Contactformulier AVG compliant maken

Een stukje theorie

Laten we eerst het theoretische stukje even beschouwen voordat we naar de praktische oplossing gaan.

In de regel vraagt u op een contactformulier om persoonsgegevens. Persoonsgegevens zijn gegevens die herleidbaar kunnen zijn naar een persoon. Daaronder vallen dus NAW gegevens maar ook bijvoorbeeld email adressen en IP adressen.

Omdat u om persoonsgegevens vraagt dient u daarmee te voldoen aan de AVG. Om een goed AVG compliant contactformulier te maken moet u rekening houden met de (nieuwe) rechten van de bezoeker. Dat is gelukkig geen hogere wiskunde.

Merk op dat het hier niet gaat om een ‘inschrijfformulier’ zoals dat bijvoorbeeld gebruikt wordt voor het aanmelden op een nieuwsbrief. Het gaat uitsluitend om een contactformulier.

Hieronder volgen de zaken uit de AVG die van toepassing kunnen zijn. Of onderstaande zaken relevant zijn hangt af van wat u vraagt en of deze gegevens vervolgens op worden geslagen in een database. Veel contactformulieren sturen alleen een email bij verzending maar slaan de gegevens niet op. Wel is het zo dat dan de gegevens in ieder geval ‘opgeslagen’ zijn in een email. In principe gelden onderstaande zaken dan ook voor die emails.

Relevante rechten onder de AVG

Data minimalisatie

Deze is makkelijk te begrijpen; u mag alleen die privacy data verzamelen die relevant is voor het doel dat u beoogt. Merk op dat u dit doel moet omschrijven in uw verwerkingsregister maar dat valt buiten de scope van dit artikel. Simpel gezegd betekent dit dat u op een contactformulier eigenlijk alleen om een naam en een email adres mag vragen. Als u meer privacy gegevens wil vragen dan mag dat mits daar een goede reden (doel) voor is.

Recht op inzage

Als u privacy informatie verwerkt van mensen dan hebben deze mensen het recht om aan u te vragen (of)welke gegevens u van hen verwerkt, met welk doel, aan wie deze informatie eventueel nog meer is verstrekt en (indien bekend) wat de herkomst van de gegevens is. U heeft dan de verplichting om ze die informatie, binnen 4 weken, schriftelijk of per email aan te leveren.
Meer informatie hier.

Recht op vergetelheid

Een persoon van wie u privacy informatie verwerkt mag u verzoeken alle informatie van hem of haar uit uw gegevens te verwijderen. U heeft dan aan dat verzoek te voldoen, uitzonderingen daargelaten. U moet dus weten welke informatie u van deze persoon heeft, waar deze is opgeslagen, en hoe deze te verwijderen. Ook hier geldt dat u 4 weken de tijd heeft om dat te regelen.
Meer informatie hier.

Overige rechten

Afhankelijk van de gegevens die u vraagt en het doel dat u daarvoor heeft, alsook het eventuele opslaan van die gegevens in een database kunnen de volgende rechten ook van toepassing zijn: Recht op dataportabiliteit, Recht op rectificatie, Recht op beperking van de verwerking, Recht bij geautomatiseerde besluitvorming en profilering en Recht op bezwaar.

Echter, voor een eenvoudig contactformulier zoals deze op het merendeel van de websites wordt gebruikt zullen deze rechten waarschijnlijk niet echt relevant zijn.

Technisch passende maatregelen

Als u privacy informatie verwerkt dan bent u daar verantwoordelijk voor. De wet eist dat u dat zo veilig mogelijk doet en daarvoor dient u ‘passende technische maatregelen’ te treffen. Nu kan niet beveiligd internetverkeer in theorie ‘afgeluisterd’ worden. Daarom, u raadt het al, moet u ervoor zorgen dat er gebruik wordt gemaakt van een ‘beveiligde verbinding’. Ook dat is gelukkig vrij simpel te realiseren.

De praktische oplossing

Leuk die theorie maar wat moeten we ermee doen? De twee sleutelwoorden binnen de AVG zijn ’transparantie’ en ‘zorgvuldig’. Dat is waar het in de kern om gaat.

SSL certificaten zijn er in verschillende soorten en prijsklassen maar in dit geval zal veelal een eenvoudig SSL certificaat (certificaat met alleen domein validatie) volstaan. De kosten daarvan zijn afhankelijk van de leverancier van het certificaat. Een Let’s Encrypt certificaat is gratis en bijvoorbeeld eenzelfde certificaat van Comodo kost in de regel minder dan 10 euro per jaar.

