Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Kostenlos

Website-Analyse in Echtzeit

Erhalten Sie sofort detaillierte Einblicke

DSGVO-Check

Contactformulieren en gegevensbescherming: wat moet je weten?

0
Formular DSGVO
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel als PDF
📄 Artikel als PDF (alleen voor abonnees van de nieuwsbrief)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Veel websites bieden een contactformulier aan om bezoekers de communicatie te vergemakkelijken of om berichten gestructureerd en doelgericht te ontvangen. Hoeveel gegevens mogen verplicht worden gevraagd? Moet de gebruiker om een bevestiging van de privacy-informatie worden gevraagd? Deze en andere vragen worden in dit artikel beantwoord, om rechtszekerheid bij het gebruik van contactformulieren te waarborgen.

Inleiding

Contactformulieren zorgen regelmatig voor gespreksstof, omdat daardoor gegevensbeschermingsvragen opkomen. In werkelijkheid is het heel eenvoudig om een contactformulier, of meerdere, aan te bieden als er maar een paar basisregels worden nageleefd.

Bij elke vorm van gegevensverwerking zijn er kleine risico's bij contactformulieren, die kunnen worden geminimaliseerd. Uiteindelijk is het risico te beheersen en niet hoger dan bij een communicatie via een e-mailadres dat op de website wordt aangeboden.

Contactformulieren bieden betere mogelijkheden om spam te vermijden dan bij een puur e-mailcontact. Wie hier echter Google reCAPTCHA gebruikt, heeft juridisch slechte kaarten.

De volgende aanbevelingen helpen snel om veilige contactformulieren te creëren en de juridische vragen geklaard te hebben. Bovendien gaat het hier niet om nieuwsbriefformulieren, voor welke eigen regels gelden. De meeste van de genoemde aanwijzingen zijn echter ook op overdraagbare formulieren overdraagbaar, waarmee zich interessanten kunnen inschrijven voor uw informatie om zich te abonneren op uw nieuwsbrief.

Raden voor contactformulieren

Elke individuele aanbeveling zorgt voor meer Rechtssicherheid, wanneer deze wordt meegenomen. U eindigt met een website die zo veel formulieren bevat als nodig is. De regels van de privacybescherming, zoals voorgeschreven door de DSGVO, worden nageleefd.

In juridische zaken is er nooit een absoluut juist gedrag, maar alleen een verhoging van de rechtszekerheid. Ook als je alles goed doet (wie dat ook mag beoordelen), kan iemand je aanklagen of een proces tegen je beginnen. Maar dan heeft de tegenpartij slechte kaarten en zit hij op zijn kosten.

Het algemene contactformulier

Een formulier voor alles is mogelijk en toegestaan. Maar u moet deze centrale aanloopplaats alleen zien als eerste contactpunt. Dit formulier mag niet tot een slachtingsoordeel worden, waarin alle gegevens van de wereld worden opgevraagd. Hier mijn aanbeveling voor de gegevens die in een samenvattingformulier moeten worden opgevraagd:

  • Er is een contactformulier voor zoiets.
  • E-mailadres: Alleen zo kunt u antwoorden.
  • Naam of pseudoniem: Vaak heb je de echte naam van een persoon niet nodig. Maar soms is het ook belangrijk om die naam te weten. Beslis zelf maar of je de echte naam nodig hebt of niet, op basis van gezond verstand. Op mijn website heb ik bijvoorbeeld geen echte namen nodig van mensen die me per e-mail een reactie schrijven op mijn artikelen en niet de commentaarfunctie gebruiken. Natuurlijk kan ik ook antwoord geven aan Hasemaus47, als dat maar zo is (als er geen verplichting is; ik antwoord altijd als het geschreven is met serieusheid en verdient een reactie).
  • Telefoonnummer: Alleen wanneer zinvol en vaak nodig. Mogelijk als optioneel markeren.

Ik zou in een algemeen formulier niet meer gegevens vragen. Het hangt af van de oriëntatie van uw website of activiteit, of u nog andere algemene gegevens nodig heeft. De meeste bedrijven zullen met het bovenstaande echter prima uitkomen. Artsenpraktijken, kinderopvangcentra of autowerkplaatsen hebben doorgaans misschien ook nog de telefoonnummer van een persoon nodig.

