Den Helder, door Tom van Ossanen

Wat is de GDPR?

De General Data Protection Regulation (GDPR) is de nieuwe Europese privacywetgeving die op 25 mei 2018 de Nederlandse AVG (Algemene Verordening Gegevensbescherming) vervangt. Deze wetgeving geldt voor iedereen die persoonsgegevens verzamelt van Europese burgers. Ook de huidige Cookiewet en de Meldplicht datalekken zijn straks onderdeel van de GDPR. 

En voor de duidelijkheid: een persoonsgegeven is elk gegeven dat te herleiden is naar een natuurlijk persoon. Dus heb je een contactformulier op je website, of je registreert bezoekersinformatie met IP adres, dan geldt de GDPR voor jou. De GDPR heeft invloed op je website, je klantenbestand, de administratie en marketing. Bedrijven die de GDPR naast zich neerleggen, lopen het risico op een fikse boete die kan oplopen tot € 20 miljoen of 4 procent van de wereldwijde jaaromzet.

WAT BETEKENT DE GDPR VOOR KLEINE BEDRIJVEN/ MKB BEDRIJVEN?

De GDPR klinkt vooral als veel werk. Maar het biedt ook kansen. In heel Europa gelden straks dezelfde regels, en dat is handig als jouw website ook op een doelgroep buiten Nederland is gericht. Of als je in de toekomst naar het buitenland wilt uitbreiden.

GDPR EISEN EN UITGANGSPUNTEN

De nieuwe wet bestaat uit allerlei nieuwe eisen en uitgangspunten. Dat maakt het invoeren van de GDPR vrij lastig – zeker voor kleine bedrijven – want wat er moet gebeuren kan per bedrijf en markt verschillen. De volgende uitgangspunten moet elk bedrijf straks toepassen:

Transparantie

Je moet openheid kunnen geven over hoe jouw bedrijf persoonsgegevens verwerkt. Dat betekent dat je privacyverklaring in een heldere taal geschreven moet zijn. Kort en overzichtelijk. Daarin leg je uit hoe jouw bedrijf omgaat met persoonsgegevens. Zorg ook dat elke medewerker die werkt met persoonsgegevens de nieuwe privacywetgeving begrijpt.

Toestemming of ‘rechtsgrond’

De tijd van klakkeloos persoonsgegevens verzamelen en gebruiken is voorbij. Je hebt een rechtsgrond nodig. Heb je een webshop? Dan heb je natuurlijk naam- en adresgegevens nodig om je pakket te versturen. Wil je een geboortedatum zodat je bijvoorbeeld een kaartje kan sturen? Dan moet je die reden ook geven, en je mag het geen verplicht veld maken.

Aansprakelijkheid

Je bent verantwoordelijk voor alle persoonsgegevens binnen jouw bedrijf. Ook als die door externe partijen worden opgeslagen of toegepast. Zoals bijvoorbeeld MailChimp doet: die partij houdt voor jou e-mailgegevens bij en registreert het klikgedrag. Als MKB’er moet jij je dus inlezen hoe die partijen omgaan met de persoonsgegevens van jouw klanten.

Privacy by default

Standaard moet je de privacy van je klanten op de hoogste setting zetten. Dat betekent dat je niet ongevraagd iemands websitebezoek en IP-adres mag registreren. Bij iedere persoonsgegeven moet jij je daarom afvragen: heb ik dat wel echt nodig?

Privacy by design

Bedenk je een nieuw product of dienst? Dan moet je direct rekening gaan houden met de privacy. Persoonsgegevens verzamelen bijvoorbeeld via een verplichte registratie, mag alleen als dat nodig is voor het kunnen leveren van je product of dienst.

Datalek

Je moet er alles aan doen om persoonsgegevens veilig te bewaren. Toch een datalek door een verloren USB-stick of laptop? Dan moet je dat binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Dat was al zo onder de wet Datalekken. Die gaat per 25 mei 2018 dus op in de GDPR, net als de Cookiewet.

Nu zijn wij geen juristen. Voor een volledig verhaal verwijzen we je graag door naar de officiële wetgeving óf een gespecialiseerd GDPR-specialist of jurist. Wij zijn wél bewuste websitebouwers die jou graag deze tien aandachtspunten geven voor je online activiteiten.

10 ONLINE ZAKEN OM TE REGELEN VOOR DE GDPR

Het gaat om vier hoofdvragen die je continu moet stellen: welke persoonsgegevens sla ik op? Hoe gebruik ik die? Waar sla ik die op en wie kan er bij? Heb ik die gegevens nog wel nodig? Met het typische midden- en kleinbedrijf in gedachte, hier de belangrijkste online actiepunten:

1. Formulieren

Je mag alleen vragen om informatie die je nodig hebt. Dus een telefoonnummer of e-mailadres om te kunnen reageren, of een adres om een brochure te versturen. Wil je die gegevens ook voor iets anders gebruiken? Dan moet je dat expliciet vragen. Bijvoorbeeld: “Mogen we jouw schoenmaat zodat we jou kunnen informeren over aanbiedingen die jij past?” Verwijder gegevens die je niet gebruikt, zoals reacties op een prijsvraagformulier.

