Analytics, dat inzicht geeft in de herkomst van bezoekers en hun gedrag op je site. Heel handig en je kunt hier op een verantwoorde manier gebruik van maken. Er ligt echter een addertje in het gras: je deelt vrijwel alle informatie ook weer met Google. Daar zitten je bezoekers vaak helemaal niet op te wachten. Gelukkig zijn er privacy-vriendelijke alternatieven, zoals Matamo, Phatom en Clicky. Daarmee krijg je de bruikbare informatie waarmee jij jouw website of diensten kunt verbeteren, zonder dat je de informatie over je bezoekers ongevraagd cadeau doet aan een Amerikaanse dataslurper.
Facebook-pixel
De Facebook PixelHoe zit het nou met die Facebook-pixel? is een piepklein plaatje, 1 pixel groot, die veel mensen op hun website plaatsen. Achter deze pixel zit een stukje code verstopt, een zogeheten tracker. Deze geeft door aan jou – en aan Facebook – dat jij er bent. Jij kan deze informatie gebruiken om bijvoorbeeld iedereen die in de laatste 24 uur je website bezocht heeft, een bepaalde advertentie te sturen. Facebook krijgt de informatie echter ook, en kan jouw klanten dankzij de pixel over het hele web volgen. Als je de privacy van je bezoekers respecteert, plaats je dergelijke trackers niet op je website. Deze pixel zit vaak ingebakken in de share- en like-knoppen van sociale media, maar staat ook regelmatig ‘los’ op de site. Het plaatsen van standaardbuttons van Google, Facebook en Twitter zorgt er meestal voor dat bezoekers gevolgd worden, of ze nu een account hebben of niet. Je kunt dit probleem omzeilen door zelf linkbuttons te maken, bijvoorbeeld via deze siteMaak je eigen share-links!.
Nieuwsbrieven
De populairste dienst die mailings en nieuwsbrieven verzorgt, is Mailchimp. Een handige dienst, die echter standaard 'open tracking' en 'click tracking' toestaat op alle mails. Hiermee houdt Mailchimp bij wanneer ontvangers een mail openen en op welke links zij klikken. Je levert voor de verzending bovendien alle benodigde gegevens van je gebruikers uit aan een derde partij, die onder de veel ruimere Amerikaanse wetgeving valt. Alternatieven die je kunt overwegen zijn Mailpoet voor WordpressMailpoet voor Wordpress, of phpListphpList.org. Je hebt natuurlijk altijd uitdrukkelijke toestemming nodig voordat je iemand op een e-maillijst mag zetten. Zorg ook dat iemand zich met één klik via de e-mail weer kan uitschrijven.
Privacyverklaring
Als je persoonsgegevens verzamelt, ben je wettelijk verplicht je bezoekers te vertellen wat je ermee doet. Een privacyverklaring op de website is daarvoor de logische plek. Hierin vertel je in toegankelijke taal met welk doel jij gegevens verzamelt. Als je de gegevens deelt met een andere partij, moet je hier ook helder over zijn. Hoelang worden gegevens opgeslagen? Maak duidelijk hoe je de gegevens van personen beveiligt. Wijs je bezoekers ook op hun rechten: ze hebben het recht op inzage en correctie, maar ook om hun gegevens te laten verwijderen of over te laten dragen aan een andere partij. Wees ook duidelijk over hoe ze gebruik kunnen maken van deze rechten. Ter inspiratie kun je altijd naar onze voorwaardenOnze eigen privacyverklaring en algemene voorwaarden kijken, en het staat je vrij om er van alles uit over te nemen.
