top of page

GDPR website compliance checklist door Mr. Franklin

GDPR website compliance checklist door Mr. Franklin

Heb je als ondernemer een website en weet je niet goed of die juridisch wel in orde is op vlak van privacy? Mr. Franklin staat voor je klaar: speciaal voor ondernemers hebben wij een GDPR website compliance checklist ontworpen met belangrijkste GDPR-verplichtingen voor ondernemingen.


General Data Protection Regulation

Sinds 25 mei 2018 is de General Data Protection Regulation oftewel GDPR van kracht binnen de Europese Unie. Het gaat om een Europese wet die de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokken personen hoog in het vaandel draagt. Deze regelgeving is van toepassing op alle ondernemingen en overheidsdiensten waar persoonsgegevens verwerkt worden.


GDPR geeft dus een aantal rechten aan particulieren, maar tegelijkertijd moeten ondernemingen die persoonsgegevens verwerken heel wat verplichtingen naleven.


Wanneer moet mijn bedrijf rekening houden met GDPR?

Elke onderneming die persoonsgegevens verzamelt of verwerkt, is onderworpen aan de GDPR-normen. Met ‘persoonsgegevens’ worden alle persoonlijke gegevens bedoeld waarmee natuurlijke personen geïdentificeerd kunnen worden. 


De termen “verzamelen” en “verwerken” worden door de wetgever zeer ruim ingevuld: zo maakt onder meer het louter bijhouden, wijzigen of structureren van persoonsgegevens deel uit van het concept “verwerken”.


GDPR geldt dus niet voor elke organisatie, maar tegenwoordig valt een bedrijf al snel onder toepassingsgebied van deze regelgeving. Indien je bijvoorbeeld klantengegevens of gegevens van personeelsleden bijhoudt of de e-mailadressen van natuurlijke personen gebruikt in een mailing, is er al sprake van een gegevensverwerking.


Hoe maak ik mijn website GDPR-compliant?

GDPR geldt natuurlijk ook voor websites die persoonlijke gegevens verwerken of verzamelen. Vandaag zijn er maar weinig websites die geen persoonlijke data verwerken, waardoor je als ondernemer zeker rekening moet houden met de privacywetgeving bij het configureren van jouw website.


Jouw website GDPR-proof maken is allesbehalve een makkelijke opgave. Daarom hebben wij bij Mr. Franklin een GDPR compliance checklist opgesteld voor ondernemers die een website of een webshop willen ontwerpen. Ontdek hieronder onze checklist!


GDPR website compliance checklist


Toestemming van de gebruiker

Onder de GDPR-regelgeving moet de gegevensverwerking van persoonlijke data gebaseerd zijn op een van de door de wet voorgestelde rechtsgronden


Een van de meest eenvoudige manieren om aan deze vereiste te voldoen is door uitdrukkelijke toestemming te vragen aan de gebruikers van jouw website. Vaak kiezen ondernemingen ervoor om iedere gebruiker van een webshop of website een checkbox te laten afvinken waarbij de gebruiker op die manier uitdrukkelijk akkoord gaat met de privacy policy die op de website in kwestie bekendgemaakt wordt.


Let op: het moet gaan om een uitdrukkelijke toestemming en niet om een impliciete toestemming. Als uitbater van een website mag je de checkbox dus niet op voorhand automatisch aangevinkt hebben.


Privacy policy


  • Contactgegevens

De GDPR-wetgeving bepaalt welke informatie je verplicht in de privacy statement van jouw website moet opnemen. Zo vereist GDPR onder meer dat de contactgegevens van de entiteit die de persoonsgegevens verzamelt in de privacy policy staan. Bovendien moeten ook de contactgegevens van de Data Protection Officer van de onderneming die achter de website zit, erin staan. 


Heeft het bedrijf in kwestie meerdere afdelingen? Dan vermeld je best ook welke office verantwoordelijk is voor de verwerking van persoonsgegevens. 


  • Rechtsgrond

Verder is het ook verplicht om in de privacy policy de rechtsgrond te vermelden waarop de gegevensverwerking is gebaseerd. Let op: de rechtsgrond moet worden gekozen uit de limitatieve lijst die je in de GDPR-wetgeving kan vinden. Dit wil zeggen dat je als bedrijf dus niet zomaar een rechtsgrond mag verzinnen waarop je de verwerking van persoonsgegevens zal baseren.


  • Doel van de verwerking

Ook de reden waarom de website persoonsgegevens verzamelt en verwerkt moet in de privacy policy worden opgenomen.


  • Bewaartermijn van personal data

Daarnaast moet de onderneming de bewaartermijn kenbaar maken. De bewaartermijn van persoonsgegevens is de termijn na verloop van dewelke de persoonlijke data gewist worden


Sommige bedrijven werken met variabele bewaartermijnen. In dat geval moeten de criteria die gebruikt worden om deze termijn te bepalen in de privacy policy worden opgenomen.


  • Bescherming van de verzamelde data

De privacy policy van een online site moet ook vermelden op welke manier(en) de website of de webshop in kwestie de verzamelde persoonsgegevens beschermt. Onder GDPR geldt de verplichting voor de gegevensverwerkende onderneming om de integriteit van de verzamelde gegevens te waarborgen. 


