We leggen je eerst eenvoudig uit waar je verantwoordelijk voor bent. We tonen je waar je werk van moet maken om in regel te zijn met GDPR. Tot slot geven we een checklist en 8 stappen waarmee je pragmatisch je website kan controleren en kan verbeteren.
Wat is GDPR?
De officiële GDPR website vertelt dat de nieuwe regelgeving werd ontworpen om alle wetten over gegevensprivacy in Europa te harmoniseren. Het doel is om de privacy van alle EU-burgers te beschermen en om de manier waarop bedrijven met persoonlijke gegevens omgaan te verbeteren.
GDPR is een zeer uitgebreid en complex onderwerp. Het goede nieuws is dat we je in dit artikel een duidelijk en overzichtelijk beeld geven van wat dit concreet voor je website of webshop betekent.
Vraag je jezelf af of GDPR ook voor jou geldt? Als je zaken doet met Europeanen en hun persoonlijke gegevens verwerkt (inclusief e-mailadres of IP-adres) dan is deze wetgeving op jou van toepassing. Dit is ongeacht je locatie, dus ook als je je buiten de EU bevindt en Europese klanten hebt.
Wat is jouw rol in GDPR?
GDPR maakt jou expliciet verantwoordelijk voor het beschermen van persoonsgegevens die je verzamelt, verwerkt en bewaart. Maak niet de fout te veronderstellen dat dit enkel gaat om gegevens die online of elektronische worden opgeslagen. GDPR geldt ook voor gegevens die je op papier of om het even waar bijhoudt.
GDPR wil ook een halt toeroepen aan het ongebreideld delen van persoonsgegevens met derde partijen, en het vermijden van misbruik van gegevens voor marketing doeleinden.
GDPR beschrijft twee verschillende rollen en geeft ze een verschillend niveau van aansprakelijkheid voor de manier waarop gegevens worden gebruikt:
Gegevensbeheerders: De persoon die beslist welke gegevens worden verzamelt en hoe ze worden verwerkt.
Als je een website of webshop hebt, ben je een gegevensbeheerder.
Gegevensverwerkers: De persoon die gegevens ontvangt van iemand anders en hun instructies volgt over deze gegevens. De wet is hier zeer breed en gaat over om het even welke activiteit in relatie tot de gegevens. Belangrijk om op te merken is dat GDPR enkel gaat om persoonsgegevens en niet over bedrijfsgegevens.
Wanneer verwerk je persoonsgegevens?
Als je persoonsgegevens bijhoudt voor je klanten dan ben je een gegevensverwerker. De klant is de gegevensbeheerder.
Er zijn ook situaties denkbaar waar je tegelijk gegevensbeheerder en gegevensverwerker bent.
Enkele voorbeelden om het onderscheid tussen beiden beter te begrijpen:
- Als je een website of webshop hebt, ben je een gegevensbeheerder. Jij bepaalt welke gegevens je verzamelt en opslaat met behulp van contactformulieren, nieuwsbrief-aanmeldingen, bestelformulieren, … Je hosting of service provider is een gegevensverwerker.
- Als je mails en nieuwsbrieven verstuurt via een marketing platform is de service provider die je hiervoor gebruikt een gegevensverwerker. Jij bent de gegevensbeheerder.
Gegevensverwerkers zijn verantwoordelijk om enkel persoonsgegevens te verwerken die goed worden beheerd. Ze dienen er ook voor te zorgen dat het systeem waarmee gegevens worden verwerkt in regel is met de wet.
De gegevensverwerker heeft ook een verantwoordelijkheid als die vermoed dat een gegevensbeheerder niet de principes van de GDPR-wetgeving volgt.
Ken de GDPR-principes en handel er naar
We sommen de GDPR-principes in begrijpelijke taal voor je op:
Verzamel persoonsgegevens op een wettige manier. Doe dit op basis van een eerlijk en transparant proces.
Verzamel gegevens enkel voor specifieke, expliciete en wettige doeleinden.
Vraag enkel gegevens die relevant zijn en beperk je tot wat echt nodig is.
Zorg ervoor dat gegevens altijd accuraat en up-to-date zijn.
Bewaar gegevens in een vorm die identificatie mogelijk maakt voor enkel zolang als nodig is.
Bewaar alle gegevens veilig met correcte technische en organisatorische maatregelen.
Wat betekent dit werkelijk? Dit betekent dat elk individu verteld moet worden welke persoonsgegevens er verzameld worden. Ook waarom dat gebeurt en waar de gegevens voor gebruikt zullen worden. Een voorbeeld:
Vink het vakje aan om aan te geven dat je het prima vindt dat we je mailen met relevante tips en aanbiedingen. Je gegevens worden niet gedeeld met andere partijen en je kan je op elk moment weer uitschrijven of je gegevens aanpassen.
