heeft er ongetwijfeld al over gehoord, maar bent u reeds voorbereid op de nieuwe General Data Protection Regulation (GPDR) wetgeving? Vanaf 25 mei 2018 treedt deze nieuwe Europese privacywetgeving in werking.

Dan moet u als bedrijf voldoen aan de regels van de GDPR als u persoonsgegevens van Europese burgers verzamelt. In de praktijk roept deze grote verandering veel vragen op. Enkele voorbeelden:

  • Wat moet ik doen om in orde te zijn?
  • Mag ik nog wel een nieuwsbrief versturen?
  • Moet ik iets op mijn website veranderen?

In deze blogpost leest u een overzicht van de belangrijkste principes van de Algemene Verordening Persoonsgegevens (AVG) en krijgt u een beeld hoe uw website hieraan tegemoet kan komen en of u nog klanten mag mailen.

Binnenkort treedt deze nieuwe wetgeving in werking, dus het is belangrijk om er nu mee aan de slag te gaan!

Bent u na het lezen van deze blogpost helemaal voorbereid op de GDPR? Ja en neen. Ja, want bewustwording is een belangrijke stap in het toepassen van de GDPR. Onze actiepunten zijn een goed begin, maar er is meer. Daarvoor kunt u ofwel bij ons terecht of bij een juridisch bureau, een advocaat of een inhoudelijk GDPR-expert. Of sla er de officiële wetgeving op na.

Na het lezen van deze blog:

  • Heeft u een basiskennis van GDPR.
  • Weet u welk effect GDPR zal hebben op uw website en e-mail marketing.
  • Heeft u inzicht in welke acties te ondernemen.

Hieronder vindt u een overzicht van de verschillende onderdelen in deze blog:

Wat is de GDPR?

GDPR is de afkorting van General Data Protection Regulation, de nieuwe Europese privacywetgeving over het beschermen van persoonsgegevens, die op 25 mei 2018 van kracht wordt in alle Europese lidstaten. De AVG is al op 24 mei 2016 in werking getreden, maar bedrijven en organisaties krijgen evenwel tot 25 mei 2018 de tijd om zich aan te passen.

Het feit dat deze materie voor de Europese wetgever prioritair is blijkt uit de monsterboetes: tot € 20.000.000 of 4% van de wereldwijde jaaromzet. Anderzijds maakt de GPDR het eenvoudiger voor bedrijven, doordat een uniform wettelijk kader werd uitgewerkt dat geldt voor heel de Europese Unie.

Waarom is de GPDR ingevoerd?

Het doel van de GDPR is enerzijds om de betrokkenen terug (meer) controle te geven over die data die op hen betrekking hebben. Hierbij spelen hun fundamentele rechten, zoals het recht op privacy, een belangrijke rol.

Concreet betekent dit dat deze nieuwe privacywetgeving streeft naar een betere bescherming van natuurlijke personen. Bedrijven en hun bedrijfsgegevens vallen hier dus niet onder. Zelfstandigen (zoals eenmanszaken) bevinden zich evenwel in een grijze zone. Hun werkadres kan hetzelfde zijn als hun woonadres, idem met hun telefoonnummer.

De GDPR vervangt meteen ook de nationale privacywetgeving van alle Europese lidstaten. De meeste nationale wetgevingen dateren uit de vroege jaren negentig en zijn dus al lang niet meer aangepast aan de digitale realiteit. Deze Europese verordening zal de Privacy Commissie toelaten controles uit te voeren en ondernemingen te beboeten die niet in orde zijn. Reden te meer dus om als onderneming de privacyregels te respecteren!

Voor wie geldt de GDPR?

De GDPR geldt voor alle bedrijven, groot en klein, die op een geautomatiseerde of een gestructureerde manier persoonsgegevens verwerken.

U mag er dus van uitgaan dat dit ook voor uw onderneming geldt! Nog even voor alle duidelijkheid: een persoonsgegeven is elk gegeven dat te herleiden is naar een natuurlijk persoon.

Heeft u dus een contactformulier op uw website of registreert u bezoekersinformatie met IP adres, dan moet u de GDPR-regels toepassen. Concreet moet u als bedrijf kunnen aantonen welke persoonsgegevens u verzamelt, hoe u deze data gebruikt en hoe u ze beveiligt.

 

GDPR Website Checklist

Welke gevolgen heeft de GDPR voor uw website?

Ook voor uw website heeft deze wetgeving belangrijke gevolgen. Uw website verzamelt immers veel gegevens over haar gebruikers, zeker in het geval van een webshop of indien u Google Analytics gebruikt. Om u alvast op weg te helpen, hebben we een handige checklist gemaakt met een aantal stappen die u moet ondernemen zodat uw website voldoet aan de eisen van de GDPR-wetgeving.

Controleer uw formulieren

U mag enkel de informatie vragen die u echt nodig heeft. Een voorbeeld is een e-mailadres vragen als u een klant een digitale brochure wilt mailen. Wilt u die gegevens ook voor iets anders gebruiken, bijvoorbeeld een maandelijkse nieuwsbrief, dan moet u dit expliciet vragen. Dit kan u doen met een opt-in aanvinkoptie waarin u expliciet hiervoor toestemming vraagt. Gegevens die u niet gebruikt, moet u verwijderen.