Een certificaat aanvragen of installeren is vrij eenvoudig maar als u ICT zaken last vindt dan kan uw hosting partij of ICT dienstverlener u daar vast mee helpen. UIteraard kunt u ook met Multitask ICT bellen, we helpen u graag.

Als u een certificaat op uw website hebt dan ziet u een groen slotje links bovenin uw browser met daarnaast de tekst ‘Veilig’. Zie ook de afbeelding hierboven. Ook begint het adres van uw website (de URL) met de letters https in plaats van http. De toegevoegde ‘s’ staat voor secure.

Gebruik van het certificaat afdwingen

Het installeren van een certificaat is nog niet voldoende, ook het gebruik ervan moet afgedwongen worden. Als u probeert http://www.avgpraktisch.nl te openen dan wordt u vanzelf doorgestuurd naar https://www.avgpraktisch.nl

Wees transparant

Transparant zijn betekent niets meer dan duidelijk aangeven ‘wat’ u vraagt, ‘waarom’ u dat vraagt en ‘hoe’ u met die gegevens om gaat.

Geef aan wat u vraagt en wat daarvan het doel is

U vraagt om persoonsgegevens met een doel; hoogstwaarschijnlijk omdat u dan contact op kunt nemen met degene die u een bericht stuurt. Het enige dat u moet doen is dat vermelden op het contactformulier. Op het contactformulier op deze website staat daarom de volgende zin:

“Dit formulier vraagt u om uw naam en email adres zodat wij met u kunnen communiceren.”

Geef aan wat u met de gegevens (niet) doet

Sommigen zullen nu zeggen “maar dat staat toch al in onze Privacyverklaring?”. Dat kan best zijn maar mensen gaan nu eenmaal niet een verklaring opzoeken. Omwille van de transparantie moet u dat ter plaatse op het formulier kort en bondig aangeven. U mag daarbij uiteraard wel naar uw Privacyverklaring verwijzen.
Op het contactformulier op deze website staat daarom de volgende zin:

Uw gegevens worden worden nooit aan derden verstrekt. Zie onze Privacyverklaring om te zien hoe wij met uw gegevens omgaan.

Vraag toestemming

De AVG stelt heel duidelijk dat u een wettelijke grondslag moet hebben om persoonsgegevens te verwerken. Er zijn zegge en schrijve zes wettelijke grondslagen. In een ander artikel zal ik daar meer over schrijven maar voor nu is het voldoende te weten dat de wettelijke grondslag van een contactformulier de ‘Toestemming’ is. Anders gezegd, u gaat de gevraagde persoonsgegevens verwerken voor het door u gestelde doel (contact op kunnen nemen) met als wettelijke grondslag Toestemming.

In dit geval is het dan ook handig om expliciet die toestemming te vragen. Zonder die toestemming mag u de persoonsgegevens niet verwerken.

Vertaald naar de praktische kant van dit artikel betekent dat simpelweg dat u om die toestemming moet vragen. U doet dat eenvoudig met een checkbox die de contactformulier bezoeker aan kan vinken. Alleen als deze toestemming gegeven wordt moet het contactformulier de gegevens opslaan of emailen.

Merk op dat deze checkbox niet al aan mag staan vanwege het AVG principe ‘Privacy by default’. Contactformulier bezoekers moeten expliciet een vinkje zetten om toestemming tengeven, anders heeft het geen wettelijke waarde.
Op ons eigen contactformulier ziet u daarom het volgende staan:

Toestemming vragen voor verwerking op een contactformulier

Gebruik eenvoudige taal

Tot slot nog dit. Het moet voor iedereen begrijpelijk zijn wat u vraagt, met welk doel en hoe u met de verstrekte persoonsgegevens om gaat. Gebruik Jip & Janneke taal. Duidelijk en transparant zijn zal bovendien veelal in uw voordeel werken.

Voorbeeld zien?

Het contactformulier op deze website is een uitwerking van het bovenstaande.

Overigens is het strikt genomen zo dat u niet in alle gevallen verplicht bent om een verwerkingsregister te hebben want er zijn uitzonderingen, al zal dat in de praktijk maar weinig voorkomen. Voor dit artikel ga ik ervan uit dat u wel degelijk een verwerkingsregister moet hebben.

