Uw website en GDPR
“Tell it all, tell it fast, tell the truth.”
Deze quote van Elizabeth Denham is eigenlijk de essentie van GDPR. Wees transparant naar uw gebruikers toe. Als uw website hun gegevens verzamelt, informeer uw bezoekers, vraag hen expliciet om toestemming en beveilig uw systeem zodat u datalekken op alle mogelijke manieren kan voorkomen.
Wat is de GDPR nu precies?
De GDPR is een verordening waarmee de Europese Commissie de veiligheid van data wil bevorderen. Het gaat hierbij vooral om het beschermen van persoonlijke informatie van Europese inwoners, maar ook om het reguleren van de export van persoonlijke data buiten de Europese Unie. De Europese Commissie wil hiermee de controle over persoonlijke data teruggeven aan het individu.
Overgangsperiode?
"Voor GDPR is er een overgangsperiode van 2 jaar, ruimte genoeg dus om ons voor te bereiden". Een uitspraak die over velen hun lippen rolden op 25 mei 2018. De dag waarop GDPR van start ging. Ergens hebben ze gelijk, deze regelgeving heeft inderdaad een overgangsperiode van 2 jaar. Dat zou genoeg voorbereiding moeten zijn om alle regels te voldoen, maar echter zijn de meeste bedrijven zich er niet van bewust dat de GDPR al bestaat sinds 2016. Sinds 25 mei 2018 is deze overgangsperiode dus jammer genoeg al voorbij...
De sancties
Iedereen heeft het erover: de enorme GDPR sancties. De gegevensbeschermingsautoriteit in België beschikt over de bevoegdheid om een administratieve geldboete op te leggen indien u niet voldoet aan de regels m.b.t. het informeren, toestemmen en beveiligen. De maximumboete (bv. voor het niet rechtmatig verkrijgen van toestemming of niet voldoen aan de regels omtrent data-uitwisseling met niet EU-landen) is 20 miljoen euro of 4% van de wereldwijde omzet. Hoewel het gaat om maximale bedragen bepaalt de GDPR wel dat de gegevensbeschermingsautoriteit ervoor moet zorgen dat de geldboete afschrikkend moet zijn. Een inbreuk ‘afkopen’ zal dus niet zomaar gaan. Belangrijk dus om bewust te zijn van alle persoonsgegevens die verwerkt worden!
Uw website GDPR-proof in 7 stappen
1. Anonimiseren van ip-adres
Google analytics verzamelt heel wat gegevens over de bezoekers van uw website. Vanaf 25 mei 2018 mag u geen e-mailadressen, namen, postcodes, telefoonnummers of andere persoonsgegevens in de URL van de pagina laden. Verder gebruikt Google Analytics ook het ip-adres van de bezoekers. Met de nieuwe wetgeving is dit strikter geworden en mag men namelijk niet meer het volledige ip-adres van de bezoeker ophalen, maar slechts gedeeltelijk.
2. Cookiebeleid
Voor iedere cookie die een bezoeker apart kan identificeren, moet toestemming gegeven worden. Zomaar instellen dat gebruikers de cookies automatisch accepteren als ze de website bezoeken, mag dus niet meer.
3. Privacyverklaring
Een privacyverklaring is verplicht op uw website (als u gegevens verzamelt). In de privacyverklaring dient u duidelijk (en in begrijpbare taal) aan te geven welke gegevens u exact verwerkt waar ze worden opgeslagen en waarom u deze gebruikt. Bovendien dient u de gebruikers de mogelijkheid te geven de gegevens op te vragen, te corrigeren, te verplaatsen of eventueel te verwijderen.
4. Aanpassen van formulieren
De meeste websites hebben contactformulieren, offerte formulieren of formulieren om zich in te schrijven op de nieuwsbrief. Elk formulier bevat invulvelden waarmee u meteen persoonsgegevens inzamelt. Met de GDPR mag u enkel gegevens vragen die u echt nodig hebt. Telefoonnummer vragen bij het inschrijven op uw maandelijkse nieuwsbrief is dus niet langer toegestaan. Alle onnodige velden dienen dus verwijderd te worden. Bij elk formulier dient u tevens een aanvaarding van uw privacyverklaring toe te voegen. Dit kan bijvoorbeeld door middel van een checkbox of door de kennisgeving omtrent de verwerking van de gegevens.
5. SSL-certificaat
Beschikt uw website al over een geldig SSL-certificaat? Dit kan je zien door in de url te kijken of er HTTPS voor uw domeinnaam verschijnt. Is dit niet het geval dient u dit zo spoedig mogelijk aan te passen. Met dergelijk certificaat zorgt u voor een optimale beveiliging van persoonsgegevens en encryptie bij het versturen van de ingevulde data.
6. Toegang beperken tot CMS (beheergedeelte)
Wie beschikt er op vandaag over de toegang tot uw CMS-systeem? Ga na of deze gebruikers hiervoor een geldige reden hebben. Laat niet zomaar iedereen toegang tot het beheergedeelte van uw website krijgen, want ook hier zijn persoonsgegevens terug te vinden. Zo kan het bijvoorbeeld goed zijn dat werknemers die als geruime tijd niet meer in uw bedrijf aanwezig zijn, toch nog toegang hebben tot het beheergedeelte van uw website.
7. Updates & onderhoud
Na oplevering van uw website, bent u verantwoordelijk voor de veiligheid ervan. Zo is het onderhouden & updaten van CMS websites één van de belangrijkste aspecten om datalekken te vermijden.
Start hier met schrijven...