Mussfelders en Kannfelders

Voor elke vraag die u in het formulier stelt, moet u nadenken of de vraag noodzakelijk is of niet. Noodzakelijke vragen zijn duidelijk altijd de tekst van de berichtgeving en de e-mailadres van de schrijver om hem een antwoord te kunnen toesturen.

De naam van de schrijvende persoon is vaak niet belangrijk. Ook voor algemene nieuwsbrieven die niet naar uw klanten worden gestuurd, hoeft de naam van de abonnee niet bekend te zijn. Zie mijn nieuwsbrief. Voor het nieuwsbrief-abonnement vraag ik alleen de mailadres op. Alles andere interesseert me niet. Als iemand de wens heeft om mij iets mee te delen, dan zal ik per e-mail worden aangeschreven. In deze e-mail is dan vaak de naam van de persoon genoemd die mij iets wil meedelen. En dat omdat deze persoon zijn naam vrijwillig noemt.

Umso specifieker een contactformulier is, omgekeerd hoeveel gegevens kunnen worden aangemerkt als verplicht. In elk geval moet worden beoordeeld welke gegevens u alleen maar leuk zou vinden en welke in uw ogen onmisbaar zijn. In sommige gevallen zouden bepaalde gegevens voor u misschien erg wenselijk zijn. Bijvoorbeeld, zei de eigenaar van een kinderopvang mij dat u de telefoonnummer nodig hebt omdat bijna elke aanvraag op de vraag naar een plek in de kinderopvang is gericht en daarom terugvragen noodzakelijk zijn. In dergelijke gevallen moet worden beoordeeld hoe vaak u de desbetreffende gegeven nodig hebt en eventueel een verplicht veld ervan maken.

De doelstelling van uw formulier

Stel jezelf de volgende vraag: Wat heb je nodig om een formulier te gebruiken? Definieer het doel of de doelen. Hebben jullie maar één doel ontdekt, dan heb je duidelijk maar één formulier (of geen) nodig.

Doelstellingen voor formulieren kunnen bijvoorbeeld zijn:

  • Algemene contactopname: U weet dus ad hoc niet waarom u iemand wilt schrijven. In elk geval biedt u goederen of diensten aan of stelt u informatie beschikbaar. De contactpersoon zal u dan waarschijnlijk een vraag stellen over uw product of heeft een vraag over uw verklaringen. Of de schrijvende persoon wil kritiek uitspreken, wat ook alweer is.
  • Overeenkomst over de beëindiging: Dit gebeurt vaker bij artsen of autohandelaren.
  • Rückrufverzoek: U wilt liever telefoneren en niet e-mails heen en weer sturen? Dan biedt u dan een dergelijke mogelijkheid aan en vraagt u de geïnteresseerde naar zijn telefoonnummer en een passend tijdsvenster voor het terugbellen.
  • Praat en kritiek.
  • Contact opnemen in de klantzone: Iemand is bij u een klant en heeft zich ingelogd in zijn klantaccount. Bij verzekeringen kunnen klanten bijvoorbeeld opdrachten geven, formulieren aanvragen of een opzegging doen.
  • Commentaar op een artikel. Zie onderaan dit artikel of ook op journalistische websites waar lezers hun reacties kunnen geven.

Hebben u meerdere doelen waarvoor u een formulier wilt aanbieden, dan moet u controleren welke gegevens in het formulier voor elk doel nodig zijn. Doelen die veel overeenkomsten hebben in de benodigde gegevens en thematisch dicht bij elkaar liggen, kunnen in één formulier worden gebundeld.

Alles andere hoort op verschillende formulieren, als u niet besluit een algemeen contactformulier aan te bieden.

Gegevensbeschermingsinformatie ter kennis geven

Noem kort waarom u de gevraagde gegevens nodig heeft. Verwijs dan naar uw privacy-informatie op uw website. Dit kan ongeveer zo uit zien en bevindt zich onder de invoervelden van het formulier en boven de verzendknop:

We gebruiken uw gegevens om uw vraag te beantwoorden. Meer informatie vindt u in onze gegevensbeschermingsinformatie.