Online verwerkingsregister versus Excel sheet

U bent vrij om zelf invulling te geven aan de opzet van het verwerkingsregister. In de praktijk zie je dat veel zzp’ers en kleine bedrijven een Excel sheet of iets dergelijks gebruiken. Soms geven branche organisaties of andere organisaties een soort sjabloon in Excel aan hun leden.

Als je dat vergelijkt met een online verwerkingsregister zoals wij dat gebruiken en in de markt zetten dan zijn er wel flinke verschillen. Zo mist u in een Excel sheet vaak een aantal essentiële zaken, is een ‘workflow’ niet geautomatiseerd, krijgt u geen directe rapportages, risico overzichten e.d. en is het onderhoud toch wat lastig, zeker als u met meerdere mensen daarin moet werken.

Registeren verwerkingsactiviteit in ons online verwerkingsregister

Hieronder laat ik u zien hoe ik het contactformulier met bijbehorende zaken in ons online verwerkingsregister zet. Daarmee heb ik dan deze specifieke verwerking goed geregistreerd en kan ik aantonen hoe alles geregeld is mocht de Autoriteit Persoonsgegevens daarom vragen.

De registratie van de verwerkingsactiviteit

Hieronder ziet u een scherm waarmee ik verwerkingsactiviteiten in het (online) verwerkingsregister kan vastleggen. Ik ga hiervoor door alle tabbladen heen, van links naar rechts. Ik begin met de verwerking zelf.

Allereerst geef ik de registratie een handige titel zodat ik in mijn overzicht direct kan zien om welke activiteit het gaat. In dit geval heb ik gekozen voor ‘Contactformulier avgpraktisch.nl‘.

Het doel van deze activiteit is dat ik kan communiceren met de personen die mij een bericht sturen.

Zoals eerder aangegeven, de wettelijke grondslag voor deze activiteit is ‘Toestemming’. Ik kan deze eenvoudig in het dropdown menu selecteren.

Vervolgens is het zaak om eventuele verantwoordelijken aan te wijzen.

Het informatiesysteem is in dit geval een website. Ook dit kan ik eenvoudig uit een dropdown menu selecteren.

Het resultaat is als volgt:

Impact van een datalek

Hoewel het bovenstaande een goede exercitie is moet u ook kijken naar de ‘impact’ van een eventueel datalek.

Het zal duidelijk zijn dat in de regel bij een lek in contactformulier berichten de impact niet heel ernstig zal zijn. Stelt u zich voor dat u alle contactformulier berichten, bijvoorbeeld 200, online opslaat in een database en uw website wordt gehacked; de hacker zou dan toegang hebben tot alle (200) verzamelde berichten. Daarmee maakt de hacker dan een naam en email adres buit en in theorie zou hij deze mensen kunnen benaderen, wellicht uw identiteit gebruikende om iets voor elkaar te krijgen.

Hoewel dit een ‘incident’ is dat u zult moeten registeren in uw verwerkingsregister, en wellicht ook moet melden aan de Autoriteit Persoonsgegevens en misschien ook aan de betrokkenen moet communiceren, is de impact natuurlijk niet te vergelijken met die van een gehackte database vol met credit card nummers van een paar honderdduizend mensen. Anders gezegd; de impact van een datalek zou ‘gering’ kunnen zijn. Overeenkomstig zijn de beveiligingseisen ook minder stringent.

Passende maatregelen

We hebben in deze context alleen gesproken over passsende maatregelen op het formulier zelf. Als uw formulier onderdeel is van een CMS zoals bijvoorbeeld WordPress, Joomla of Drupal (dat zal vrijwel altijd het geval zijn) dan is het uiteraard ook zaak dat u de toegang tot de website goed afschermt.

Beperk het aantal mensen dat kunnen inloggen op uw CMS, beperk hun rechten, dwing het gebruik van sterke wachtwoorden af en overweeg een tweetraps autentificatie (two factor authentification) te gebruiken. Daarnaast moet u er ook voor zorgen, of laten zorgen, dat de beveiliging webserver bij de uw hosting provider op orde is.

Overigens, als u uw gegevens online opslaat en uw hosting provider kan bij uw website (meestal het geval) dan dient u strikt genomen ook een verwerkingsovereenkomst met uw hosting provider te hebben en deze moet vervolgens terug te vinden zijn in uw verwerkingsregister.