Wat is de GDPR?
Vanaf 25 mei 2018 komt er een nieuwe privacywet in Europa in werking. Bedoeling is om de gegevens van natuurlijke personen extra te beschermen. Concreet betekent het dat een burger / natuurlijk persoon meer inzage zal hebben op zijn/haar persoonsgegevens en op de manier hoe persoonsgegevens worden verzameld en verwerkt.
Meer rechten voor de natuurlijke personen, maar meer verplichting voor u als bedrijf. Hieronder probeer ik zo duidelijk mogelijk te omschrijving wat dit voor u inhoudt.
Is jouw website klaar voor GDPR?
Van groot belang is dat uw website de juiste en vooral duidelijk uitgeschreven privacyvoorwaarden bevat. Wanneer moet je het hebben en wat moet er zeker instaan? Van zodra je persoonlijke data verwerkt van uw klanten dien je te beschikken over de nodige privacyvoorwaarden. Slaat u persoonlijke gegevens op voor facturatie, hebt u een contactformulier op uw website of kunnen bezoekers zich inschrijven op een nieuwsbrief, dan bent u verplicht te beschikken over de nodige privacyvoorwaarden. Het contactformulier, gebruik van cookies (dit zijn kleine tekstbestandjes waarin persoonlijke gegevens worden opgeslagen) of nieuwsbrief is voldoende om verplicht te zijn een privacy policy op uw website te plaatsen.
GDPR en privacy statements
Op 25 mei 2018 gaat de GDPR (General Data Protection Regulation) van kracht, een nieuwe Europese wetgeving die de gegevens van de burgers extra wil beschermen.
Dit zijn de verplichtingen waaraan u als bedrijf moet voldoen :
- de data van de Europese burger beschermen
- maatregelen nemen tegen hackers en datalekken
- verhoogde security maatregelen invoeren
- datalekken binnen 72 uur melden
- een ‘data protection officer’ aanstellen als de organisatie een grote omvang heeft
- toestemming vragen om persoonsgegevens op te slaan en te gebruiken
- individuen het recht geven om vergeten te worden. Dit betekent concreet dat iedereen het recht moet hebben om zijn/haar persoonsgegevens te laten verwijderen uit uw bedrijf.
- duidelijk de procedure voor het verzamelen en opslaan van persoonlijke gegevens uit de doeken doen.
Met andere woorden is het uiterst belangrijk om open te communiceren met de personen van wie je de gegevens gebruikt. Zo moet je onder andere kunnen aantonen welke gegevens je allemaal verzamelt en waarom, op welke manier je ze gebruikt, hoe je ze beveiligt en wat de rechten zijn van de betrokkenen. De tekst waarin je die zaken allemaal uitlegt, noemen we het privacy statement.
Wanneer moet ik een privacy statement op mijn website voorzien?
Een privacy statement op je website plaatsen is geen kwestie van vrije keuze. Wanneer je als website of webshop persoonsgegevens verzamelt, dan is het verplicht om je gebruikers hierover in te lichten. Twijfel je of dat bij jou het geval is? Denk er dan aan dat bijna elke website bewust of onbewust persoonsgegevens verzamelt. Een contact- of inschrijfformulier, een factuur, een klantenkaart, een loonbrief, een nieuwsbrief, Google Analytics, … De voorbeelden zijn eindeloos, ook al denk je er misschien niet meteen aan. Heb je een webshop? Dan is een privacy statement sowieso verplicht. Webshops kunnen immers niet functioneren zonder persoonsgegevens. Denk bijvoorbeeld maar aan adresgegevens om de bestelling op te kunnen sturen.
In de meeste gevallen zal je dus een privacy statement op je website moeten plaatsen. Idealiter zouden gebruikers je privacy policy moeten terugvinden op alle plaatsen waar je persoonsgegevens verzamelt. Verstop het in elk geval niet in de algemene voorwaarden - daar gaat niemand het lezen - maar maak er een aparte pagina voor aan en zorg voor een link naar die pagina in de footer.
Wat gebeurt als ik de regels aan mijn laars lap en ik toch geen privacy statement op mijn website of webshop plaats?
Dan loop je risico op fikse
boetes die kunnen oplopen tot
4% van je omzet. Bij twijfel neem je dus maar beter het zekere voor het onzekere en plaats je een duidelijke privacyverklaring op je website.
Wat moet er allemaal in mijn privacy statement staan?
Het is belangrijk dat het privacy statement duidelijk is opgesteld en overzichtelijk is. Daarom is het erg belangrijk dat je privacy statement aan de volgende kenmerken voldoet:
Transparant
Begrijpelijk
Toegankelijk
Beknopt
Niet alleen stelt de GDPR voorop dat je privacyverklaring erg leesbaar moet zijn, de wetgeving bepaalt ook welke informatie de betrokkenen moeten krijgen en welke items bijgevolg dus zeker in je verklaring moeten terugkomen. Globaal gezien moet je de gebruiker op de hoogte stellen van hoe het eraan toegaat op het vlak van zijn privacy. Concreet wil dat zeggen dat je de betrokkene moet vertellen wie zijn gegevens verzamelt, hoe de gegevensverzameling gebeurt, met wie de gegevens gedeeld worden, hoe ze beschermd worden, de bewaartermijn, de rechten van de gebruikers, of de gegevens al dan niet binnen de EU verwerkt worden en of je gebruikmaakt van automatische besluitvorming.
Ook over je gegevensverzameling moet je erg open zijn. Zo moet je om te beginnen duidelijk vermelden welke gegevens je verzamelt en op welke manier (dus met welke technologie) je dat doet. Schrijf bijvoorbeeld: ‘Wij verzamelen informatie zoals het type browser, het IP-adres en je e-mailadres en naam. Die gegevens verkrijgen we via Google Analytics, cookies en de registratieprocedure.’
In samenspraak met u kunnen we een privacy statement opstellen en uw website aanpassen waar nodig.
Samenvatting
Je privacy statement updaten is geen overbodige luxe met de GDPR in aantocht. Wanneer je als organisatie aan een of andere vorm van gegevensverwerking doet, dan is het immers verplicht dat er een privacy statement op je website staat. Zo niet, dan loop je de kans op een fikse boete. Maar wat moet er nu allemaal instaan? Volgende items mogen zeker niet ontbreken:
Wat is de identiteit en contactinformatie van degene die de gegevens verzamelt?
Welke gegevens verzamel je, op welke manier en met welk doel?
Gebruik je de gegevens enkel binnen je organisatie of deel je ze ook met derden?
Welke maatregelen neem je om de gegevens te beschermen?
Hoe lang bewaar je de gegevens?
Welke rechten hebben je gebruikers?
Verwerk je de gegevens ook buiten de EU?
Maak je gebruik van van automatische besluitvorming?
Wanneer heb je de privacyverklaring voor het laatst herzien?
Bovendien is het erg belangrijk om alles op een beknopte, transparante, begrijpbare en toegankelijke manier te verwoorden. Laat ingewikkelde woorden achterwege, maar leg het helder en maak het leesbaar.