Een webshop/website GDPR conform maken
Sinds de nieuwe privacywetgeving zijn er redelijk wat juridische details waarmee een onderneming rekening moet houden bij het uitbaten van een website of een webshop om die GDPR conform te maken. De GDPR-experts van Mr. Franklin leggen uit wat GDPR voor websites betekent en hoe je een GDPR compliant website of webshop uitbouwt, rekening houdende met de wetgeving.
General data protection regulation (GDPR)
De General Data Protection Regulation (Algemene Verordening Gegevensbescherming) is op 25 mei 2018 in werking getreden. Deze wetgevingsinitiatief was bedoeld om de informatieveiligheid en transparantie over de verwerking van persoonsgegevens in de Europese lidstaten te bevorderen. De nieuwe regels brengen dus vooral privacy-gerelateerde verplichtingen met zich mee.
​
Elke onderneming die de persoonsgegevens verzamelt of verwerkt moet dit voortaan GDPR-conform doen. Met ‘persoonsgegevens’ worden alle persoonlijke gegevens waarmee natuurlijke personen geïdentificeerd kunnen worden aangeduid. Denk bijvoorbeeld aan een naam, e-mailadres, IP adres of telefoonnummer.
​
Meer over wat volgens de GDPR wetgeving onder het begrip ‘verwerking’ valt vind je in deze blogpost van Mr. Franklin.
​
​
Hoe krijg ik mijn website GDPR conform?
GDPR geldt ook voor de websites die persoonlijke gegevens verwerken (of zelfs louter verzamelen). Tegenwoordig verzamelt bijna iedere website (soms onbewust) persoonsgegevens. Een klantenkaart waarbij de klanten gegevens moeten invullen, een contactformulier waar klanten de e-mailadressen kunnen achterlaten of andere manieren waarop contactinformatie van de gebruiker verzameld wordt - dit allemaal zorgt ervoor dat de GDPR-normen van toepassing zijn.
​
Bijgevolg moeten ook webshops en websites GDPR conform (GDPR compliant in het Engels) opereren.
​
​
Toestemming van de gebruiker
Volgens de GDPR normen moet de verwerking van persoonsgegevens gebaseerd zijn op een van de 6 wettelijk bepaalde rechtsgronden.
​
De eenvoudigste manier om aan deze vereiste te voldoen is aan de gebruikers van jouw website uitdrukkelijk toestemming vragen voor de gegevensverwerking. Meestal gebeurt dit door elke gebruiker van een webshop een checkbox te laten aanvinken waarbij de gebruiker op die manier uitdrukkelijk zijn akkoord met de privacybeleid verklaart.
​
Let op: het moet gaan om een uitdrukkelijke en niet een impliciete toestemming. De checkbox mag dus niet al automatisch aangevinkt zijn.
​
​
Privacyverklaring
Wanneer een website persoonsgegevens verzamelt, moet de transparantieverplichting niet uit het oog verloren gaan. Een privacy statement moet aan de bezoekers van jouw website uitleggen hoe, waarom en welke persoonlijke gegevens je verzamelt.
​
Elk webshop is trouwens in elk geval verplicht om een privacy statement te gebruiken.
​
​
Wat moet een privacy statement vermelden?
​
Contactgegevens
De GDPR-regelgeving bepaalt welke informatie in jouw privacy statement beschikbaar moet zijn. Zo moeten er de contactgegevens van de entiteit die de persoonsgegevens verzamelt in staan, evenals de contactgegevens van de Data Protection Officer van de onderneming.
​
Heeft de gegevensverwerkende onderneming meerdere afdelingen, dan vermeld je best ook welke office verantwoordelijk is voor de verwerking van persoonsgegevens.
​
​
Rechtsgrond, doel van de verwerking en bewaartermijn van de gegevens
Ook moet de onderneming de rechtsgrond vermelden waarop de gegevensverwerking is gebaseerd, samen met de reden waarom de persoonsgegevens verzameld en verwerkt worden. Daarbij moet de privacyverklaring de bewaartermijn kenbaar maken waarna de persoonsgegevens gewist worden (of de criteria die gebruikt worden om deze termijn te bepalen).
​
​
Bescherming van verzamelde data
​
De onderneming moet ook aantonen hoe de website of de webshop de verzamelde gegevens beschermt. Als entiteit die persoonsgegevens verwerkt moet je ervoor zorgen dat de integriteit van deze persoonsgegevens beschermd wordt. Dit wil zeggen dat de verzamelde gegevens niet zomaar gewijzigd mogen worden.
​
De persoonsgegevens mogen niet openbaar worden bekendgemaakt of zomaar naar andere entiteiten getransfereerd worden. Het is jouw plicht als gegevensverzamelende entiteit om een datalek te voorkomen. Het kan nuttig zijn om de maatregelen die jouw onderneming neemt om een datalek te vermijden kort in de privacyverklaring toe te lichten.
​
​
De territoriale omvang van de verwerking
Zoals eerder gezegd is de Algemene Verordening Gegevensbescherming (GDPR) een Europeesrechtelijke initiatief. Dit wil zeggen dat er buiten de EU andere privacyregels gelden. Daarom moet de privacyverklaring van jouw webshop of website de gebruikers informeren over of je de persoonsgegevens ook buiten de Europese Unie zal verwerken (bijvoorbeeld door de samenwerking met entiteiten uit derde landen).
​
Is dit wel het geval, dan moet de privacy statement uitleggen welke bescherming de persoonsgegevens in deze niet-EU landen genieten.
