Elke website die gegevens verzamelt van zijn bezoekers, zal vanaf eind mei 2018 helemaal in regel moeten zijn met de nieuwe regels op vlak van General Data Protection Regulation (GDPR), of ‘Algemene Verordening Gegevensbescherming’ (AVG) in het Nederlands. Een hele mond vol, maar wat betekent die term nu net en wat houdt die nieuwe regelgeving in? Wij zorgen voor een woordje extra uitleg, want je zal hoe dan ook in regel moeten zijn om potentiële monsterboetes (tot 20 miljoen euro of 4 % van de jaarlijkse wereldwijde omzet!) te vermijden.

GDPR

Wat is GDPR?

GDPR is eigenlijk de opvolger van de databeschermingsrichtlijn, die al dateert uit 1995. Meer dan 20 jaar geleden werd vanuit de Europese Unie al een pakket regels opgesteld inzake de bescherming van online gegevens van personen, maar gezien de steile ontwikkelingen van de internettechnologie tijdens de afgelopen twee decennia was een update ervan dringend nodig. Met al die nieuwe technologieën en elementen als de cloud en social media ligt persoonlijke data tegenwoordig voor het grijpen en moet de bescherming ervan ook gegarandeerd worden.

Privacy by design & default

Volgens de nieuwe GDPR-wetgeving moet gegevensbescherming ‘ingebakken’ zitten in het ontwerp van bedrijfsprocessen. Standaard (‘by default’) dienen alle instellingen die betrekking hebben tot de privacy streng te zijn. Organisaties moeten dan ook kunnen aantonen dat ze de juiste technische en operationele maatregelen hebben genomen om alle persoonlijke data die ze opslaan en verwerken afdoende te beschermen en dit afhankelijk van het risico. Denk daarbij aan zaken zoals toegangscontrole, anonimisering en pseudonimisering, encryptie, risicoanalyses, enzovoort.

Beknopt samengevat houdt de GDPR-wetgeving het volgende in:

1

Transparantie: als bedrijf moet je transparant en ondubbelzinnig je gebruikers informeren over hoe identificeerbare data over hen verzameld en verwerkt wordt.

2

Data-overdracht: zorg dat gebruikers hun gegevens makkelijk kunnen opvragen om naar een andere dienstverlener over te schakelen.

3

Recht om vergeten te worden: bedrijven moeten persoonsgegevens op aanvraag kunnen wissen. Deze pijler kreeg eerder al heel wat aandacht in de media, meer bepaald in relatie tot Google.

4

Meldplicht: een datalek van persoonsgegevens moet, op straffe van zware boetes, binnen de 72 uur gemeld worden.

5

Internationale data-overdracht: persoonsgegevens van Europese burgers dienen steeds beschermd te worden volgens de GDPR-wetgeving. Ook indien de hoofdzetel van een bedrijf buiten de Europese Unie gevestigd is.

Enkele voorbeelden

De nieuwe GDPR-wetgeving heeft verregaande gevolgen voor élke soort gegevensverzameling, zoals je inmiddels wel al doorhebt. Maar hoe uiten deze regels zich nu concreet? Wij sommen alvast enkele voorbeelden uit de praktijk op:

  • Sollicitanten: cv’s doormailen naar collega’s ter inkijk mag niet meer, tenzij je het cv zodanig anonimiseert dat de identiteit van de persoon er niet meer uit af te leiden valt. Stel dat de kandidaat niet weerhouden is, dan mag je zijn gegevens niet bewaren, tenzij die daar expliciet (op papier of anders aantoonbaar) toestemming voor geeft. Elke vorm van het cv (in een mailbox, lokaal opgeslagen op een laptop, uitgeprint, …) moet vernietigd worden, volgens het ‘right to be forgotten’-principe.
  • Promotionele acties: bij een promo-actie verzamel je naam, adres, e-mail … Behoudens expliciete goedkeuring van de deelnemer mag deze data niet meer gebruikt worden buiten het kader van de actie, en moet deze onherroepelijk gewist worden.
  • Bestaande databases: bestanden van oud-werknemers, oud-leden en dergelijke meer mogen niet meer bijgehouden worden, tenzij àl deze personen hun expliciete toestemming geven of indien er gegronde en aantoonbare reden is om deze data zonder expliciete toestemming toch te bewaren.
  • Minderjarigen: bij data van minderjarigen (in dit geval jonger dan 16 jaar) is altijd toestemming nodig van de ouders! Als dataverzamelaar ben je verplicht ‘redelijke inspanningen’ (dit is voorlopig nog een grijze zone, zonder expliciete afbakening) te doen om de leeftijd te achterhalen, naargelang de context.
  • E-commerce: bij anonieme aankopen moeten de persoonsgegevens verwijderd worden nadat de bedenktijd verlopen is. Enkel zaken die betrekking hebben tot de facturatie mag je bijhouden. Als bij een databaselek met informatie van betaalkaarten blijkt dat het bedrijf en/of webshop niet GDPR-compliant is, dan draait het bedrijf - en eventueel ook de technische partner - op voor de volledige schade.
  • Tracking: bij profiling (naam + segmenteren) van bezoekers op een site/applicatie, moet duidelijk gemeld worden aan de bezoeker met wat er getrackt wordt en waarom. Opt-out moet altijd kunnen, en dus moet er ook een degelijke privacy policy, die dit duidelijk toelicht, aanwezig zijn.
  • Verkrijgen/aankoop van databases: bij aankoop of andere manier van verkrijgen van data, moet je iedereen binnen de 30 dagen verwittigen met vermelding van je bron (‘data verkregen van X’), tenzij de betrokkenen dit al weten of de inspanning te groot is (ook dit is weer een grijze zone).
Cooperation customer

Als web agency dat veiligheid steeds hoog in het vaandel draagt, is het onze plicht om onze klanten te helpen om in regel te zijn met GDPR. Bij nalatigheid van de GDPR-regels worden namelijk hoge boetes opgelegd aan de website-eigenaars, maar ook Calibrate, als web agency, kan hiervoor verantwoordelijk gesteld worden. Onze bedoeling is dus om samen met onze klanten de nieuwe GDPR-wetgeving correct uit te voeren, zodat elke kans op boetes uitgesloten is. 

Hoge boetes

Hoge boetes

Je merkt het, de nieuwe GDPR-wetgeving is niet zomaar een kleine verandering van de regeltjes, en zal voor sommige websites heel wat aanpassingen vereisen. Eén ding staat alleszins al vast: niét volgen is zeker geen optie. Worden er na 25 mei 2018 ernstige onregelmatigheden vastgesteld, dan kunnen immers serieuze boetes opgelegd worden. De maximale boete kan oplopen tot 20 miljoen euro of 4 % van de jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is.

Meer informatie over GDPR

collega's-calibrate-macbook

Bij Calibrate helpen we je graag verder zodat je website op-en-top GDPR-proof is. Wil je graag je eigen website in regel brengen? Neem dan contact met ons op.