One Shoe (part of iO)

De GDPR komt eraan. Wat betekent dat voor jou en je website?

25 mei 2018 is een datum om goed te onthouden. Op dat moment ondergaat de Nederlandse privacy wetgeving een make-over. Door de General Data Protection Regulation, ook wel de GDPR (of de Nederlandse benaming AVG) zijn in elke lidstaat van Europese Unie dezelfde privacy regels van kracht. De doorvoering van deze Europese regels kan een ‘ver-van-mijn-bed-show’ lijken. Toch zal bijna iedere organisatie er mee te maken krijgen, ook op digitaal vlak. Verzamel je mailadressen voor een nieuwsbrief? Heb je een klantenbestand? Of een contactformulier op je website? Dan zal je moeten voldoen aan de regels rondom GDPR. 

One Shoe | 04 mei 2018

GDPR in het kort:

  • De General Data Protection Regulation (GDPR) is Europese wetgeving over de omgang met persoonsgegevens en privacy.
  • Doel van de GDPR is om Europese burgers meer grip te geven op hun persoonsgegevens en hun privacy te beschermen. 
  • De GDPR heeft onder andere tot gevolg dat de personen van wie je de data verwerkt of wilt gaan verwerken, meer rechten krijgen.
  • Ook moet je als bedrijf nog beter gaan aantonen dat je de gegevens op verantwoorde (en legale!) manier verzamelt, opvraagt, bewaart of vernietigt.
  • Het is dus van belang dat je in kaart brengt op welke verschillende manieren jouw bedrijf persoonsgegevens verwerkt.
  • Doe de aanpassingen die nodig zijn om aan de GDPR te voldoen, want er zijn hoge boetes verbonden aan het niet naleven van de nieuwe regelgeving. Lees verder.

Digitale consequenties van de GDPR

Op digitaal vlak hebben we natuurlijk veel met persoonsgegevens te maken. Met betrekking tot de GDPR gaat het dan om digitale oplossingen die gegevens verwerken die direct of indirect zijn te herleiden tot een natuurlijk persoon. NAW- gegevens bijvoorbeeld, maar ook beeldmateriaal, e-mailadressen of medische gegevens.

Wat zijn de concrete gevolgen van de GDPR op je website? En moet je zelf ook iets doen? Dat leggen we je hieronder uit.

GDPR & je website

Wat betekent de GDPR voor je website? We bespreken een aantal punten om je een beeld te geven van de impact van de GDPR op je website, en geven aan welke stappen je kunt nemen om je website GDPR-proof te maken. 

Staat er een privacyverklaring op je website?

Zorg voor een duidelijke en makkelijk vindbare privacyverklaring op je website, bijvoorbeeld in de footer. Zo weten je sitebezoekers wat er met hun persoonsgegevens gebeurt en waarom. Vermeld ook of (en welke) derde partijen toegang hebben tot deze gegevens, bijvoorbeeld als je gebruikt maakt van een e-marketingtool. Je moet kunnen aantonen dat je op geldige manier toestemming hebt gekregen om de persoonsgegevens te verwerken. En ook moet het intrekken van deze toestemming net zo gemakkelijk zijn: mensen kunnen je namelijk vragen om hun gegevens te laten verwijderen. 

Let op dat de gegevens die je vraagt niet voor een ander doel worden gebruikt dan is vermeld. Dit is niet toegestaan.  Lees verder.

Is je cookiemelding correct / up-to-date?

Naast de GDPR is de Europese Commissie (EC) ook bezig met het wetsvoorstel voor een nieuwe ePrivacy Verordening. De ePrivacy wetgeving is specifieker dan de GDPR en  bepaalt onder andere wanneer het plaatsen van cookies wel en niet is toegestaan:
- Een cookiewall is niet meer toegestaan: bezoekers moeten ook gebruik kunnen maken van je website als ze niet akkoord gaan met het plaatsen van cookies.
- Voor functionele cookies hoef je de gebruiker geen toestemming te vragen: die onthouden geen persoonsgegevens.
- Ook voor analytische cookies is geen toestemming nodig, mits deze gegevens geanonimiseerd zijn. Je moet hier de bezoekers wel over informeren en het delen van deze informatie met derden mag niet.  
- Voor tracking cookies, waarmee je het surfgedrag van je sitebezoekers in kaart brengt, is wel toestemming vereist. 