Vul uw privacy policy aan

De privacyverklaring is hét document waarop een onderneming aan de buitenwereld kan tonen op welke manier zij omgaat met persoonsgegevens en informeert de betrokkene over de toestemming die hij of zij verleent. Ga dus na of uw privacyverklaring zo duidelijk en begrijpelijk mogelijk is.

Om in orde te zijn met de GDPR moet u in uw privacyverklaring uitleggen welke persoonsgegevens u waar verzamelt, waarom en wat ermee gebeurt. Bovendien moet u opties geven om persoonsgegevens op te vragen ofte verwijderen. Daarnaast vermeldt u de GDRP-verantwoordelijke binnen uw bedrijf. Een direct aanspreekpunt voor alle vragen in verband met de verwerking van persoonsgegevens.

Meer informatie over de verschillende elementen die in uw privacyverklaring moeten staan? Neem hier een kijkje.

Maak een cookiebeleid op

Maakt u gebruik van cookies op uw website? Dan moet u dit volgens de EU-wetgeving melden aan de bezoeker. Voor iedere cookie die een bezoeker apart kan identificeren, moet hij of zij bovendien toestemming geven.

Daardoor kunt u niet meer ongevraagd mensen over verschillende websites volgen. Vanaf 25 mei kan de gebruiker via de browserinstelling aangeven of hij of zij analytische cookies en tracking cookies wel of niet wil accepteren.

Meer informatie over cookies:

HTTPS

Vanaf 25 mei moet u ervoor zorgen dat persoonsgegevens optimaal beschermd zijn. Als u formulieren of nieuwsbriefaanmeldingen opslaat via uw site, dan is een HTTPS verbinding verplicht.

Zorg er dus voor dat gegevens die vanop uw website naar de server verzonden worden beveiligd zijn. Dit doet u aan de hand van een SSL-certificaat, waarmee u de verbinding tussen uw website en bezoeker via https-encryptie kunt beveiligen.

Bovendien zal Google vanaf deze zomer uw website als onveilig markeren wanneer deze geen gebruik maakt van een beveiligde verbinding.

Back-ups & Hosting

Voorzie een back-up-systeem zodat u data kunt herstellen als er ergens iets fout loopt met uw website. U bent immers zelf verantwoordelijk voor de veiligheid ervan! Bent u hier niet goed in thuis? Besteed dan deze taken uit aan uw websitebouwer of hostingbedrijf. Anders moet u zelf instaan voor het tijdig updaten van uw CMS (zoals WordPress) en eventuele plugins.

Wist u trouwens dat bij elk hostingabonnement bij Ontwerpia er minstens wekelijks een back-up gemaakt wordt van uw website en uw CMS-database en alle WordPress plugins worden geüpdatet.

Uw website GDPR-compliant maken?
Bespreek de GDPR-vereisten van uw website.

Nieuwsbrieven en e-mail marketing

Verzamelt u e-mailadressen en verzendt u e-mails binnen de Europese Unie? Ook dan moet u de regels van de GPDR-wetgeving respecteren! U bent waarschijnlijk al jarenlang bezig met een klantenbestand van e-mailadressen op te bouwen. De ene is in dat bestand terecht gekomen via een opt-in, de andere dan weer niet. De vraag die zich hier vooral stelt is: moet ik aan iedereen nu opnieuw toestemming vragen om de gegevens verder te gebruiken?

Wat ons betreft niet, maar hier hoort een woordje uitleg bij. Eerst moeten we weten wat toestemming tot verwerken betekent.

De toestemming is, onder de GDPR, een van de zes legitieme gronden op basis waarvan persoonsgegevens rechtmatig verwerkt kunnen worden. Ze moet ondubbelzinnig zijn, expliciet, geïnformeerd, enzovoort.

Toestemming moet volgens de GDPR ook blijken uit een verklaring of uit een duidelijke actieve handeling. De opt-out en de soft opt-in zijn dus niet meer van toepassing. Enkel de uitdrukkelijke opt-in geldt nog.

Toestemming is echter niet de enige legitieme grond voor verwerking. Indien u kunt steunen op een van de andere vijf rechtsgronden voor verwerking onder de GDPR, mag u ook nog gegevens verwerken. Boekhoudkundige gegevens kunnen hier bijvoorbeeld onder vallen.

Wat doe u dan met uw bestaande databank van gegevens?

U kunt blijven berusten op de verkregen toestemming van betrokkenen voor verwerking wanneer zij hun toestemming hebben gegeven, bijvoorbeeld door een vooraf aangevinkte box, die u opnieuw moet vragen. U kunt dus het beste een mailing uitsturen naar alle betrokkenen in uw databank en hen vragen om een nieuwe opt-in.

Ontsnappen aan de toestemmingsvereiste?

De GDPR zegt letterlijk dat de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als een gerechtvaardigd belang.

