GDPR in aan paar stappen uitgelgd

Wat is GDPR?

Je hebt ongetwijfeld al gehoord van de GDPR-wetgeving die inging op 25 mei 2018. GDPR is de afkorting voor General Data Protection Regulation. In het Nederlands spreken we soms van AVG of Algemene Verordening Gegevensbescherming maar ook in België gebruiken we vaker de afkorting GDPR.

Simpel uitgelegd is dit een verzameling van regels om de gegevens van Europese burgers beter te beschermen, maar wat houdt dit nu juist in? Hoe kan ik ervoor zorgen dat mijn bedrijf aan deze wetgeving voldoet en dus geen strenge boetes krijgt?

Lees verder om een antwoord te krijgen op uw vragen.

Waarom moeten uw gegevens beschermd worden?

De oude Europese wetgeving omtrend databescherming was sinds 1995 niet meer gewijzigd. Met de opkomst van Facebook, Google, en andere internet giganten was het duidelijk dat er iets moest gebeuren. Ook de opkomst van de smartphone speelt hier een belangrijke rol.

Die grote spelers hebben door middel van cookies, webformulieren, app data, browser geschiedenis enz een schat aan informatie of iederen van ons. Het gebruik van deze data moest aan banden worden gelegd. Het is immers vrij eenvoudig om die data om te zetten in belangrijke strategische informatie met betrekking tot bvb uw kiesgedrag, uw koopgedrag, zelfs persoonlijkheid.

"Facebook kent u beter dan uzelf"

Er is een studie van de Cambridge Universiteit die aantoont dat in bepaalde gevallen Facebook u beter kent dan uw dichte familie. Na analyse van 'Likes' kwamen zei tot enkele opmekerlijke resultaten. Na analyse van 150 likes van één bepaalde persoon kent Facebook uw beter dan uw eigen vrouw of man. Zo kunnen ze bijvoorbeeld inschatten welke beslissingen je zou maken in welke omstandigheden. Toch iets om even over na te denken. (*)

Het doel van de GDPR is dus de gebruikers terug meer controle te geven over die data die op hen betrekking heeft. Fundamentele rechten, zoals recht op privacy, spelen hier een belangrijke rol.

Enkele basisprincipes

De Europese GDPR wetgeving is gebaseerd op 4 pijlers inzake privacy en gegevensbescherming: transparantie, verantwoording, consumentenrechten en meldplicht.

1. Transparantie: Bedrijven moeten burgers informeren over hoe de data wordt verzameld en verwerkt, en dat op een begrijpelijke manier.
2. Verantwoording: GDPR introduceert de verplichting voor bedrijven om verantwoording af te leggen voor de verwerking van persoonsgegevens. Dat betekent dat u voor elke verwerking een doelstelling moet bepalen en een rechtsgrond moet documenteren over hoe u de verschillende principes van GDPR toepast.Het klinkt wat zwaar op de hand, maar in feite is het heel eenvoudig: vooraleer u persoonsgegevens begint te verwerken, moet u er zeker van zijn dat u hiervoor een grondige reden hebt.
3. Consumentenrechten: Naast de bestaande rechten (recht op informatie, toegang, correctie, en recht van verzet) introduceert GDPR onder andere het recht om vergeten te worden, het recht op overdraagbaarheid van gegevens en het recht om zich te verzetten tegen profilering.
4. Meldplicht: Bedrijven zijn verplicht een datalek te melden binnen de 72 uur, tenzij kan worden aangetoond dat het lek geen gevaar is voor de personen waarover gegevens werden verzameld.

Hoe maak ik mijn website GDPR proof?

Er zijn een aantal punten waar u rekening moet mee houden

• Cookiemelding
• Privacy en cookiebeleid
• HTTPS
• Formulieren
• Beveiliging

Cookiemelding

U bent verplicht de bezoekers van uw website te informeren over het gebruik van cookies. Plaats een link naar de pagina met het cookiebeleid en geef in begrijpelijke taal aan welke cookies worden gebruikt en waarom.

Privacy en cookiebeleid

Plaats links op uw website naar de nodige juridische documenten. Zoals een privcacy verklaring die de bezoeker inlicht hoe uw bedrijf omgaat met persoonsgegevens. Hoe worden deze verwerkt en opgeslagen. En hoe lang. Ook een cookiebeleid dat aangeeft welke cookies worden gebruikt en waarom.

HTTPS

Schakel over naar HTTPS. Hyper Text Transfer Protocal Secure. Vooral die 'S' is dus belangrijk. Dit wilt zeggen dat alle data die uitgewisseld wordt tussen uw pc, en de server waarop de website die u bezoekt gehost wordt, geëncrypteerd is. Maw, onleesbaar voor derden die deze data zou onderscheppen.

Formulieren

Heb u een formulier op uw website? Een contactformulier of registratieformulier? Dan mag u enkel de informatie vragen die u echt nodig heeft. Wilt u de verkregen gegevens voor iets anders gebruiken, bvb een maandelijkse nieuwsbrief? Dan moet u daarvoor expliciet toestemming vragen met een opt-in aanvinkvakje

Beveiliging

Zorg voor een optimale beveiliging van uw website. Installer alle noodzakelijke updates van uw CMS of eender welke gebruikt pakket. U bent als bedrijf immers zelf verantwoordelijk.

Google Sites and GDPR

Voor al mijn websites gebruik ik de tool Google Sites. Deze voorziet standaard een cookies melding en maakt gebruik van HTTPS. Mooi meegenomen.

Je bent dan wel verplicht om in uw privacy verklaring, onder de rubriek Cookies, een link te zetten naar de Cookies pagina van Google. Zoals bij mij dan ook het geval is.

Boetes?

Als je niet voldoet aan de GDPR-wetgeving dan hangen er hoge boetes boven je hoofd. Bij een ‘lichte schending’ kan het gaan over 2% van je jaarlijkse omzet. De maximale boete kan oplopen tot €20 miljoen of 4% van je jaarlijkse omzet.

Conclusie

De GDPR wetgeving is alles behalve eenvoudige materie. Bij twijfel laat u zicht het best bijstaan door een GDPR consulent.