Let op dat de link zo wordt gemaakt dat hij in een nieuw venster opent. Niets is vervelender dan een formuliergegevens die verloren gaan omdat je nog even snel naar de gegevensbeschermingsinformatie wilt kijken. Als je het helemaal comfortabel wilt maken, gebruik dan een zogenaamde HTML-ancker. Hiermee kun je de link zo maken dat direct de passage voor contactformulieren in uw gegevensbeschermingsinformatie wordt opgeroepen. Zo doe je dat:

Anker in hun gegevensbeschermingsinformatie definiëren:

In WordPress kan de anker worden gedefinieerd door de cursor in het editor op het gewenste tekst te plaatsen en door op „Uitgebreid" in het rechter gebied te klikken:

Gebruik een Anker in uw link:

<a href="https://dr-dsgvo.de/datenschutz/#formular>Informatie over gegevensbescherming voor contactformulieren</a>

Voer voor de anker naam het vierkantje (#) in, zodat de code goed werkt.

Dus ziet de link er dan uit. Als je daarop klikt, springt het leesgebied direct naar de plek waar de gegevens over het formulier staan:

Gegevensbeschermingsinformatie voor contactformulieren

Aangezien op mijn site geen formulieren zijn behalve voor de nieuwsbrief aanwezig, heb ik de knop "formulier" naar beneden gezet in het gedeelte voor de nieuwsbrief. Tipp uit de praktijk: Zet de knop een paar regels hoger dan waar hij eigenlijk thuishoort. Omdat het afhankelijk is van de browser kan het zijn dat de tekst dan te hoog wordt weergegeven en afgesneden wordt.

Zoals u ziet heb ik mijn gegevensbeschermingsinformatie vertaald, om ze toegankelijker te maken. Misschien denkt u ook daarover na? Hoe dat gaat, leest u in de eerder verlinkte bijdrage.

Gegevensbeschermingsinformatie:

Verklaar het "gewoon" zo aan:

Contactformulieren

Wanneer u ons via het contactformulier vragen stuurt, worden uw gegevens uit het formulier, inclusief de door u daar opgegeven contactgegevens, voor de behandeling van de vraag en in het geval van vervolgvragen bij ons opgeslagen en verwerkt. Uw gegevens worden uitsluitend ter beantwoording en behandeling van uw vraag gebruikt. De gegevensverwerking vindt hier plaats naar Artikel 6, lid 1, letter f DSGVO op basis van het gerechtvaardigde belang.

In geval van fraudeherkenning of misbruikherkenning, bijvoorbeeld om een hack-aanval bloot te leggen, behouden wij ons het recht voor uw netwerkgegevens voor een korte periode en alleen voor dit doel op te slaan, die niet langer duurt dan 30 dagen, tenzij er een reden is om ze langer vast te houden.

Model voor een privacytekst voor contactformulieren.

Belangrijk: Alleen kennisgeving, geen bevestiging

Nu komt het almost belangrijkste: geef de net genoemde privacy-informatie alleen maar door. Vraag niet naar een bevestiging of instemming. U mag niet laten zien dat iemand uw privacy-informatie heeft gelezen. Of de bezoeker van uw website leest of niet, is zijn/haar zaak en mag u daar niets aan doen. Een privacyverklaring is geen contract. Zie bijvoorbeeld het vonnis van het KG Berlin (27.12.2018 – 23 U 196/13).

Het is uw gerechtvaardigde belang (Artikel 6 lid 1 onder f DSGVO), de gegevens van de persoon die u schrijft, te gebruiken om daarop te antwoorden of de aanvraag af te handelen. Elders zou u het gerechtvaardigde belang als rechtsgrondslagslechts zeer spaarzaam moeten gebruiken, aangezien dit meestal niet voorhanden is.

Spam-filtering

Gebruik geen Google-plugins, tenzij u problemen met de privacy wilt riskeren. Elke Google-plugin mag alleen na toestemming worden gebruikt. Dit is mijn mening, waarvoor u in dit blog talrijke argumenten kunt vinden (Google verzamelt data zonder ophouden, ook voor gedragsbeïnvloeding; De gegevens kunnen misbruikt worden door Amerikaanse geheime diensten; Google verzamelt meer gegevens dan nodig is etc.). Ook het LG Cologne deelt mijn mening (rechtspraak van 23.03.2023 – 33 O 376/22).

