GDPR in aan paar stappen uitgelgd

Uw weg kwijt in de GDPR wetgeving?

Naar aanleiding van een stuk op Radio 1 schrijf ik dit artikel in een poging enige klaarheid te brengen in het oerwoud van de GDPR.

Ik ben geen GDPR specialist, verre van. Maar toch ga ik proberen u in een paar stappen uit te leggen waar u op moet letten als u een eigen website hebt en niet in strijd wilt zijn met de wetgeving.

Wat is GDPR?

Je hebt ongetwijfeld al gehoord van de GDPR-wetgeving die inging op 25 mei 2018. GDPR is de afkorting voor General Data Protection Regulation. In het Nederlands spreken we soms van AVG of Algemene Verordening Gegevensbescherming maar ook in België gebruiken we vaker de afkorting GDPR.

Simpel uitgelegd is dit een verzameling van regels om de gegevens van Europese burgers beter te beschermen, maar wat houdt dit nu juist in? Hoe kan ik ervoor zorgen dat mijn bedrijf aan deze wetgeving voldoet en dus geen strenge boetes krijgt?

Lees verder om een antwoord te krijgen op uw vragen.

Over welke gegevens gaat het?

  • Persoonlijke gegevens zoals naam, geslacht, geboortedatum, adres,…
  • Sociale media zoals Facebook, LinkedIn, Twitter,…
  • Online gegevens zoals zoekgeschiedenis, cookies, e-mail, IP adres,…
  • Financiële gegevens zoals bankrekening, inkomen, belastingen,…
  • Juridische informatie zoals veroordelingen, boetes,…
  • GPS-gegevens zoals reisinformatie, GPS,…
  • Medische gegevens zoals vaccinaties, ziekenhuisinfo,…
  • Etnische gegevens zoals culturele voorkeuren, religies,…
  • Winkelgedrag zoals winkelaankopen, direct marketing,…

Waarom moeten uw gegevens beschermd worden?

De oude Europese wetgeving omtrend databescherming was sinds 1995 niet meer gewijzigd. Met de opkomst van Facebook, Google, en andere internet giganten was het duidelijk dat er iets moest gebeuren. Ook de opkomst van de smartphone speelt hier een belangrijke rol.

Die grote spelers hebben door middel van cookies, webformulieren, app data, browser geschiedenis enz een schat aan informatie of iederen van ons. Het gebruik van deze data moest aan banden worden gelegd. Het is immers vrij eenvoudig om die data om te zetten in belangrijke strategische informatie met betrekking tot bvb uw kiesgedrag, uw koopgedrag, zelfs persoonlijkheid.

"Facebook kent u beter dan uzelf"

Er is een studie van de Cambridge Universiteit die aantoont dat in bepaalde gevallen Facebook u beter kent dan uw dichte familie. Na analyse van 'Likes' kwamen zei tot enkele opmekerlijke resultaten. Na analyse van 150 likes van één bepaalde persoon kent Facebook uw beter dan uw eigen vrouw of man. Zo kunnen ze bijvoorbeeld inschatten welke beslissingen je zou maken in welke omstandigheden. Toch iets om even over na te denken. (*)

Het doel van de GDPR is dus de gebruikers terug meer controle te geven over die data die op hen betrekking heeft. Fundamentele rechten, zoals recht op privacy, spelen hier een belangrijke rol.

Enkele basisprincipes

De Europese GDPR wetgeving is gebaseerd op 4 pijlers inzake privacy en gegevensbescherming: transparantie, verantwoording, consumentenrechten en meldplicht.