​
​
Eventuele geautomatiseerde verwerkingen
​
Maakt jouw website of webshop gebruik van geautomatiseerde besluitvorming, dan vermeld je dit ook best in de privacy statement.
​
​
Rechten van de personen wiens gegevens verwerkt worden
De GDPR-Verordening voorziet ook in een aantal rechten voor de personen wiens gegevens verwerkt worden: onder andere het recht op inzage van de verzamelde persoonsgegevens of het recht om volledig uit alle databanken van jouw onderneming gewist te worden.
​
Het is aan de entiteit die persoonsgegevens verwerkt of verzamelt om de gebruiker van een website of een webshop over het bestaan van deze rechten in te lichten. De eenvoudigste manier om dit te doen is dan weer de vermelding in de privacyverklaring.
​
​
En nog meer…
Zoals je zelf al hebt gemerkt, is de regeling rond privacy statement zeer gedetailleerd uitgewerkt. Deze vaak juridisch technische details zorgen ervoor dat het opstellen van een correcte privacy statement een lastige en vooral een tijdrovende zaak wordt.
Tevens blijft het opmaken van een GDPR-conforme privacy statement voor jouw website of webshop enorm belangrijk. De boete die je riskeert indien je online platform niet in overeenstemming met de nieuwe privacyregels functioneert, kan tot 4% van de omzet oplopen.
​
Veel ondernemingen kiezen er dan ook voor om een privacyverklaring voor een webshop of een website door de juridisch adviseur te laten opmaken. Zo weet je zeker dat jouw onderneming op GDPR-vlak juridisch in orde is - en dat ook blijft.
DPIA audit
Een Data Protection Impact Assessment (DPIA) is een tool om de privacyrisico’s van gegevensverwerking te situeren. Een DPIA moet uitgevoerd worden wanneer verwerking van persoonsgegevens een hoog risico met zich meebrengt voor de privacy van de betrokkenen.
​
Als Mr. Franklin zijn wij onder andere gespecialiseerd in DPIA-audits, zowel op privacy als cybersecurity vlak. Daarbij zorgen we voor concrete aanbevelingen en wordt er een commercieel document opgemaakt dat kan voorgelegd worden aan jouw klanten.
​
Meer info over onze diensten in verband met DPIA vind je in deze blogpost van Mr. Franklin.
​
​
DPO
Een Data Protection Officer (DPO) is een onafhankelijk persoon die toeziet op de naleving van de GDPR-normen binnen de onderneming.
​
In sommige gevallen is het aanstellen van een Data Protection Officer verplicht. Ontdek in deze blogpost van Mr. Franklin of een dergelijke verplichting voor jouw onderneming geldt. Is dit het geval, dan moeten de contactgegevens van de verantwoordelijke DPO ook in de privacy statement van jouw website of webshop vermeld worden.
​
Als gecertificeerde DPO's staan de advocaten van Mr. Franklin tientallen ondernemingen bij als DPO tegen vaste prijzen. Je kan bij ons terecht voor bijstand in procedures voor de Gegevensbeschermingsautoriteit (GBA), zoals een aangifte van een datalek of een procedure voor de Geschillenkamer, evenals bij procedures voor de rechtbank (bijvoorbeeld indien je de opgelegde sancties wil aanvechten).
​
​
Cookies
Een cookie is een bepaalde hoeveelheid data die de server naar de browser van de gebruiker van een website stuurt. Dit is nodig om de browser (en dus ook de gebruiker) te herkennen de volgende keer dat dezelfde browser de website bezoekt. Bovendien helpt zo’n cookie ook bij te houden wat de gebruiker van bepaalde browser in het verleden op dezelfde website heeft gedaan.
​
Cookies worden vaak gebruikt voor onder andere onthouden van de login gegevens of het verzamelen van surfinformatie (profiling van de gebruiker). Ook het bijhouden van een winkelwagen zodat de klant tijd heeft om na te denken hoort daarbij.
​
​
Tracking cookies
Tracking cookies zijn een bepaalde soort cookies die tot doel hebben de informatie over de websurfers te verzamelen. Deze cookies zorgen ervoor dat de websites het algemeen internetgedrag van de bezoekers kunnen volgen, en niet enkel wat een bezoeker op een bepaalde website doet.
​
Om de tracking cookies te kunnen gebruiken moet je onder de huidige GDPR-regeling expliciet toestemming vragen aan de bezoeker.
Waarom kiezen voor GDPR-experts van Mr. Franklin?
​
Mr. Franklin is een advocatenkantoor met een bijzondere expertise in IP, cybersecurity en het GDPR-proof maken van ondernemingen. Reeds meer dan 250 ondernemingen zijn tevreden over onze service.
​
Mr. Franklin biedt all-in-one pakketten tegen vaste prijzen om een GDPR- en veiligheidsbeleid op te stellen binnen jouw firma, waarbij ook jouw website of webshop GDPR-proof wordt gemaakt. Neem gerust contact met ons op: we bekijken graag wat Mr. Franklin voor jouw bedrijf kan betekenen.
CONTACTEER ONS!
OOK ZIJ DEDEN EEN BEROEP OP MR. FRANKLIN
Mr. Franklin levert ons een prima ondersteuning op vlak van juridische IT bijstand, GDPR, eigendomsrecht en financiële geschillen. Gedrevenheid, snelheid, passie voor het vak, correctheid zijn slechts enkele kernwoorden die Mr. Franklin & hun team typeren.
Xavier Goegebeur / Link Optimizer
Mr. Franklin geeft altijd kwalitatief werk voor een duidelijke prijs.
Alain Carels / Carbofisc