Advertentieruimte op je website
Een van de favoriete instrumenten van datagraaiers zijn advertentiesystemen. Google ontwikkelde de diensten AdWords en AdSense en kocht het bedrijf DoubleClick om zoveel mogelijk kennis over consumenten te kunnen verzamelen. Veel media en andere bedrijven gingen mee in het idee dat je gedetailleerde profielenEis je recht op: krijg inzage in je profiel van je klanten moet hebben om een zo hoog mogelijke ‘conversie’ te scoren. Die trend is echter aan het keren. Het toenemend gebruik van adblockersMeer info over adblockers vind je in onze Toolbox strooit zand in deze dataslurpmachine. Maar ook zien steeds meer bedrijven dat hun klanten of gebruikers gewoon niet gemolken willen worden. Enkele grote dagbladen stoppen met het online targetten van individuen. Zij kiezen voor plaatsing van advertenties op basis van het thema: aanbiedingen voor producten die aansluiten bij het onderwerp van het artikel waar de advertentie naast komt te staan. Zij maken een andere ethische afweging én zien privacy als verkoopargument. Zo eigenwijs kan jij als websitebeheerder natuurlijk ook zijn.
Google Maps integratie
Plaats je bij je contactgegevens een Google Maps-integratie, dan lever je automatisch klantgegevens uit aan Google. Locatiegegevens, om te beginnen. ‘De locatie kan afkomstig zijn van realtime signalen, zoals je IP-adres of apparaatlocatie, en je eerdere activiteit op Google-sites en -services,’ zegt het bedrijf op de eigen site. Afhankelijk van de instellingen van de klant kunnen nog meer koppelingen worden gemaakt. Open Street MapOpen Street Map is een prima alternatief. Ook Waze wordt wel eens genoemd als alternatief, maar dit bedrijf is inmiddels overgenomen door Google.
Cookies
Cookiemeldingen zijn er om toestemming te vragen voor buitengewoon datagebruik. Als je geen rare dingen met je bezoekers doet, zoals hun data geven/verkopen aan derden, dan hoef je vaak helemaal geen cookie-melding te doen, want je hebt dan nergens toestemming voor nodig. Zonder cookiemelding is je site veel prettiger. (Zie de onze.) Mocht je toch vanuit je site cookies willen plaatsen op de apparaten van je gebruikers, wees er dan zo helder mogelijk over, en geef hen altijd de mogelijkheid om toch ‘nee’ te zeggen.
Meldplicht datalek
Als het onverhoopt toch een keer gebeurt dat informatie van jouw bezoekers in handen van onverlaten valt, of op straat komt te liggen, ben je in principe verplicht om melding te maken bij het meldpunt datalekken van de Autoriteit PersoonsgegevensMeldpunt Datalekken van de Autoriteit Persoonsgegevens. Als je twijfelt of het écht noodzakelijk is om melding te maken, kan je de website hulpbijprivacy.nl raadplegen. Maar je verantwoordelijkheid gaat verder. In principe informeer je ook altijd gebruikers als er een lek heeft plaatsgevonden.
Basisprincipes
In aflevering 5 van onze Insert User podcastInsert User podcast: aflevering 5 praten we met Jaap-Henk Hoepman, wetenschappelijk directeur van Privacy & Identity Lab. Samen met zijn team heeft Jaap-Henk acht principes ontwikkeld waarmee bedrijven en met name startups, privacy technisch kunnen regelen. Je kunt ze ook lezen in Het Blauwe Boekje: Acht PrivacyontwerpstrategieënHet Blauwe Boekje: Acht Privacyontwerpstrategieën.
Support Bits of Freedom!
Tenslotte: wist je dat je niet alleen als particulier, maar ook als bedrijf Bits of Freedom kunt ondersteunen als je privacy en internetvrijheid een warm hart toedraagt? Steeds meer bedrijven worden donateurSteeds meer bedrijven worden donateur van onze beweging. Inmiddels hebben we aan onze bonte verzameling supporters ook de categorie zzp’ers toegevoegd. Omdat Bits of Freedom een Algemeen Nut Beogende Instelling (ANBI) is, zijn donaties aftrekbaar van de inkomsten- of vennootschapsbelasting. Maak je eigen(wijze) keuzes: be a rebel!Word ook donateur!
Heb je aanvullingen of suggestie? Laat ze achter in de comments!