Deze tekst vertelt je website bezoeker wat er wordt gebruikt (emailadres) en waarom (marketing) en nodigt ook uit om je op de hoogte te brengen bij gewenste aanpassingen. De GDPR-principes 1, 2 en 4 zijn hiermee adequaat ingevuld.
Om in regel te zijn met de overige principes zal je goed moet beoordelen wat redelijk is en dit ook in je privacy beleid beschrijven. Denk goed na over wat verdedigbaar is als opslagperiode en welke beveiliging proportioneel is in relatie tot de gevoeligheid van de persoonsgegevens die je registreert.
Enkele GDPR website voorbeelden en afwegingen:
- Als een website bezoeker gebruik maakt van het generieke contactformulier op je website, welke informatie heb je dan echt nodig? Hoe lang je ga je die gegevens daarna nog bijhouden als die persoon geen klant is? Waarom?
- Welke informatie is er minimaal noodzakelijk om een bestelling in je webshop adequaat te kunnen afhandelen? Verloopt de betaling en uitwisseling van betalingsgegevens op een veilige manier?
- Waarom vraag je meer dan enkel emailadres als iemand zich op je website inschrijft voor je nieuwsbrief?
- Ben je zeker over welke emails iemand die zich op je website heeft geregistreerd graag wil ontvangen zonder dat het als ongewenste spam wordt ervaren?
Dus ik ben verantwoordelijk! Wat moet ik concreet doen?
Tenzij je een jurist bent die werkelijk alle ongeveer vijfhonderd pagina’s van de GDPR-wetgeving begrijpt, wil je jezelf niet verantwoordelijk maken voor het in detail doorlichten van alle systemen van je klanten en leveranciers.
Neem redelijke voorzorgsmaatregelen zodat je op elk moment kan aantonen dat je er alles aan hebt gedaan om in regel te zijn met GDPR. Doe dit afhankelijk van je situatie in je rol als gegevensbeheerder of in je rol als gegevensverwerker. Vraag je klanten en je leveranciers om zichzelf te informeren. Verwijs bijvoorbeeld naar dit artikel. Vraag hen om schriftelijk te bevestigen dat ze:
Handelen volgens de hierboven vermelde principes.
Met een Privacy Beleid en Gebruikersvoorwaarden kunnen aantonen en in regel zijn met de GDPR-eisen.
Indien nodig extra stappen ondernemen om zo snel mogelijk te voldoen aan de GDPR-regelgeving.
Paniekvoetbal is nergens goed voor. GDPR totaal negeren is echter ook uit den boze.
Het belangrijkste is dat je bewust en professioneel aan de slag gaat met GDPR, en dat ook duidelijk kan aantonen.
Wat moet ik NU doen?
Start met de GDPR Website Checklist!
Om snel te starten met de evaluatie van jouw persoonlijke situatie en website hebben we een eenvoudige GDPR Website Checklist samengesteld. Deze lijst helpt je om na te denken over alle persoonsgegevens die je met je website verzamelt.
De GDPR Website Checklist garandeert niet dat je met GDPR in regel bent, maar als je elke vraag met ‘ja’ kan beantwoorden, betekent het in elk geval dat je in de goede richting gaat.
Als je alle punten in de GDPR website checklist hebt doorgenomen zal je ook al wat beter zicht hebben op wat voor soort gegevensbeheerder of gegevensverwerker je bent.
Raadpleeg bij twijfel zeker ook een expert. Voor een veel uitgebreidere controle van je gehele bedrijf verwijzen we graag naar de Unizo GDPR website.
In 8 eenvoudige stappen je website klaarstomen voor GDPR
Als je de GDPR website checklist hebt doorgenomen zijn dit de eenvoudige, pragmatische stappen en aanpassingen die we adviseren om je website zo snel mogelijk te verbeteren:
1. Gebruik het verleden als springplank
Bekijk welke persoonsgegevens je tot op heden allemaal hebt ontvangen via je website, wanneer en waarom, en wat er daarna met die gegevens is gebeurd. Samen met de GDPR Website Checklist is dit een zeer leerzame oefening om te kijken wat je nodig hebt, waar je beter mee kan stoppen, en wat je misschien duidelijker of transparanter moet uitleggen bij je website bezoeker.