Daarmee bedoelt de wetgever dat de verzamelde data niet zomaar gewijzigd mogen worden. Om ongewenste wijzigingen te voorkomen, mogen de persoonsgegevens niet zomaar openbaar worden gemaakt of naar andere entiteiten getransfereerd worden zonder enige verantwoording.


Het bedrijf dat de persoonsgegevens initieel verzamelde, moet ervoor zorgen dat er zich geen datalek voordoet. Hierbij kan het nuttig zijn om de maatregelen die de onderneming neemt of zal nemen om een datalek te vermijden in de privacy policy toe te lichten. 

 

  • Territoriale omvang van de verwerking

General Data Protection Regulation is een Europeesrechtelijk wetgevingsinitiatief. Dit betekent dat er buiten de EU andere privacyregels gelden. Hierdoor moet de privacy policy van jouw webshop of website de gebruikers informeren over de eventuele verwerkingen van hun persoonsgegevens die buiten het grondgebied van de Europese Unie zullen plaatsvinden (bijvoorbeeld door de samenwerking met ondernemingen uit derde landen)


Wanneer dit wel het geval is moet de privacy policy duidelijk toelichten welke bescherming de persoonsgegevens in kwestie in deze niet-EU-landen genieten.


  • Eventuele geautomatiseerde verwerkingen

Wanneer de website gebruikmaakt van geautomatiseerde besluitvorming, dan vermeld je dit best ook in de privacy statement. 


  • Rechten van de personen wiens gegevens verwerkt worden 

De GDPR-wetgeving kent een aantal rechten toe aan de natuurlijke personen wiens gegevens verwerkt worden. Onder meer beschikken de betrokkenen over het recht op inzage van de verzamelde persoonsgegevens en het recht om vergeten te worden


Het recht om vergeten te worden houdt in dat de betrokken personen het recht hebben om bepaalde verouderde of onjuiste en privacygevoelige informatie te laten verwijderen door de verwerkende entiteiten. Dit wil zeggen dat je in dergelijke geval als onderneming verplicht bent om op vraag van de betrokken persoon al zijn of haar gegevens uit de databanken van jouw bedrijf te wissen.

 

Het is ook aan jou als gegevensverwerkende onderneming om de gebruikers van jouw website over de bovengenoemde rechten in te lichten. De meest voor de hand liggende manier om dit te doen is via de vermelding in de privacyverklaring.


  • Let op alle details

Zoals je al ongetwijfeld zelf hebt kunnen merken, is de wetgeving rond privacy en gegevensverwerking zeer gedetailleerd uitgewerkt. Hoewel het opstellen van zo’n privacy policy makkelijk kan lijken, zorgen de juridische en technische details ervoor dat het toch een lastige en vooral een tijdrovende zaak is. Bovendien is de kans dat je als onderneming zonder juridische achtergrond een niet onbelangrijk detail mist, redelijk groot.


Tevens blijft het enorm belangrijk om je website GDPR-conform uit te baten. Indien jouw online platform niet volgens de privacywetgeving functioneert, riskeer je een boete die tot 4% van de wereldwijde omzet van jouw onderneming kan oplopen.


Wat met cookies?

Een cookie is een bepaalde hoeveelheid data die de server naar de browser van de websitegebruiker stuurt. Dit is nodig om de browser (en dus ook de gebruiker) te herkennen de volgende keer dat die jouw website bezoekt. Bovendien helpt zo’n cookie je ook bij te houden wat deze gebruiker in het verleden op jouw website heeft gedaan

 

Cookies worden vaak gebruikt om onder meer de login gegevens van de gebruiker bij te houden of voor profiling (de verzameling van de informatie over de gebruiker). Ook kunnen cookies gebruikt worden om de inhoud van een online winkelwagentje bij te houden zodat de klant tijd heeft om na te denken hoort daarbij.

 

Sommige soorten cookies hebben tot doel het algemeen internetgedrag van de bezoekers in te zamelen, waardoor ze hun werking verder gaat dan louter het bijhouden van wat een bezoeker op een website doet. Dit soort tracking cookies kan je onder de huidige privacy wetgeving enkel gebruiken mits de expliciete toestemming van de bezoeker.


Maak je website GDPR-compliant met Mr. Franklin

Mr. Franklin is een advocatenkantoor met een bijzondere expertise in IP, cybersecurity en het GDPR-proof maken van ondernemingen. Reeds meer dan 250 ondernemingen gaven aan tevreden te zijn over onze service. Ons kantoor telt drie gecertificeerde DPO’s met veel ervaring bij ondernemingen van verschillende grootte in diverse sectoren.

 

Wij zorgen er graag voor dat jouw website GDPR-compliant wordt en dat ook blijft. Ook hebben wij all-in-one GDPR-formules waarbij we jouw onderneming van A tot Z naar GDPR-compliance begeleiden. Hierbij is een aanpak op maat van jouw onderneming en transparantie onmisbaar. Dat geldt zowel voor jouw dossier als voor kosten van onze dienstverlening.

 

Neem gerust vrijblijvend contact met ons op: we bekijken graag wat Mr. Franklin voor jouw bedrijf kan betekenen.


Olivier Sustronck

+32 486 27 53 05

olivier@misterfranklin.be



bottom of page