Wat is de GDPR wetgeving en welke gevolgen heeft dit voor je website?

AdobeStock_195341491

​Vanaf 25 mei 2018 treedt deze nieuwe Europese privacywetgeving in werking. Je hebt er ongetwijfeld al van gehoord, maar ben je al reeds voorbereid op de nieuwe General Data Protection Regulation (GPDR) wetgeving? In deze blogpost kan je een duidelijk overzicht van de belangrijkste principes en een checklist voor iedere website terugvinden.

Wat is de GDPR?

De GDPR is een geheel van regels om de gegevens van Europese burgers beter te beschermen. Europa wil met de GDPR bedrijven beperkingen opleggen rond het verzamelen van persoonsgegevens. Ook internationale bedrijven die met Europese persoonsgegevens werken, zullen deze nieuwe regelgeving moeten naleven. Het feit dat deze materie voor de Europese wetgever prioritair is blijkt uit de monsterboetes: tot € 20.000.000 of 4% van de wereldwijde jaaromzet. Anderzijds maakt de GPDR het eenvoudiger voor bedrijven, doordat een uniform wettelijk kader werd uitgewerkt dat geldt voor heel de Europese Unie.

Voor wie geldt de GDPR?

De GDPR geldt voor alle bedrijven, groot en klein, die op een geautomatiseerde of een gestructureerde manier persoonsgegevens verwerken. Je mag er dus van uitgaan dat dit ook voor jouw onderneming geldt.

Dit zijn de voornaamste vernieuwingen:

  1. Transparantie: Bedrijven moeten burgers informeren over hoe de data wordt verzameld en verwerkt, en dat op een begrijpelijke manier.
  2. Data-overdracht: Burgers zullen hun gegevens kunnen overdragen van de ene dienstverlener naar de andere, bijvoorbeeld om van telecomoperator te wisselen.
  3. Recht om vergeten te worden: Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt, en als er geen geldig tegenargument gegeven kan worden.
  4. Meldplicht bij datalekken: Bedrijven zijn verplicht een datalek te melden binnen de 72 uur, tenzij kan worden aangetoond dat het lek geen gevaar is voor de verzamelde persoonsgegevens.

Concreet? De GDPR website checklist:

1. Controleer website formulieren

Er mag enkel informatie verzameld worden die echt nodig is. Je mag bijvoorbeeld een e-mailadres verzamelen als je een digitale brochure wilt mailen naar klanten. Gegevens die niet gebruikt worden moeten verwijderd worden.

Wil je gegevens ook voor iets anders gebruiken dan moet dit uitdrukkelijk gevraagd worden. Je kan bijvoorbeeld een opt-in aanvink optie voorzien op een formulier met de vraag om een nieuwsbrief te mogen versturen.

2. Pas je privacyverklaring aan

De privacyverklaring is hét document waarop een onderneming aan de buitenwereld kan tonen op welke manier zij omgaan met persoonsgegevens en informeert de betrokkene over de toestemming die hij of zij verleent. Ga dus na of je privacyverklaring zo duidelijk en begrijpelijk mogelijk is. Daarnaast moet je vermelden hoe en wanneer gegevens verwijderd kunnen worden en een direct aanspreekpunt vermelden voor alle vragen in verband met de verwerking van persoonsgegevens.

3. Zorg voor een cookiebeleid

Maakt je gebruik van cookies op de website? Dan moet je dit volgens de EU-wetgeving melden aan de bezoeker.

Tot voor kort was het in België voldoende om het gebruik van cookies te vermelden en een opt-out te voorzien. Sinds de nieuwe wetgeving moet voor iedere cookie die een bezoeker apart kan identificeren toestemming gegeven worden. Ter verduidelijking: vanaf 25 mei kan de gebruiker via vermelding op de website aangeven of hij of zij analytische cookies en tracking cookies wel of niet wil accepteren.

4. Voorzie een SSL certificaat

Vanaf 25 mei moet je ervoor zorgen dat persoonsgegevens optimaal beschermd zijn. Als je formulieren of nieuwsbrief aanmeldingen verwerkt en/of bewaard via je website, dan is een HTTPS verbinding verplicht. Zorg er dus voor dat gegevens die vanop je website naar de server verzonden worden beveiligd zijn. Dit doe je aan de hand van een SSL-certificaat, waarmee je de verbinding tussen de website en de bezoeker beveiligd.

Bovendien zal Google je website als onveilig markeren wanneer deze geen gebruik maakt van een beveiligde verbinding.

Meer informatie over de werking en voordelen van een SSL certificaat kan je lezen in het artikel: Waarom maak je best gebruik van een SSL certificaat?

