Stel je voor: je bent trots op je nieuwe website. Je hebt een mooi domeinnaam geregistreerd, je content staat online en je wilt dat iedereen je kan vinden. Maar dan vraag je je opeens af: wat staat er eigenlijk allemaal openbaar?
▶Inhoudsopgave
Niet alleen op je website, maar ook achter de schermen bij je domeinnaam?
Het is een vraag die veel ondernemers en website-eigenaren bezighoudt, en terecht. In de wereld van privacy en de Algemene verordening gegevensbescherming (AVG) is namelijk niet alles wat technisch mogelijk is, ook meteen juridisch verstandig.
Laten we eens duiken in de openbare gegevens rondom jouw domein en wat de AVG hierover te zeggen heeft. Geen zorgen, we houden het simpel, scherp en zonder ingewikkelde juridische jargonvalkuilen.
Wat zijn eigenlijk persoonsgegevens?
Voordat we kunnen bepalen wat er openbaar mag zijn, moeten we weten wat we eigenlijk beschermen. De AVG is er niet voor bedrijven of computers, maar voor mensen.
Daarom gaat het over persoonsgegevens. Volgens de officiële definitie is een persoonsgegeven alles wat herleidbaar is tot een levend persoon.
Klinkt simpel, maar het is breder dan je denkt. Natuurlijk, de klassiekers tellen mee: een naam, een adres, een telefoonnummer of een pasfoto. Maar denk ook aan een klantnummer dat gekoppeld is aan een specifiek persoon, camerabeelden waar iemand duidelijk op te zien is, of zelfs informatie over iemands internetgedrag.
Zelfs als je alleen maar weet dat iemand een allergie heeft of welke producten hij koopt, is dat een persoonsgegeven. Kortom: zodra er een mens achter de data zit, valt het onder de AVG.
De grondslag: waarom mag je iets delen?
De AVG schrijft niet voor dat je nooit iets mag delen. Het zegt wel dat je een goede reden moet hebben.
In juridische taal heet dat een 'grondslag'. Zonder grondslag mag je geen persoonsgegevens verwerken, en dat betekent dus ook niet openbaar maken.
Er zijn zes mogelijke grondslagen, maar voor de meeste website-eigenaren draait het er om of de betrokkene (de persoon van wie de gegevens zijn) toestemming heeft gegeven, of het noodzakelijk is voor de uitvoering van een overeenkomst, of omdat er een wettelijke verplichting is. Als je bijvoorbeeld een webshop runt, mag je het adres van een klant delen met een vervoerder om het pakketje te bezorgen. Dat is nodig voor de overeenkomst.
Maar je mag datzelfde adres niet zomaar op je website publiceren omdat je denkt dat het handig is voor andere klanten. Belangrijk onderscheid hier is tussen gewone persoonsgegevens en bijzondere persoonsgegevens.
Gewone gegevens zijn naam, adres, leeftijd. Bijzondere gegevens zijn gevoeliger: denk aan gezondheidsgegevens, religieuze overtuigingen of strafrechtelijke gegevens. Die laatste groep is extra beschermd. Het delen van bijzondere persoonsgegevens is alleen toegestaan in zeer specifieke situaties, en zeker niet zomaar openbaar op een website.
De openbare gegevens van je domeinnaam
Nu we weten wat persoonsgegevens zijn, kijken we naar je domeinnaam. Je domeinnaam is je online adres. Maar achter elke domeinnaam zit een registratie.
Voor een .nl-domein is de organisatie SIDN de verantwoordelijke. Bij de registratie van een domein worden gegevens vastgelegd.
Vroeger was dit vaak openbaar via de WHOIS-database, maar door de invoering van de AVG is dat drastisch veranderd. De SIDN hanteert sindsdien een strikte privacyregeling.
Dit betekent dat persoonsgegevens van particuliere domeinnaamhouders niet meer openbaar worden gemaakt via de WHOIS. Alleen de domeinnaam zelf, de registratiedatum en de naam van de registrar (de partij waar je de domeinnaam hebt geregistreerd) zijn nog zichtbaar. De contactgegevens van de eigenaar worden afgeschermd.
Dit is een direct gevolg van de AVG: je moet kunnen uitleggen waarom je gegevens openbaar maakt, en 'omdat het altijd zo was' is geen geldige grondslag.
De uitzondering hierop is zakelijke registratie. Als je een domeinnaam op naam van een bedrijf registreert, kunnen bedrijfsgegevens wel openbaar zijn. Denk aan de bedrijfsnaam en het algemene telefoonnummer. Maar ook hier geldt: de contactpersoon zelf, met naam en privé-adres, mag niet zomaar openbaar zijn. Het is aan jou om bij je registrar na te gaan hoe zij dit precies invullen.
Wat mag wel openbaar op je website?
Naast de registratiegegevens van je domein is er natuurlijk je website zelf.
Contactgegevens op je site
Hier bepaal je zelf wat je publiceert, maar de AVG blijft van toepassing. De vuistregel is simpel: vraag je af of je een duidelijk en legitiem doel hebt om een gegeven openbaar te maken. Het is gebruikelijk om contactgegevens te tonen, zodat bezoekers je kunnen bereiken. Een algemeen e-mailadres, een contactformulier of een telefoonnummer van je bedrijf is vaak prima.
Medewerkers en persoonlijke profielen
Zorg er wel voor dat je niet per ongeluk privégegevens deelt. Gebruik bijvoorbeeld een algemeen e-mailadres als info@jouwdomein.nl in plaats van jan@jouwdomein.nl als je privacy wilt waarborgen.