Heeft je website een SSL-certificaat?

Verwerking van persoonsgegevens betekent ook het optimaal beschermen daarvan. Dit nalaten kan leiden tot een hoge boete en een beveiligingslek moet je melden! Zorg dus dat je CMS up-to-date is en dat de webserver goed wordt onderhouden. Het is verplicht om elke pagina waar persoonsgegevens worden verzameld te beveiligen met HTTPS (een SSL certificaat). Hierdoor worden de gegevens die je sitebezoeker achterlaat versleuteld verstuurd. Denk bijvoorbeeld aan een offerte aanvraag of (nieuwsbrief-) aanmelding. 

Heb je verwerkersovereenkomsten afgesloten? 

Verwerkt er iemand gegevens voor je bedrijf? Beheert een SEO specialist jouw website of verzorgt een clouddienst je backups? Dan zouden ze toegang kunnen hebben tot persoonsgegevens en dien je een verwerkersovereenkomst met hen af te sluiten. Hierin staan onder andere afspraken over geheimhouding, beveiliging en datalekken, en hoe jullie met de vertrouwelijke gegevens omgaan. 

Ook met Google dien je een verwerkersovereenkomst af te sluiten wanneer je gebruikmaakt van Google Analytics. Dit stappenplan helpt je op weg.

Staan er formulieren op je website?

Het is alleen toegestaan persoonsgegevens te verwerken die noodzakelijk zijn voor het beoogde doel. Dat heeft ook betrekking op de formulieren op je website, zoals het contactformulier of het aanmeldformulier voor je nieuwsbrief.  De standaardinstellingen van deze formulieren moeten zo privacy-vriendelijk mogelijk zijn. Dat betekent geen vooraf aangevinkte checkboxes. En is het opvragen van de adresgegevens echt noodzakelijk voor de aanmelding van een nieuwsbrief? Hoe meer gegevens je op wilt vragen: hoe meer werk en (juridische) verplichtingen daarbij komen kijken. Keep it simple.

Welke andere digitale systemen maken gebruik van persoonsgegevens?

Naast je website zullen er hoe dan ook andere systemen zijn waarmee je persoonsgegevens verwerkt. Denk bijvoorbeeld aan je e-mailmarketing software of je CRM-systeem. Breng je gegevensverwerkingen in kaart in een verwerkingsregister: documenteer welke persoonsgegevens je verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt. Zo krijg je inzicht in hoe je bestaande procedures en processen aan kunt passen op de GDPR.

Meer weten over de GDPR?

Bovenstaande is een greep uit de consequenties die de GDPR heeft op functionaliteiten binnen je website of webplatform. Dit overzicht is natuurlijk niet allesomvattend. De richtlijn gaat veel verder dan alleen je website.  Op de website van de Autoriteit Persoonsgegevens staat helder uitgelegd wat er nog meer bij komt kijken wanneer de GDPR in werking treedt.

Privacy by Design & Privacy by Default

Bij het ontwerpen en maken van je website of applicatie houdt One Shoe rekening met de nieuwe privacyregels. Door zowel middels ontwerp (Privacy by Design) als middels techniek (Privacy by Default) een zorgvuldige omgang met persoonsgegevens af te dwingen.

Welke persoonsgegevens je exact mag en kan verwerken - en wat dat betekent voor je website - hangt af van de situatie. Onze experts kunnen ervoor zorgen dat je bestaande of nieuwe website of applicatie is ingericht volgens de eisen van de GDPR en eventuele aanpassingen voor je doen.