Het exploiteren van een website die persoonsgegevens verzamelt, verwerkt of doorgeeft is geen passieve activiteit onder de GDPR — het creërt actieve nalevingsverplichtingen die gelden vanaf het moment dat de website toegankelijk is en voortdurend gedurende de gehele exploitatie. In tegenstelling tot een papiergebaseerde verwerkingsactiviteit waarbij de gegevensverzameling zichtbaar en afgebakend is, is de gegevensverwerkingsvoetafdruk van een website vaak onzichtbaar voor de exploitanten: scripts van derden laden cookies en trackingtechnologieën, lettertypes en analysetools maken uitgaande verbindingen naar externe servers, contactformulieren sturen gegevens naar CRM-systemen, en ingebedde widgets verzamelen gedragsgegevens op manieren die de website-eigenaar mogelijk niet gedetailleerd heeft herzien sinds de site werd gebouwd.
Een websitetechnologie-audit identificeert deze datastromen systematisch, brengt ze in kaart aan de hand van de GDPR-vereisten en identificeert nalevingslacunes. Het is geen eenmalige oefening: technologiestacks veranderen, nieuwe tools worden toegevoegd, scripts van derden worden bijgewerkt en het regelgevingskader evolueert.
Een uitgebreide GDPR-websitetechnologie-audit bestrijkt vijf hoofdgebieden. Ten eerste, cookie- en trackeridentificatie: een technische scan van de website om alle geladen cookies en trackingtechnologieën te identificeren, hun categorieën, hun doeleinden en de derde partijen waaraan zij gegevens doorzenden. Ten tweede, beoordeling van het toestemmingsmechanisme: beoordeling van het cookie-toestemmingsbeheerplatform aan de hand van de vereisten van de ePrivacy-richtlijn en de GDPR — het ontwerp van de toestemmingsinterface, de technische implementatie en het toestemmingsdossier.
Ten derde, datastromen van derden: identificatie van welke diensten van derden persoonsgegevens ontvangen via de website — analyticsproviders, advertentienetwerken, CRM-platforms, klantenondersteuningstools — en beoordeling van de rechtsgrond voor elke datastroom en de toereikendheid van de gegevensverwerkingsovereenkomsten. Ten vierde, naleving van de privacyverklaring: beoordeling van de privacyverklaring van de website aan de hand van de transparantievereisten van de artikelen 13 en 14 GDPR. Ten vijfde, infrastructuur voor rechten van betrokkenen: beoordeling of de mechanismen voor de uitoefening van rechten van betrokkenen functioneel, toegankelijk en verbonden zijn met de backendprocessen die ze uitvoeren.
Websitetechnologie-audits identificeren bij organisaties van alle groottes stelselmatig dezelfde categorieën tekortkomingen. Google Analytics geladen zonder toestemming is de meest voorkomende bevinding, doorgaans omdat het analyticsscript onvoorwaardelijk wordt geladen in de basissjabloon van de website in plaats van afhankelijk te zijn van toestemming. Lettertypen van derden geladen van Google Fonts of vergelijkbare CDN's sturen het IP-adres van de gebruiker door naar de lettertype-provider zonder rechtsgrond. Marketingautomatiseringstools die trackingscripts laden die cookies instellen vóór toestemming is verkregen. Privacyverklaringen die bij de lancering zijn opgesteld en niet zijn bijgewerkt om de huidige technologiestack te weerspiegelen.
Een initiële audit dient te worden uitgevoerd vóór of kort na de lancering van een nieuwe website of na een grote technologiemigratie. Daarna dient minstens jààrlijks een volledige audit te worden uitgevoerd. Bovendien dient een gerichte beoordeling te worden uitgevoerd wanneer significante wijzigingen worden aangebracht in de technologiestack van de website: het toevoegen van een nieuwe analyticstool, het overstappen op een ander e-mailmarketingplatform, het inbedden van een nieuwe widget van een derde partij of het wijzigen van het cookie-toestemmingsmechanisme.
Een websitetechnologie-audit en een DPIA zijn gerelateerd maar afzonderlijk. De audit identificeert welke verwerking plaatsvindt; een DPIA beoordeelt de risico's van hoog-risico verwerkingsactiviteiten en identificeert mitigerende maatregelen. Wanneer de audit verwerking identificeert die voldoet aan de GDPR-drempel voor een DPIA — stelselmatige en uitgebreide profilering met significante gevolgen, grootschalige verwerking van bijzondere categorieën gegevens, stelselmatige monitoring van publiek toegankelijke gebieden — dient een DPIA te worden uitgevoerd voor die activiteiten.
Niet als de lettertypen rechtstreeks van de servers van Google worden geladen in de standaardconfiguratie. Het laden van lettertypen van Google Fonts CDN zorgt ervoor dat de browser van de gebruiker een verzoek verzendt naar de servers van Google, waardoor het IP-adres van de gebruiker wordt doorgegeven aan Google, wat een overdracht van persoonsgegevens aan een derde partij vormt. Toezichthoudende autoriteiten, waaronder de Oostenrijkse DSB, hebben vastgesteld dat dit de GDPR schendt. De conforme oplossing is zelfhosting van lettertypen: de lettertypebestanden downloaden en serveren vanaf uw eigen server.
De verwerkingsverantwoordelijke — de organisatie die de website exploiteert en de verwerkingsdoeleinden bepaalt — is verantwoordelijk voor GDPR-naleving, ongeacht of de website is gebouwd door een extern bureau. Het bureau kan een verwerker zijn onder de GDPR voor het ontwikkelingswerk, maar dit draagt de nalevingsplicht niet over. De verwerkingsverantwoordelijke dient te verzekeren dat de website die hij exploiteert voldoet aan de GDPR.
%402x.svg){kind=small}
%402x.svg){kind=icon}
%402x.svg){kind=icon}