Gebruik in plaats daarvan een Captcha zoals Contact Form 7 Image Captcha (voor WordPress formulieren). Of gebruik een invoerveld waarin het resultaat van een eenvoudige rekenopgave wordt gevraagd. Voorbeeld: Hoeveel zijn 17 minder dan 5. Schrijf de antwoord als woord in kleine letters.

Persoonlijk geloof ik dat er niet veel meer spam binnenkomt via contactformulieren dan via rechtstreeks afgraven van e-mailadressen uit impressiepagina's. Goede spamfilters helpen heel veel. Spam kan nooit helemaal voorkomen worden. Ook honeypots zijn een goede maatregel.

Misschien hebt u de mogelijkheid om na te gaan of de tekst van het bericht een bepaalde lengte heeft. Als hij die minimumlengte niet bereikt, dan zou het formulier eigenlijk niet afgezonden moeten kunnen worden. Eveneens kan er een filter op ingesteld worden voor bepaalde ongewenste woorden.

Als u een plugin voor spambeveiliging gebruikt, let dan op dat de globale anti-spam database uitgeschakeld is of dat er geen gegevens naar toe stromen. Zo nuttig deze functie ook mag zijn: als u de netwerkadres (IP-adres) van uw website-bezoekers doorstort naar "onbekend", dan is dat niet goed. Een voorbeeld van een dergelijke plugin is Antispam Bee voor WordPress.

Sommige van de opties van het anti-spam plugin Antispam Bee (afbeelding is automatisch vertaald).

Hier zien jullie drie opties van het genoemde plugin. De eerste optie kan geactiveerd zijn, omdat een lokale database geen data doorgeeft aan derden. De andere twee opties moeten uitgeschakeld zijn om juridische problemen te voorkomen. In elk geval wordt er al door het plugin zelf gewezen op de noodzaak van speciale privacy-informatie voor de kritische opties.

Antwoord aan de afzender

De afzender van een bericht verwacht waarschijnlijk meestal een reactie van u. Deze zou u ook moeten geven, als u dit voor verstandig houdt. Maar er zijn ook Bösewichten. Het is heel gemakkelijk om een vreemde e-mailadres in een contactformulier te zetten. Ofwel omdat iemand slechte bedoelingen heeft of omdat zich een typefout heeft ingeslopen.

Als u een bericht vreemd vindt, dan antwoordt u in het onzekere niet. Controleer de mailadres. Een disposable address (byom.de, trashmail.net etc.) heeft de laagste geloofwaardigheid. Ook niet hoog in het vaandel staan Freemailer (gmx.de, web.de etc.), hoewel ze breed verspreid zijn. Het beste te volgen zijn adressen van personen of bedrijven die een eigen maildomäne hebben. Een dergelijke dedizierte Domäne is bijvoorbeeld dr-dsgvo.de.

Zoek eventueel kort naar om de bericht en een eventuele naam (in het bericht of in het veld met namen) bij te houden. Als je veel twijfel hebt, schrijf dan mogelijk onbeholpen aan de vermeende afzender van het bericht en vraag of er van zijn mailadres een bericht is gestuurd via uw contactformulier. De onbeholpene aanspraking is belangrijk om de indruk van (onwettige) reclame te vermijden. Onbeholpen betekent ook dat je het beste in je signatuur alle reclameslogans of website-angaven verwijdert, om op de veilige kant te zijn.

Verdere inspiratie

Gebruik een eigen formulier en niet oplossingen van de stang zoals Microsoft Forms. Derde partijaanbieders hebben regelmatig juridische problemen. Bij MS Forms bijvoorbeeld heb ik vaker een imprint gemist. Bovendien rijst bij bedrijven als Microsoft de vraag of de gegevensoverdracht met Amerikaanse betrekking niet een juridisch probleem oplevert. Ik zeg yes, het LG Cologne (zie ook) zegt yes, de EuGH („Schrems II“) zegt yes.

Ik vind het toegestaan om bij contactopname de IP-adres van de afzender te bewaren, zodat je iets hebt om je op te baseren als er juridische problemen zijn. Hier is een gerechtvaardigd reden voor. Dit heb ik uitgebreid in een artikel over serverlogs onderzocht. De desbetreffende passage is in de eerder genoemde mustertext voor uw privacyverklaring opgenomen.