5. Back-ups, hosting & beveiligingsupdates

Voorzie een back-up-systeem zodat je data kan herstellen als er ergens iets fout loopt met je website. Je website is hoogstwaarschijnlijk gebouwd met een CMS (bv. Joomla, Drupal, Wordpress,...). Zorg er voor dat er frequent beveiligingsupdates gebeuren van het CMS systeem en alle geïnstalleerde exstensies. Je bent immers zelf verantwoordelijk voor de veiligheid van de website. Ben je hier niet goed in thuis? Besteed deze taken dan uit aan een web agency zoals Galia die hierin gespecialiseerd is.

6. Nieuwsbrieven en e-mail marketing

Verzamel je e-mailadressen en verzend je e-mails binnen de Europese Unie? Ook dan moet je de GDPR regels respecteren. Je bent waarschijnlijk al jarenlang bezig met een klantenbestand van e-mailadressen op te bouwen. De ene is in dat bestand terecht gekomen via een opt-in, de andere dan weer niet.

De vraag die zich hier vooral stelt is: moet ik aan iedereen nu opnieuw toestemming vragen om de gegevens verder te gebruiken?

Toestemming moet volgens de GDPR gebeuren via een verklaring of via een duidelijke actieve handeling. De soft opt-in is dus niet meer van toepassing. Enkel een uitdrukkelijke opt-in geldt nog.

Toestemming is echter niet de enige legitieme grond voor verwerking. Indien je kan steunen op een van de andere vijf rechtsgronden voor verwerking onder de GDPR, mag je ook nog gegevens verwerken. Boekhoudkundige gegevens kunnen hier bijvoorbeeld onder vallen.

Ontsnappen aan de toestemmingsvereiste?

De GDPR zegt letterlijk dat de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als een gerechtvaardigd belang.

Uit de huidige versie van de tekst blijkt dus dat kan worden volstaan met een mogelijkheid tot opt-out of het aanbieden van een recht van verzet om rechtmatig aan e-marketing te doen. Een toestemming is in dat geval niet verplicht. De elektronische communicatie moet dan wel een 'gelijksoortige dienst of product' betreffen en ze moet voortvloeien uit een verkoop en dus een bestaande klant zijn.

Anders gezegd, vereisen deze regels toestemming via opt-in voor e-marketing, tenzij deze verzameld zijn in het kader van een verkoop en het individu op dat moment de mogelijkheid had om zich te verzetten (opt-out).

Hoe ga je best te werk?

  1. Laat een data audit uitvoeren om in kaart te brengen welke databases je gebruikt, wie hier toegang toe heeft en wat er met deze data gebeurd.
  2. Onderzoek op welke manier je gegevens verzameld via de website en wat er achter de schermen bewaard wordt. Geef vooral aandacht om welke gegevens er verzameld worden en voor welke doeleinden.
  3. Maak een data register aan: De GDPR legt meer nadruk op de documentatie- en verantwoordingsplicht die geldt bij het verwerken van persoonsgegevens (art. 30 GDPR). Als er ooit een datalek is, zal je een register moeten voorleggen om te bewijzen dat je wel degelijk de regels gevolgd hebt. In een data register maak je een overzicht van de persoonsgegevens die je verwerkt, bepaal je waar ze vandaan komen en met wie ze gedeeld worden, hier vindt je een eenvoudig voorbeeld.
  4. Evalueer je bestaande privacyverklaring en website en plan noodzakelijke wijzigingen hieraan in het licht van de AVG.
  5. Zorg dat je eenvoudig gegevens kan verwijderen. Wanneer personen vragen om alle gegevens die je over hen bezit te wissen, moet je hierop kunnen ingaan.
  6. Indien mogelijk, adviseer ook een advocaat of juridisch raadgever voor een eerstelijnsadvies.

Hoe kan Galia je hierin begeleiden? Je kan bij ons terecht voor:

  • Een grondige data analyse.
  • De activatie en installatie van een SSL certificaat (HTTPS).
  • Het updaten van je cms systeem en geïnstalleerde plugins.
  • Het plaatsen van de nodige juridische documenten op uw website.
  • De integratie van een cookie content banner op je website.
  • Een aanpassing van de formulieren op je website.

Nieuw project of een goed idee?

Kom gerust langs en we kunnen vrijblijvend even samenzitten
om de mogelijkheden te bekijken.
 

Tel. 09 298 02 63

We zijn momenteel bereikbaar.

maandag
18-02-2019
10:00 - 18:00
dinsdag
19-02-2019
10:00 - 18:00
woensdag
20-02-2019
10:00 - 18:00
donderdag
21-02-2019
10:00 - 18:00
vrijdag
22-02-2019
10:00 - 18:00
zaterdag
23-02-2019
13:00 - 18:00
zondag
24-02-2019
GESLOTEN

Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.

Stuur ons een email voor algemene vragen of ondersteuning.
Uw aanvraag wordt binnen de 24 uur beantwoord.

Kantoor Gent

Kollebloemstraat 31
9030 Mariakerke (Gent)
België