2. Privacyverklaring

Kort en bondig. In Jip-en-Janneketaal. Hier leg je precies uit welke persoonsgegevens je waar verzamelt, waarom en wat ermee gebeurt. Bovendien geef je opties om persoonsgegevens op te vragen, te verwijderen of te verplaatsen naar een concurrent. Je noemt ook de verantwoordelijke binnen het bedrijf die gaat over privacy.

3. Google Analytics

Gebruik je Google Analytics, dan moet je een overeenkomst sluiten met Google. Google is namelijk een dataverwerker die je toestemming geeft om de persoonsgegevens van jouw bedrijf te verwerken. Dat is een simpele handeling gelukkig. Een ander aandachtspunt is het IP-adres, dat is namelijk een persoonsgegeven. Vraag je nieuwe bezoekers niet vooraf om hun akkoord, dan moet je het IP-adres laten anonimiseren.

4. Cookiebeleid

De tekst “Doordat je deze website bezoekt, gaan we ervan uit dat je akkoord gaat met cookies” mag straks niet meer onder de GDPR. Voor iedere cookie die een bezoeker apart kan identificeren, moet toestemming worden gegeven. Daardoor kun je niet meer ongevraagd mensen over verschillende websites volgen. Dit gebeurt bijvoorbeeld nu nog door partijen zoals DoubleClick en Sanoma. Een cookiewall, waarmee je gebruikers verplicht cookies te accepteren voordat ze de site mogen bekijken, mag je straks niet meer gebruiken. Per 25 mei kun je als gebruiker via de browserinstelling aangeven of je analytische en tracking cookies wel of niet wilt accepteren.

5. Bezoekers opnemen

Met analytische software zoals Hotjar kun je heel mooi zien wat je bezoekers op je site doen. Hun bezoeksessie neem je hiermee op, inclusief muisbewegingen. Zorg er daarom voor dat je niet het invullen van velden opneemt, en dat alle persoonsgegevens zijn geanonimiseerd.

6. HTTPS

Met een SSL-certificaat beveilig je je website. Er komt dan HTTPS voor je URL, waaraan bezoekers zien dat hun bezoek is beveiligd. Onder de GDPR ben je verplicht om te zorgen voor een optimale beveiliging van persoonsgegevens. Sla je formulieren of nieuwsbriefaanmeldingen op via je site? Dan is HTTPS verplicht.

7. Gebruikers aanmaken

Formulieren en nieuwsbrief-plugins op je website bevatten persoonsgegevens. Geef je iemand toegang tot het CMS van je site, dan moet die persoon daar ook een geldige reden voor hebben. Die reden moet je apart gaan vastleggen, zodat helder is wie waarom toegang heeft tot persoonsgegevens. Onnodige accounts moet je verwijderen.

8. Hosting

Maakt jouw hostingpartij een back-up van je website? En kan hij direct in de gegevens kijken van jouw website? Onder de GDPR is je hoster een dataverwerker en heb je een overeenkomst nodig. Nu kijkt de hostingbranche naar de best werkbare oplossing voor iedereen, onder het project Partnering Trust. Vanuit Smeders zullen wij tijdig onze klanten hierover informeren.

9. Up to date

Na oplevering van je website ben je verantwoordelijkheid voor de veiligheid ervan. Ben je hier niet goed in thuis? Deze taken kun je met een onderhoudscontract overdragen aan je websitebouwer of hoster. Anders moet jij zorg dragen voor het tijdig updaten van je CMS (zoals WordPress) en eventuele plugins.

10. Nieuwsbrief versturen? Of CRM?

Elke externe partij waarmee je je nieuwsbrief verstuurt, is een dataverwerker waarmee je straks een overeenkomst nodig hebt. Een e-mailadres en klikgedrag zijn persoonsgegevens.

GOED NIEUWS: JE BENT NU AL BEGONNEN MET HET VOLDOEN AAN DE GDPR

Bewustwording is een belangrijke stap in het toepassen van de GDPR. Deze 10 actiepunten zijn een heel goed begin, maar er is meer. Je moet bijvoorbeeld ook een beleid vaststellen, waarin je vastlegt wat je doet bij een datalek. Alles bij elkaar kan het nogal veel lijken. Maar schuif het daarom niet onder in je prioriteitenlijst. De Autoriteit Persoonsgegevens dat straks de GDPR handhaaft, kijkt achteraf naar je inspanningen. Heb jij al enige goede stappen ondernomen? Dan zul je bij een datalek of controle niet zo snel die monsterboete van € 20 miljoen krijgen, eerder een waarschuwing. Begin daarom gewoon. Dit blog uitlezen was je eerste stap.

Je website laten voldoen aan de GDPR? We helpen je hier graag mee.

Geplaatst op: 10 november 2017

Deel dit artikel