Veel bedrijven plaatsen foto’s en namen van medewerkers op hun site. Dit mag, maar alleen als je toestemming hebt van de medewerker.
Klantverhalen en testimonials
Die toestemming moet vrijwillig en specifiek zijn. Een medewerker kan later altijd vragen om zijn of haar gegevens te verwijderen. Bedenk daarom of het noodzakelijk is om volledige namen en functies te tonen, of dat een voorletter en een functieomschrijving ook volstaan.
Als je een succesverhaal van een klant wilt delen, mag dat alleen met toestemming. Zelfs als de klant enthousiast is, moet je duidelijk maken waar je het verhaal plaatst en hoe lang het online blijft. Een mondelinge toestemming is soms lastig te bewijzen; een schriftelijke of digitale bevestiging is veiliger.
De valkuil van openbare bronnen
Een veelgemaakte fout is het kopiëren van gegevens uit openbare bronnen naar je eigen website. Ja, de basisregistratieadressen (BAG) is openbaar, en ja, een KvK-inschrijving is openbaar.
Maar zodra je die gegevens op je eigen website plakt en koppelt aan een persoon, verwerk je ze onder de AVG. Je mag ze dus niet zomaar publiceren zonder grondslag. Stel je voor: je ziet een interessant persoonlijk verhaal op een openbaar forum en je kopieert het naar je blog, inclusief de naam van de schrijver.
Dan verwerk je persoonsgegevens zonder toestemming. Dat is niet toegestaan, ook niet als de informatie oorspronkelijk ergens anders openbaar stond.
Praktische tips voor domein- en websitebeheer
Om het jezelf makkelijk te maken en juridische risico’s te minimaliseren, volgen hier een paar concrete stappen:
- Check je domeinregistratie: Vraag bij je registrar na hoe de privacyregeling voor jouw domein is ingericht. Zorg dat je weet welke gegevens openbaar zijn en welke niet.
- Gebruik een bedrijfsnaam: Als je een eenmanszaak hebt, overweeg dan om je domein op naam van je bedrijf te registreren in plaats van op je privénaam. Dit voorkomt dat je huisadres openbaar wordt.
- Beperk wat je deelt: Vraag je bij elk stukje content af: is dit echt nodig? Een algemeen telefoonnummer is vaak voldoende, een privéadres zelden.
- Vraag toestemming: Voor foto’s, verhalen of persoonlijke details van anderen: vraag altijd schriftelijke toestemming en leg vast wat je ermee doet.
- Update je privacyverklaring: Zorg dat op je website duidelijk staat wat je met persoonsgegevens doet, hoe lang je ze bewaart en hoe mensen hun rechten kunnen uitoefenen.
Conclusie: wees bewust en voorzichtig
De AVG is er niet om je leven moeilijk te maken, maar om de privacy van mensen te beschermen.
Bij je domeinnaam en website betekent dit dat je bewust moet nadenken over wat je openbaar maakt. De techniek kan veel aan, maar de wetgeving zet grenzen. Door je te houden aan de grondslagen, je gegevens te beperken en toestemming te vragen waar nodig, bouw je niet alleen een veilige online omgeving, maar ook vertrouwen bij je bezoekers.
Onthoud: als het niet nodig is, maak het niet openbaar. En als je twijfelt, kies dan voor de meest privacyvriendelijke optie. Zo blijf je niet alleen compliant, maar laat je ook zien dat je om je bezoekers geeft.
Veelgestelde vragen
Wat valt precies onder 'persoonsgegevens' volgens de AVG?
Volgens de AVG zijn persoonsgegevens alle informatie die herleidbaar is tot een specifiek persoon. Dit kan gaan van basisgegevens zoals naam en adres, tot meer gevoelige informatie zoals klantnummers of zelfs internetgedrag. Het is dus belangrijk om te overwegen of de data een mens achter zich heeft, dan valt het onder de AVG.
Welke redenen zijn er om persoonsgegevens te delen volgens de AVG?
De AVG vereist niet dat je nooit iets deelt, maar je moet wel een geldige reden hebben. Vaak is dit toestemming van de betrokkene, of dat het noodzakelijk is voor het uitvoeren van een overeenkomst, zoals bij een webshop de verzending van een pakket. Het delen van bijzondere persoonsgegevens, zoals gezondheidsinformatie, is uiterst beperkt en alleen toegestaan in specifieke situaties.
Welke soorten gegevens mag je absoluut niet openbaar delen?
Het delen van gevoelige persoonsgegevens, zoals ras, politieke opvattingen, religieuze overtuigingen, genetische of biometrische gegevens, of gezondheidsinformatie, is strikt verboden zonder een zeer specifieke en wettelijke grondslag. Deze informatie is extra beschermd en mag alleen gedeeld worden in zeer beperkte gevallen.
Wat kan ik vragen aan een organisatie over mijn persoonsgegevens?
Je hebt het recht om te vragen welke persoonsgegevens een organisatie over jou heeft verzameld en hoe deze gegevens worden verwerkt. Dit staat bekend als het recht op inzage. Dit geeft je inzicht in hoe jouw data wordt gebruikt en je de mogelijkheid om eventuele correcties te verlangen.
Wat is het verschil tussen 'gewone' en 'bijzondere' persoonsgegevens?
‘Gewone’ persoonsgegevens zijn bijvoorbeeld je naam, adres en leeftijd. ‘Bijzondere’ persoonsgegevens zijn veel gevoeliger informatie, zoals je gezondheidsgegevens, religieuze overtuigingen of biometrische gegevens. Deze laatste groep is extra beschermd en vereist een nog sterkere grondslag voor verwerking en openbaarmaking.