Wat is GDPR?
De GDPR is een geheel van regels om de gegevens van Europese burgers beter te beschermen. Europa wil met de GDPR bedrijven beperkingen opleggen rond het verzamelen van persoonsgegevens. Ook internationale bedrijven die met Europese persoonsgegevens werken, zullen deze nieuwe regelgeving moeten naleven. Het feit dat deze materie voor de Europese wetgever prioritair is blijkt uit de monsterboetes: tot € 20.000.000 of 4% van de wereldwijde jaaromzet. Anderzijds maakt de GPDR het eenvoudiger voor bedrijven, doordat een uniform wettelijk kader werd uitgewerkt dat geldt voor heel de Europese Unie.
Voor wie geldt de GDPR?
De GDPR geldt voor alle bedrijven, groot en klein, die op een geautomatiseerde of een gestructureerde manier persoonsgegevens verwerken. Je mag er dus van uitgaan dat dit ook voor jouw onderneming geldt.
Dit zijn de voornaamste vernieuwingen:
- Transparantie: Bedrijven moeten burgers informeren over hoe de data wordt verzameld en verwerkt, en dat op een begrijpelijke manier.
- Data-overdracht: Burgers zullen hun gegevens kunnen overdragen van de ene dienstverlener naar de andere, bijvoorbeeld om van telecomoperator te wisselen.
- Recht om vergeten te worden: Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt, en als er geen geldig tegenargument gegeven kan worden.
- Meldplicht bij datalekken: Bedrijven zijn verplicht een datalek te melden binnen de 72 uur, tenzij kan worden aangetoond dat het lek geen gevaar is voor de verzamelde persoonsgegevens.
Concreet? De GDPR website checklist:
1. Controleer website formulieren
Er mag enkel informatie verzameld worden die echt nodig is. Je mag bijvoorbeeld een e-mailadres verzamelen als je een digitale brochure wilt mailen naar klanten. Gegevens die niet gebruikt worden moeten verwijderd worden.
Wil je gegevens ook voor iets anders gebruiken dan moet dit uitdrukkelijk gevraagd worden. Je kan bijvoorbeeld een opt-in aanvink optie voorzien op een formulier met de vraag om een nieuwsbrief te mogen versturen.
2. Pas je privacyverklaring aan
De privacyverklaring is het document waarmee een onderneming aan de buitenwereld toont op welke manier zij omgaan met persoonsgegevens en waarmee het de betrokkene informeert over de toestemming die hij of zij verleent. Ga dus na of je privacyverklaring zo duidelijk en begrijpelijk mogelijk geschreven is. Daarnaast moet je vermelden hoe en wanneer gegevens verwijderd kunnen worden en een direct aanspreekpunt vermelden voor alle vragen in verband met de verwerking van persoonsgegevens.
3. Zorg voor een cookiebeleid
Maakt je gebruik van cookies op de website? Dan moet je dit volgens de EU-wetgeving melden aan de bezoeker.
Tot voor kort was het in België voldoende om het gebruik van cookies te vermelden en een opt-out te voorzien. Sinds de nieuwe wetgeving moet voor iedere cookie die een bezoeker apart kan identificeren toestemming gegeven worden. Iedere gebruiker moet aangeven of hij of zij analytische cookies en tracking cookies wel of niet wil accepteren.
4. Voorzie een SSL certificaat
5. Back-ups, hosting & beveiligingsupdates
Voorzie een back-up-systeem zodat je de data kan herstellen als er ergens iets fout loopt met je website. Je website is hoogstwaarschijnlijk gebouwd met een CMS (bv. Joomla, Drupal, WordPress,…). Zorg ervoor dat er frequent beveiligingsupdates gebeuren van het CMS systeem en alle geïnstalleerde plugins/extensies. Je bent immers zelf verantwoordelijk voor de veiligheid van de website. Ben je hier niet goed in thuis? Je kan dit werk uitbesteden aan een web agency zoals… ja, Galia natuurlijk! (Deze zag je toch wel aankomen hé?) Naast webdesign is Galia gespecialiseerd in webhosting die zowel betaalbaar als veilig is. Met periodieke back-ups en beveiligingsupdates inclusief, al vanaf ons goedkoopste hostingplan.