  1. Transparantie: Bedrijven moeten burgers informeren over hoe de data wordt verzameld en verwerkt, en dat op een begrijpelijke manier.
  2. Verantwoording: GDPR introduceert de verplichting voor bedrijven om verantwoording af te leggen voor de verwerking van persoonsgegevens. Dat betekent dat u voor elke verwerking een doelstelling moet bepalen en een rechtsgrond moet documenteren over hoe u de verschillende principes van GDPR toepast.Het klinkt wat zwaar op de hand, maar in feite is het heel eenvoudig: vooraleer u persoonsgegevens begint te verwerken, moet u er zeker van zijn dat u hiervoor een grondige reden hebt.
  3. Consumentenrechten: Naast de bestaande rechten (recht op informatie, toegang, correctie, en recht van verzet) introduceert GDPR onder andere het recht om vergeten te worden, het recht op overdraagbaarheid van gegevens en het recht om zich te verzetten tegen profilering.
  4. Meldplicht: Bedrijven zijn verplicht een datalek te melden binnen de 72 uur, tenzij kan worden aangetoond dat het lek geen gevaar is voor de personen waarover gegevens werden verzameld.

Persoonlijke data kan op allerlei manieren worden verzamend. Daar ik mij voornamelijk bezig hou met webdesign is dit artikel daarop gericht.

Hoe maak ik mijn website GDPR proof?

Er zijn een aantal punten waar u rekening moet mee houden

  • Cookiemelding
  • Privacy en cookiebeleid
  • HTTPS
  • Formulieren
  • Beveiliging

Cookiemelding

U bent verplicht de bezoekers van uw website te informeren over het gebruik van cookies. Plaats een link naar de pagina met het cookiebeleid en geef in begrijpelijke taal aan welke cookies worden gebruikt en waarom.

Privacy en cookiebeleid

Plaats links op uw website naar de nodige juridische documenten. Zoals een privcacy verklaring die de bezoeker inlicht hoe uw bedrijf omgaat met persoonsgegevens. Hoe worden deze verwerkt en opgeslagen. En hoe lang. Ook een cookiebeleid dat aangeeft welke cookies worden gebruikt en waarom.

HTTPS

Schakel over naar HTTPS. Hyper Text Transfer Protocal Secure. Vooral die 'S' is dus belangrijk. Dit wilt zeggen dat alle data die uitgewisseld wordt tussen uw pc, en de server waarop de website die u bezoekt gehost wordt, geëncrypteerd is. Maw, onleesbaar voor derden die deze data zou onderscheppen.

Formulieren

Heb u een formulier op uw website? Een contactformulier of registratieformulier? Dan mag u enkel de informatie vragen die u echt nodig heeft. Wilt u de verkregen gegevens voor iets anders gebruiken, bvb een maandelijkse nieuwsbrief? Dan moet u daarvoor expliciet toestemming vragen met een opt-in aanvinkvakje

Beveiliging

Zorg voor een optimale beveiliging van uw website. Installer alle noodzakelijke updates van uw CMS of eender welke gebruikt pakket. U bent als bedrijf immers zelf verantwoordelijk.

Google Sites and GDPR

Voor al mijn websites gebruik ik de tool Google Sites. Deze voorziet standaard een cookies melding en maakt gebruik van HTTPS. Mooi meegenomen.

Je bent dan wel verplicht om in uw privacy verklaring, onder de rubriek Cookies, een link te zetten naar de Cookies pagina van Google. Zoals bij mij dan ook het geval is.

De gouden regel zou moeten zijn : Indien niet nodig, bewaar geen gegevens van derden. Bij twijfel? Verwijder de gegevens. Bewaar ze alleen als dit echt nodig is bijvoorbeeld voor contactuele opvolging.

Boetes?

Als je niet voldoet aan de GDPR-wetgeving dan hangen er hoge boetes boven je hoofd. Bij een ‘lichte schending’ kan het gaan over 2% van je jaarlijkse omzet. De maximale boete kan oplopen tot €20 miljoen of 4% van je jaarlijkse omzet.

Conclusie

De GDPR wetgeving is alles behalve eenvoudige materie. Bij twijfel laat u zicht het best bijstaan door een GDPR consulent.

Dit artikel is bedoelt al een geheugensteun voor mezelf en een samenraapsel van bovenstaande bronnen. Het is dan ook mogelijk dat niet alles 100% correct is geformuleerd. Zoals eerder gezegd, bij twijfel, neem een GDPR specialist onder de arm.