Uit de huidige versie van de tekst blijkt dus dat kan worden volstaan met een mogelijkheid tot opt-out of het aanbieden van een recht van verzet om rechtmatig aan e-marketing te doen. Een toestemming is in dat geval niet verplicht. De elektronische communicatie moet dan wel een ‘gelijksoortige dienst of product’ betreffen en ze moet voortvloeien uit een verkoop en dus een bestaande klant zijn.

Anders gezegd, vereisen deze regels toestemming via opt-in voor e-marketing, tenzij deze verzameld zijn in het kader van een verkoop en het individu op dat moment de mogelijkheid had om zich te verzetten (opt-out). Als er nog geen contact is geweest, moet u natuurlijk voorzien in de gangbare opt-in.

Meer informatie over GDPR en de opt-in vindt u hier:

Meer informatie over het begrip ‘toestemming’ en de GDPR:

Aan de slag: uw eerste actieplan

  • Voer een volledige data audit uit om intern in kaart te brengen welke databases u bezit, wie die beheert, hoe data daarin terecht komen, wie er toegang toe heeft en wat er met die data gebeurt. Het gaat daarbij niet enkel om marketing- of klantendatabases, maar ook om bijvoorbeeld gegevens van HR.
  • Onderzoek waar en op welke manier u gegevens verzamelt via de website. Doe dit best in samenwerking met de websiteontwikkelaar zodat u ook zicht hebt op wat er achter de schermen gebeurt en wat wordt opgeslagen. Besteed hierbij voldoende aandacht aan welke gegevens u precies vraagt en voor welke doeleinden.
  • Denk na bij elk nieuw proces of product. ‘Privacy By Design’ is de norm die gehanteerd moet worden in het kader van de GDPR. Dat betekent dat voor de ontwikkeling van (nieuwe) producten en diensten zoals websites, aandacht moet besteed worden aan privacy verhogende maatregelen. Dat kan bijvoorbeeld door het versleutelen van persoonsgegevens of door de toegangsrechten tot de persoonlijke data te limiteren. Van zodra u data anonimiseert, zijn het niet langer persoonlijke data en is dus de privacy niet van toepassing.
  • Dataregister: De GDPR legt meer nadruk op de documentatie- en verantwoordingsplicht die geldt bij het verwerken van persoonsgegevens. Eén van de belangrijkste speerpunten daarin is het op te stellen data register (art. 30 GDPR). Als er ooit een datalek is, zal u dat register moeten voorleggen om te bewijzen dat u wel degelijk de regels gevolgd hebt. In een dataregister maakt u een overzicht van de persoonsgegevens die u verwerkt en bepaalt u ook waar ze vandaan komen en met wie ze gedeeld worden, hier vindt u een eenvoudig voorbeeld.
  • Evalueer uw bestaande privacyverklaring en website en plan noodzakelijke wijzigingen hieraan in het licht van de AVG.
  • Zorg dat u eenvoudig gegevens kunt verwijderen. Wanneer personen vragen om alle gegevens die u over hen bezit te wissen, moet u hierop kunnen ingaan.
  • Indien mogelijk adviseer ook uw advocaat of juridisch raadgever bij voor een eerstelijnsadvies.

Conclusie

U merkt het: op 25 mei 2018 verandert er heel wat. Ga dus nu de uitdaging aan en haal meer uit de nieuwe regelgeving!

Onthoud dat toestemming geen noodzakelijke voorwaarde is om persoonsgegevens te verwerken. Er zijn in totaal zes rechtsgronden en de verwerking ter behartiging van een gerechtvaardigd belang zoals marketingdoeleinden is daar een van. Onderzoek dus goed welke gegevens op welke grond kunnen verwerkt worden.

Ben ik met deze checklist volledig in orde met GDPR? Neen, maar dit is wel een belangrijke eerste stap. Wilt u ervoor zorgen dat uw volledige bedrijf in orde is met de nieuwe regelgeving? Check dan dit stappenplan van de Belgische privacy commissie of consulteer uw juridisch adviseur.

Ontwerpia heeft echter nog meer te bieden! Zo kunt u bij ons ook terecht voor :

  • Het migreren van uw website naar HTTPS.
  • Het updaten van uw website en alle plugins.
  • Plaatsen van de nodige juridische documenten op uw website.
  • Wij integreren een cookie consent banner op uw website.
  • Wij passen de formulieren op uw website aan.

Twijfelt u of had u nog andere wensen? Contacteer ons of boek een gratis en vrijblijvend gesprek over de GDPR-vereisten van uw website.

Andere populaire berichten zoals deze

Digitale Marketing is de toekomst.
Is uw organisatie er klaar voor ?

Zet deze uitdagingen om in kansen voor uw business

Ga voor een beter resultaat

Meer weten? Schrijf in voor onze nieuwsbrief

Over de auteur(s)

Bert is inbound marketing vormgever bij Ontwerpia. Hij adviseert en ontwikkelt digitale marketing voor bedrijven en organisaties. Contacteer hem via twitter @BertSchouppe of LinkedIn