Ik zou de gegevensbeschermingsverklaring liever als gegevensbeschermingshinwijzingen of gegevensbeschermingsinformatie noemen. Zo wordt de indruk dat het om een contract gaat, verder ontzien (zie bovengenoemd vonnis).

De gegevens die je via een contactformulier ontvangen hebt, behandel je precies zo alsof je een e-mail met deze gegevens gekregen had. Hier is geen essentieel verschil. Benodigde gegevens worden opgeborgen, niet meer benodigde worden met enige vertraging verwijderd. In het algemeen zou je gegevens niet direct moeten wissen, want het kan zijn dat iemand je last wil bezorgen. In zo'n geval is het prettig als je iets in handen hebt om de gang van zaken plausibel te maken.

SSL-certificaat

In plaats van een formulier kunt u eenvoudig de link op uw mailadres geven. U hoeft geen formulier aan te bieden. De link op een mailadres geef je zo in als een normale website-adres (URL), maar dan met het tekst mailto:

De HTML-code voor een dergelijke link ziet er dan zo uit:

<a href="mailto:mail@dr-dsgvo.de">Schrijf me een brief</a>

Het hele beeld ziet er dan zo uit op de website:

Schrijf me een brief

Als je een editor hebt zoals WordPress biedt, dan definiëren ze gewoon een link en gebruiken ze het mailto: gevolgd door uw e-mailadres als linkadres.

Achtenswaard: Gebruik formulieren, dan moet u onmisbaar een SSL-certificaat voor uw website gebruiken. Uw website is dan alleen nog maar bereikbaar via https en niet meer via http. Let erop dat de doorverwijzing (Redirect) van http naar https ingesteld is. Controleer het door uw website eens met http:// op te roepen (typ dus in uw browser: http://meine-webseite-0815.de in plaats van alleen maar zoals anders meine-webseite-0815.de).

Als het slot links naast de URL van uw website in uw browser verschijnt, is het SSL-certificaat aanwezig. Om meer kenmerken van uw SSL-certificaat te controleren, zoals de encryptiediepte of de geloofwaardigheid van de aanbieder van het certificaat, kunt u mijn online website-check gebruiken:

Websitetest

Conclusie

Contactformulieren moeten zo weinig gegevens als mogelijk en zo veel gegevens als nodig vragen.

Voor verschillende doeleinden met verschillend veel benodigde gegevens moeten verschillende formulieren worden aangeboden.

Als je geen formulier wilt aanbieden, doe dat dan ook niet. Belangrijk is dat op de contactpagina van jouw website jouw e-mailadres staat vermeld. Vermijd het uit juridische redenen om het e-mailadres in beeld te zetten. Sommige webbeheerders geven hun e-mailadres namelijk weer als tekst die een afbeelding is, om spam te voorkomen. Dat zal weliswaar tot minder spam leiden, maar ik vind dat niet juist. Iedereen moet in staat moeten zijn contact met je op te nemen. Daartoe hoort ook dat het e-mailadres gemakkelijk geklikt kan worden om een mail naar jou te sturen. In ieder geval zou er minstens een kopie en plakken mogelijk moeten zijn.

Zo minimaal mogelijk gegevens in het formulier opvragen, betekent dat u zo minimaal mogelijk rekening mee moet houden. Voor gegevens die u niet heeft, hoeft u geen verplichtingen na te komen. Als voorbeeld mag alleen het recht op inzage van betrokken personen genoemd worden. Gegevens die u niet hebt aangevraagd zijn voor u aanvankelijk onbelangrijk. Als iemand u per formulier zijn belastingnummer of lengte wil meedelen, terwijl u in het formulier of op de website geen reden hebt om dit te noemen, dan behandelt u deze gegevens net zo serieus als alle andere gegevens. In twijfelgevallen verwijdert u onverwachte gevoelige informatie en neemt u niet op (of vraagt u om een ander contactadres), zolang ze geen juridische relevantie hebben.

Voor de geruststelling van velen mag gezegd worden dat geen Datenschutzprobleem als regel uit een contactformulier alleen wordt opgebouwd. Ik ken slechts één geval waarin het ontbreken van een SSL-certificaat problematisch what. Ofwel, de door het formulier ontvangen gegevens werden mishandeld, zoals men dat zo mooi zegt. Het laatste heeft echter niets meer met het kernthema, het formulier, te maken.

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Externe links op websites: een privacyprobleem of niet?