GDPR voor websites - compliance tips van Mr. Franklin
Vanwege de opkomst van de GDPR-wetgeving zijn ondernemingen meer gaan nadenken over de privacy van (potentiële) klanten. Door al deze nieuwe regels kan men soms echter het bos door de bomen niet meer zien. Er zijn dan ook redelijk wat juridische details waarmee een onderneming rekening moet houden bij het uitbaten van een website of een webshop om die GDPR-proof te maken.
De GDPR-experts van Mr. Franklin leggen uit wat GDPR voor websites betekent en hoe je een GDPR-compliant website of webshop uitbouwt.
General Data Protection Regulation
General Data Protection Regulation (of kortweg GDPR) schetst het uniform wettelijk kader voor privacy in de Europese Unie. De GDPR-wetgeving geldt voor iedere overheidsinstantie, instelling of onderneming die persoonsgegevens verzamelt of verwerkt. Met “persoonsgegevens” worden alle persoonlijke gegevens bedoeld waarmee natuurlijke personen kunnen worden aangeduid.
GDPR is niet enkel van toepassing op ondernemingen die binnen de Europese Unie gevestigd zijn. Ook organisaties die vanuit derde landen, zoals bijvoorbeeld de VS, persoonsgegevens van Europese burgers verwerken, moeten aan de GDPR-verplichtingen voldoen.
Wat zijn de verplichtingen voor websites onder de GDPR-wetgeving?
GDPR geldt ook voor websites die persoonlijke gegevens verwerken (of zelfs louter verzamelen). Tegenwoordig verzamelt bijna iedere website (soms onbewust) persoonsgegevens.
Denk bijvoorbeeld aan een klantenkaart of een contactformulier waar klanten hun e-mailadressen kunnen achterlaten die later in het kader van e-mailmarketing of andere vormen van elektronische communicatie worden gebruikt. Dat alles zorgt ervoor dat de GDPR-normen van toepassing zijn.
Er zijn twee belangrijkste principes die door GDPR voorop worden gezet. Allereerst legt de privacywetgeving de transparantieverplichting op aan ondernemingen (en dus ook websites) die persoonsgegevens verwerken.
Transparantieverplichting
De transparantieverplichting houdt in dat de communicatie naar de betrokkenen toe in verband met de verwerking van hun persoonsgegevens transparant en begrijpelijk moet zijn. Dat houdt onder meer in dat alle mededelingen in verband met gegevensverwerking in duidelijke en eenvoudige taal moeten worden opgesteld.
Informatieplicht
Organisaties die onder het toepassingsgebied van de GDPR vallen, hebben bovendien ook een informatieverplichting. De informatieplicht houdt in dat je als ondernemer de natuurlijke personen wiens persoonsgegevens je verwerkt uitgebreid over de verwerking moet informeren.
In de praktijk is het plaatsen van een privacy statement of privacyverklaring op de website de meest eenvoudige manier om aan deze verplichting te voldoen.
GDPR voor websites: gouden tips van Mr. Franklin
Stel een privacyverklaring op
Privacy policy (ook wel een privacyverklaring of privacy statement genoemd) is een informatief document dat ter beschikking moet worden gesteld aan alle levende, natuurlijke personen wiens persoonsgegevens verwerkt worden. Denk daarbij bijvoorbeeld aan je cliënteel of de bezoekers van jouw website. Het is in alle gevallen verplicht om alle betrokkenen over de verwerking van hun persoonlijke data te informeren.
Je kan aan deze verplichting voldoen door een privacy statement aan de bezoekers of klanten van jouw website aan te bieden, of door op zijn minst de minimale informatie te verschaffen door te verwijzen naar een link van de uitgebreide privacy policy op de website.
De gebruiker van jouw website moet aan de hand van jouw privacy policy kunnen beslissen om al dan niet gebruik te maken van jouw product of dienst, rekening houdend met de manier waarop jouw onderneming zijn of haar gegevens zal verwerken.
Vergeet daarbij de transparantieverplichting ook niet: de informatie die je als gegevensverwerkende onderneming aan je klanten of bezoekers verschaft, moet ten allen tijde duidelijk en transparant zijn.
Wat moet je in zo’n privacyverklaring vermelden?
De privacyverklaring die je ter beschikking stelt aan de gebruikers van jouw website bevat op zijn minst de volgende gegevens:
Contactgegevens van de gegevensverwerkende onderneming
GDPR eist onder meer dat de contactgegevens van de entiteit die de persoonsgegevens verzamelt in de privacy policy staan. Bovendien moeten ook de contactgegevens van de Data Protection Officer van de onderneming die achter de website zit, erin staan.
Doel van de verwerking
Ook de reden waarom de website persoonsgegevens verzamelt en verwerkt, wordt best in de privacy policy opgenomen.
Rechtsgrond van de gegevensverwerking
De gegevensverwerkende onderneming moet dus onder meer de rechtsgrond van de gegevensverwerking meedelen aan de betrokken personen. GDPR voorziet een limitatieve lijst met zes mogelijke rechtsgronden waaruit je als gegevensverwerkende entiteit de meest geschikte rechtsgrond moet kiezen.
In deze limitatieve opsomming is ook de toestemming van de betrokken personen terug te vinden. Je kan dus als gegevensverwerkende entiteit uitdrukkelijk de toestemming vragen aan de bezoekers van je website om hun persoonlijke data te verwerken.
Hoewel toestemming zeker niet de enige legitieme grond voor de verwerking van persoonsgegevens is, kan het in sommige gevallen inderdaad voor de hand liggend zijn om iedere gebruiker van je website een checkbox te laten afvinken.
