GDPR en uw website

U heeft er ongetwijfeld al over gehoord, maar binnen 2 weken, nl op 25 mei 2018, treedt de nieuwe Europese privacywetgeving (GDPR) in werking.

Een grote verandering die in de praktijk heel veel vragen oproept bij klanten.

  • Wat moet ik doen om in orde te zijn?
  • Mag ik nog wel een nieuwsbrief versturen?
  • Moet ik iets op mijn website veranderen?

GDPR

GDPR = DATA PROTECTION

GDPR staat voor General Data Protection Regulation of in 't Nederlands, AVG (Algemene Verordening Persoonsgegevens). Deze wet is een aanscherping en aanvulling op de bestaande (!) wet bescherming persoonsgegevens, en is bedoeld om de privacy van burgers (nog) beter te beschermen.

Deze nieuwe wetgeving is echter zo veel omvattender, omdat het zowel over je (online) middelen, infrastructuur als je interne processen gaat. Wij belichten hieronder enkel maar een klein stukje nl. uw publieke website.

ALGEMENE PRINCIPES

Iedereen die (online) persoonsgegevens bijhoudt en verwerkt (u dus ook) moeten deze 'algemene basisprincipes' van gegevensbescherming respecteren:

  1. Transparantie : de persoon van wie de gegevens verwerkt worden, moet hiervan op de hoogte zijn, heeft hiervoor toelating gegeven en kent zijn rechten.
  2. Doelbeperking : u mag de persoonsgegevens alleen voor een welbepaald gewettigd doel verzamelen en niet voor andere zaken gebruiken.
  3. Gegevensbeperking : u mag alleen de gegevens verzamelen die voor het beoogde doel noodzakelijk zijn.
  4. Juistheid : de persoonsgegevens moeten correct zijn en blijven.
  5. Bewaarbeperking : u mag de persoonsgegevens niet langer bewaren dan nodig voor het beoogde doel.
  6. Integriteit en vertrouwelijkheid : u moet de persoonsgegevens beschermen tegen toegang door onbevoegden, verlies of vernietiging.
  7. Verantwoording : de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen (documentatieplicht), moet gegevens beveiligen en inbreuken melden (meldingsplicht).

Op basis van deze algemene GDPR-principes hebben wij hieronder een kleine ‘checklist’ samengesteld.

CHECKLIST VOOR UW WEBSITE

Deze lijst geldt voor klanten met een 'klassieke' website met contact-formulier(en), en die ev. ook af en toe een mailing versturen. Heeft u echter een webshop, of verzamelt en verwerkt u meer gegevens (bv. via een intranet/extranet), dan gaan we dit veel dieper moeten bekijken en bijkomende aanbevelingen doen.

  1. Privacy verklaring : Zorgt voor een privacy statement op je website (met een link onderaan in de footer) waarin je uitlegt wat er met alle persoonsgegevens gebeurt. Maak duidelijk welke gegevens je verwerkt en voor welk(e) doel(en).
    Naast het recht op verzet, inzage en rectificatie, heeft de bezoeker o.a. ook het recht om vergeten te worden. M.a.w. voorzie deze mogelijkheid ook in de privacy verklaring en hou gegevens niet langer bij dan nodig.
  2. Online formulieren :
    • Vraag alleen gegevens die je écht nodig hebt om je doel te bereiken (geen onnodige data dus). Bijkomend voordeel : kortere formulieren converteren doorgaans beter.
    • Bezoekers moeten expliciet de toestemming geven om zich bv. in te schrijven voor je nieuwsbrief (opt-in). Een automatisch aangevinkt optie-veldje mag dus niet.
    • Versleutel het versturen van gegevens via HTTPS (lees hieronder).
  3. HTTPS : Beveilig je website met HTTPS waardoor de gegevens die je bezoeker invult via een formulier op je website versleuteld worden verstuurd.
  4. Cookiemelding : Vraag toestemming wanneer je website ‘cookies’ plaats. Cookies zijn kleine tekstbestandjes die uiteenlopende gegevens kunnen bevatten, meestal onschuldig en enkel om je surf-ervaring op een bepaalde website te verbeteren. Echter, er bestaan ook commerciële cookies die als doel hebben om mensen te traceren, en hiervoor is het verplicht om een goedkeuring te vragen.
  5. Opt-in/Opt-out : Naast de opt-in verplichting (zie hierboven), moet je natuurlijk ook een opt-out mogelijkheid voorzien onderaan elke nieuwsbrief die je verstuurt.
  6. Backup/hosting : Als eigenaar van de website ben jij verantwoordelijk en aansprakelijk voor eventuele datalekken. Zorg dus voor een verwerkersovereenkomst met de hosting provider die je website (en eventuele backups) beheert.

Deze richtlijnen zijn zeker geen sluitende, noch juridisch volledig correcte informatie maar louter bedoeld als aanvullende informatie.
Lees altijd de desbetreffende wetteksten na of raadpleeg een juridisch expert.

Interessante links/PDFs van de Commissie voor de bescherming van de persoonlijke levenssfeer :