6. Nieuwsbrieven en e-mail marketing
Verzamel je e-mailadressen en verzend je e-mails binnen de Europese Unie? Ook dan moet je de GDPR regels respecteren. Misschien ben je al jaren een klantenbestand met e-mailadressen aan het opbouwen, van nog voor de wetgeving van kracht werd. Het ene e-mailadres is in dat bestand terecht gekomen via een opt-in, een andere dan weer niet.
De vraag hier is: moet ik aan iedereen opnieuw toestemming vragen om de gegevens verder te gebruiken?
Toestemming moet volgens de GDPR gebeuren via een verklaring of via een duidelijke actieve handeling. Een impliciete of ‘soft’ opt-in kan dus niet meer. Enkel een uitdrukkelijke opt-in mag nog.
Maar, die toestemming is niet de enige legitieme grond voor verwerking. Indien je kan steunen op één van de andere vijf rechtsgronden voor verwerking onder de GDPR, mag je -zonder toestemming- nog gegevens verwerken. Boekhoudkundige gegevens kunnen hier bijvoorbeeld onder vallen.
Ontsnappen aan de toestemmingsvereiste?
De GDPR zegt letterlijk dat de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als een gerechtvaardigd belang.
Uit de huidige versie van de tekst blijkt dus dat kan worden volstaan met een mogelijkheid tot opt-out of het aanbieden van een recht van verzet om rechtmatig aan e-marketing te doen. Een toestemming is in dat geval niet verplicht. De elektronische communicatie moet dan wel een ‘gelijksoortige dienst of product’ betreffen en ze moet voortvloeien uit een verkoop en dus een bestaande klant zijn.
Anders gezegd, vereisen deze regels toestemming via opt-in voor e-marketing, tenzij deze verzameld zijn in het kader van een verkoop en het individu op dat moment de mogelijkheid had om zich te verzetten (opt-out).
Hoe ga je best te werk?
- Laat een data audit uitvoeren om in kaart te brengen welke databases je gebruikt, wie hier toegang toe heeft en wat er met deze data gebeurd.
- Onderzoek op welke manier je gegevens verzameld via de website en wat er achter de schermen bewaard wordt. Geef vooral aandacht om welke gegevens er verzameld worden en voor welke doeleinden.
- Maak een data register aan: De GDPR legt meer nadruk op de documentatie- en verantwoordingsplicht die geldt bij het verwerken van persoonsgegevens (art. 30 GDPR). Als er ooit een datalek is, zal je een register moeten voorleggen om te bewijzen dat je wel degelijk de regels gevolgd hebt. In een data register maak je een overzicht van de persoonsgegevens die je verwerkt, bepaal je waar ze vandaan komen en met wie ze gedeeld worden.
- Evalueer je bestaande privacyverklaring en website en plan noodzakelijke wijzigingen hieraan.
- Zorg dat je eenvoudig gegevens kan verwijderen. Wanneer personen vragen om alle gegevens die je over hen bezit te wissen, moet je hierop kunnen ingaan.
- Indien mogelijk, adviseer ook een advocaat of juridisch raadgever voor een eerstelijnsadvies.
Hoe kan Galia je hierin begeleiden? Je kan bij ons terecht voor:
- Een grondige data analyse.
- De activatie en installatie van een SSL certificaat (HTTPS).
- Het updaten van je CMS systeem en geïnstalleerde plugins.
- Het plaatsen van de nodige juridische documenten op uw website.
- De integratie van een cookie content banner op je website.
- Een aanpassing van de formulieren op je website.