Actieve toestemming vereist
Let op: volgens GDPR is de toestemming enkel geldig indien die op een actieve manier werd gegeven. Het akkoord van de betrokkene moet blijken uit een duidelijke, ondubbelzinnige, positieve handeling.
Een vooraf aangevinkte checkbox, waarbij de betrokkene het vinkje moet wegnemen om niet akkoord te gaan met de gegevensverwerking (opt-out), volstaat dus niet. Naar de huidige GDPR-normen moet je gebruik maken van een opt-in systeem, waarbij de betrokkene zelf de checkbox moet aanvinken om zijn toestemming te geven.
Territoriale omvang van de gegevensverwerking
De privacy policy van jouw website moet de gebruikers informeren over de eventuele verwerkingen van hun persoonsgegevens die buiten het grondgebied van de Europese Unie zullen gebeuren (bijvoorbeeld door de samenwerking met ondernemingen uit derde landen).
Rechten van de personen wiens gegevens verwerkt worden
De GDPR-wetgeving kent een aantal rechten toe aan de natuurlijke personen wiens gegevens verwerkt worden. Onder meer beschikken de betrokkenen over het recht op inzage van de verzamelde persoonsgegevens en het recht om vergeten te worden.
Het is aan jou als gegevensverwerkende onderneming om de gebruikers van jouw website vanr de bovengenoemde rechten in te lichten. De meest voor de hand liggende manier om dat te doen is via een vermelding in de privacyverklaring.
Bewaringstermijn van de verzamelde persoonlijke gegevens
Daarnaast moet de onderneming de bewaartermijn van persoonsgegevens kenbaar maken. De bewaartermijn van persoonsgegevens is de termijn na verloop van dewelke de persoonlijke data gewist worden.
Hoe worden persoonsgegevens optimaal beschermd
De privacy policy van een online site moet ook vermelden op welke manier(en) de website of de webshop in kwestie de verzamelde persoonsgegevens beschermt. Onder GDPR geldt de verplichting voor de gegevensverwerkende onderneming om de integriteit van de verzamelde gegevens te waarborgen. De organisatorische maatregelen die de onderneming neemt om datalekken te voorkomen moeten in de privacy policy worden toegelicht.
Daarbij zorg je er best voor dat de persoonsgegevens die vanop de website naar de server verzonden worden, beveiligd zijn: Google zal jouw website als onveilig markeren wanneer je geen gebruik maakt van een beveiligde verbinding.
Vermeld geautomatiseerde verwerkingen
Wanneer de website gebruikmaakt van geautomatiseerde besluitvorming, dan vermeld je dat best ook in de privacy statement.
En nog meer…
Het opmaken van een GDPR-conform privacy statement voor jouw website of webshop is en blijft enorm belangrijk. De boete die je riskeert indien je online platform niet in overeenstemming met de nieuwe privacyregels functioneert, kan tot 4% van de wereldwijde jaaromzet bedragen.
Indien de bestaande privacyverklaring van jouw website op dit moment niet GDPR-compliant is, breng je dus best zo snel mogelijk de noodzakelijke wijzigingen aan.
Heb je niet de tijd om dat allemaal in orde te brengen? Of wil je er 100% zeker van zijn dat alles correct is? Doe dan een beroep op het juridisch advies van de experten bij Mr. Franklin. Neem vrijblijvend contact met ons op.
2. Zorg voor een correct cookiebeleid
Een cookie is een bepaalde hoeveelheid data die de server naar de browser van de gebruiker van een website stuurt. Dat is nodig om de browser (en dus ook de gebruiker) te herkennen de volgende keer dat dezelfde browser de website bezoekt. Bovendien helpt zo’n cookie ook bij te houden wat de gebruiker van een bepaalde browser in het verleden op dezelfde website heeft gedaan.
Als je cookies of andere gelijkaardige trackers op jouw website plaatst en hiermee persoonsgegevens opgevraagd of opgeslagen kunnen worden, dan ben je verplicht om een cookie policy aan te nemen. Deze cookie policy moet ook op jouw website of applicatie gepubliceerd worden om aan de informatieplicht te voldoen.
Wat moet er in de cookie policy vermeld worden?
Het cookiebeleid dat je op jouw website of app moet publiceren, bevat best ten minste volgende elementen:
De identiteit en de contactgegevens van de verwerkingsverantwoordelijke (eventueel ook de contactgegevens van de DPO)
De verschillende soorten cookies die door jouw website of app gebruikt worden
Het doel van de verwerking in het kader van het gebruik van de cookies
De werkingsduur van de cookies
Eventuele mogelijkheid voor derden om toegang te krijgen tot de cookies
De legitieme grond van de verwerking
De bewaartermijn van de gegevens die via verschillende cookies worden ingezameld
De rechten die betrokkenen kunnen inroepen
De mogelijkheid om een klacht neer te leggen bij de Gegevensbeschermingsautoriteit
Hoe krijg ik mijn website GDPR-conform?
Mr. Franklin is een advocatenkantoor met een bijzondere expertise in IP, cybersecurity en het GDPR-proof maken van ondernemingen. Reeds meer dan 250 ondernemingen zijn tevreden over onze service als juridisch raadgever.
Wij zorgen er graag voor dat jouw website GDPR-compliant wordt en dat ook blijft. Ook hebben wij all-in-one GDPR-formules tegen vaste prijzen om een GDPR- en veiligheidsbeleid op te stellen binnen jouw firma, waarbij ook jouw website of webshop GDPR-proof wordt gemaakt. Hierbij is een aanpak op maat van jouw onderneming en transparantie onmisbaar.
Benieuwd naar meer info over onze services? Neem gerust vrijblijvend contact op!
Olivier Sustronck
+32 486 27 53 05