2. Bekijk ZEER KRITISCH al je website formulieren
Neem je website formulieren één voor één grondig onder de loep. Vraag enkel persoonsgegevens die je echt nodig hebt. Vermeld duidelijk wat er gebeurt met de gevraagde gegevens en verwijs naar de GDPR-sectie van je privacy beleid. Als je later commerciële informatie en aanbiedingen wenst te sturen (marketing), vraag dan expliciet goedkeuring door middel van een aan te vinken opt-in vakje en toon dit NIET standaard aangevinkt. Maak de afweging of aanvinken verplicht of optioneel is, om niet onnodig inzendingen te verliezen (vb. contactformulier of bestelformulier)
3. Controleer je hosting en email systemen
Als je gebruik maakt van een service provider voor je website en voor de registratie van persoonsgegevens bij aanmelding op je website, controleer dan dat deze systemen veilig zijn. Controleer of de provider er alles aan doet om in regel te zijn met GDPR. Lees hun Privacy Beleid en Voorwaarden.
4. Update beleidspagina’s op je website
Zorg er voor dat er op je website uitgebreide en duidelijke informatie beschikbaar is over hoe er met geregistreerde persoonsgegevens wordt omgegaan. Meestal wordt er op een website in de voettekst van elke pagina minimaal verwezen naar een Privacy Beleid, vaak ook naar Gebruikersvoorwaarden en Algemene Voorwaarden.
5. Krijg duidelijke & specifieke goedkeuring van je bezoeker
Volgens GDPR moet je goedkeuring krijgen van je klanten om hun persoonsgegevens te verzamelen. Je moet vervolgens ook goedkeuring krijgen voor hoe je die gegevens wil gebruiken. De kleine lettertjes in GDPR beschrijven dit als “vrijwillig gegeven, specifiek, geïnformeerd en ondubbelzinnig”. Dit is extra belangrijk bij e-commerce websites.
6. Neem contact op met elke partij die persoonsgegevens voor je verwerkt
Vergewis je er van dat elke partij waar je mee samenwerkt zich bewust is van GDPR en in regel is. Als je wat meer gevoeligere informatie verwerkt, moet je hier absoluut zeker van zijn. Controleer hun beleid en voorwaarden.
7. Migreer je website naar HTTPS
Het gebruik van HTTPS (met een SSL-certificaat) is echt een must als je gebruik maakt van formulieren op je website of een e-commerce site hebt. Zonder HTTPS is de kans heel groot dat je bezoeker verontrustende veiligheidswaarschuwingen te zien krijgt en snel weer weg is. Lees er ook meer over in ons artikel over HTTPS en SSL.
8. Pas je Google Analytics instellingen aan
Google heeft recent in een mail uitgelegd dat je Google Analytics instellingen voor GDPR dient aan te passen op basis van je privacy beleid. Als je niets doet wordt dit vanaf 25 mei 2018 standaard op 26 maanden ingesteld. Afhankelijk van je beleid kan je die periode verkorten of langer maken.
Hulp bij het GDPR-compliant maken van je website?
Als je op elke vraag in de GDPR Website Checklist ‘ja’ kan antwoorden, is dat geen garantie dat je in orde bent. Het betekent wel dat je in de goede richting gaat.
Heb je specifieke vragen en wensen om je website technisch in regel met GDPR te maken? Neem contact op met je service provider. Twijfel je over juridische aspecten doe dan beroep op een jurist. Doe dit nadat je goed hebt nagedacht over de persoonsgegevens die je registreert, je privacy beleid en alle vragen in de GDPR website checklist.
Als je een WordPress-website hebt kan Online Expert je ook helpen bij het verbeteren van je website. Op basis van een Website Audit bekijken we eerst alle verbeterpunten en kan je eventueel ook overstappen op een Expert Abonnement voor regelmatig onderhoud en beheer. Als je hier interesse in hebt en meer over wil weten, neem dan contact met Online Expert op.
GDPR versterkt ook het privacybeleid van Online Expert
Bij Online Expert zijn we alleen maar blij met de privacy eisen van GDPR. Dit helpt ons om samen met onze klanten zeer bewust te blijven omgaan met persoonsgegevens op alle website in ons beheer.
GDPR is compatibel met waarden die we al lang in het vaandel dragen: “Jouw gegevens zijn van jou.” en “Wij zijn goede bewakers van je gegevens”.
We blijven er op toezien en verder aan werken dat persoonsgegevens altijd op een correcte en transparante manier worden verwerkt. Lees er meer over in het Privacybeleid van Online Expert.
Wat heb jij veranderd of wil je nog veranderen op je website naar aanleiding van de GDPR-wetgeving? Over welke zaken twijfel je nog? Heb je suggesties om onze GDPR Website Checklist verder te verbeteren? Laat het weten in een reactie hieronder.
Wens je concrete ondersteuning bij het verbeteren van je website, laten we dan kennismaken.