Met de komst van de GDPR heeft jouw kmo er een aantal plichten bij gekregen, en dat geldt uiteraard ook voor jouw website en/of digitale applicaties. Het wordt nog belangrijker om transparant te zijn over de verwerkingen van persoonsgegevens via je digitale kanalen. Zo dien je bezoekers en gebruikers van je websites proactief te informeren over welke data er ingezameld wordt, waar ze exact voor gebruikt wordt, door wie en hoe lang ze bewaard wordt. Betrokkenen moeten geïnformeerd worden over hun rechten, én voor verschillende verwerkingsactiviteiten heb je een actieve toestemming nodig.

Je mag bijvoorbeeld personen die je een e-mail hebben gestuurd via de website, niet automatisch aan je marketinglijst toevoegen. Acht stappen die wij alvast aanbevelen vind je hieronder in mijn blog! Ready…. Set…. Action !

Privacy by design

Vooraleer je een nieuwe website of applicatie bouwt, moet je rekening houden met de bescherming van de persoonsgegevens van toekomstige gebruikers. Dit principe wordt privacy by design genoemd. Privacy by design stelt dat je enkel de absoluut noodzakelijke informatie mag verwerken, dat standaard de privacy-instellingen maximaal ten voordele van de betrokkene moeten staan (privacy by default) en dat je uiteraard de nodige technische maatregelen moet nemen om de persoonsgegevens passend te beveiligen.

Cookies

Vervolgens starten we met de verwelkoming van je websitebezoekers. Nog voordat zij actief hun persoonsgegevens meedelen via bijvoorbeeld een formulier, begin je vaak al met het verzamelen ervan. Google Analytics maakt bijvoorbeeld gebruik van analytische cookies en zij vallen onder de definitie van persoonsgegevens. Hoe kan je dit oplossen? Door actief te laten bevestigen dat websitebezoekers akkoord gaan met het gebruik van cookies dat transparant en duidelijk beschreven staat in je privacybeleid, door niet meer gegevens te verzamelen dan nodig (je verantwoordingsplicht), en uiteraard door voldoende technische maatregelen te nemen om de persoonsgegevens te beveiligen en waar mogelijk te pseudonimiseren of anonimiseren. Ook dien je ervoor te zorgen dat het doel waarvoor de gegevens verwerkt worden, absoluut beperkt blijft tot datgene je vooropstelt (denk aan benchmarking en doorgifte aan Google of andere partijen).

Formulieren

Kunnen websitebezoekers een digitaal formulier invullen? Zorg ervoor dat de inhoud ervan enkel naar de strikt noodzakelijke ontvanger(s) verzonden worden en zorg ervoor dat je websitebezoeker kennis heeft van het privacybeleid en de disclaimer. We komen tijdens onze website audits vaak tegen dat er overbodige kopieën (levenslang) op de webserver bewaard worden, of dat er andere ontvangers in CC staan. Behandel inkomende vragen of inschrijvingen steeds via één bepaalde procedure (via een portaal of via een mailbox) en gebruik de persoonsgegevens nooit breder dan voor de opgegeven doeleinden. Als iemand verzoekt om zijn of haar persoonsgegevens te wissen, moet je daar op een snelle en eenvoudige manier aan kunnen voldoen en niet op vijf verschillende plaatsen kopieën en back-ups gaan aanspreken. Bovendien is het je plicht om de e-mails standaard te wissen na een verantwoordbare termijn.

HTTPS

Gebruik maken van een SSL-certificaat is vandaag de standaard. Hierdoor zorg je ervoor dat ingevoerde data in geëncrypteerd wordt verzonden en tijdens het transport van de gegevens de kans op onderschepping nihil is. Bovendien kan de websitebezoeker er zeker van zijn dat de tentoongestelde website de juiste is. Het correct installeren van een SSL-certificaat is één van de technische maatregelen die je kan aanhalen in je verwerkingsregister of GDPR-documentatie.

Opt-ins

Je mag websitebezoekers nog steeds de kans geven om zich in te schrijven op je nieuwsbrief wanneer zij een formulier invullen. Let wel dat je voor dit extra verwerkingsdoel een aankruisvakje voorziet waardoor je kan aantonen dat er uitdrukkelijk voorafgaandelijke toestemming werd gegeven via een opt-in. Let wel: dit vakje mag standaard niet aan staan, en het mag natuurlijk ook geen vereist veld zijn aan een offerteformulier. Gebruikers moeten bewust aangeven dat ze de verwerking van hun persoonsgegevens voor bijvoorbeeld marketingdoeleinden goedkeuren. Stuur bij twijfel een e-mail naar de gebruiker met een bevestigingsvraag. Zo heb je een aantoonbare opt-in wanneer hij of zij antwoordt. Let er op dat je nieuwsbrief in regel is met de GDPR-wetgeving en er bij de opt-in ook een verwijzing staat naar je privacyverklaring.

Recht op toegang, verbetering en wissing

De GDPR legt op dat gebruikers hun gegevens moeten kunnen bekijken en verbeteren. Een klantvriendelijke oplossing kan een online self-service system zijn waarbij betrokkenen zelf de gewenste aanpassingen kunnen doen. Dit is geen verplichting (het mag ook een manueel proces zijn) maar kan wel tijdbesparend zijn voor je kmo.

Daarnaast hebben betrokkenen the right to be forgotten. Dit recht om vergeten te worden betekent dat individuen jou als bedrijf kunnen vragen om al hun persoonsgegevens te wissen indien er geen reden is waarvoor je ze zou nodig hebben (zoals bijvoorbeeld het kunnen uitvoeren van een overeenkomst).

Samenwerking met externe dienstverleners

MailChimp, Google, Salesforce, Sendgrid, Facebook, HotJar,…. allemaal externe gegevensverwerkers waar je mogelijk mee samenwerkt. Vaak zijn deze bedrijven buiten Europa gevestigd en maken ze gebruik van niet-Europese servers voor gegevensopslag. Ook merken we dat in hun gebruikersovereenkomsten vaak staat opgenomen dat ze de gegevens nog met subverwerkers delen. In dit geval ben je als verantwoordelijke gegevens aan het doorgeven en exporteren. Het is belangrijk dat je – wanneer er export van persoonsgegevens plaatsvindt – de nodige GDPR-conforme overeenkomsten afsluit met deze bedrijven, en aan alle overige GDPR-verplichtingen voldoet.

Plugins

Is je website gebaseerd op een CMS (content management system) zoals WordPress of Drupal? Dan heb je mogelijk plugins of extensies van externe ontwikkelaars in de website zitten. Het is je plicht om ervoor te zorgen dat alle partijen waar je mee samenwerkt, GDPR compliant zijn en niet ongevraagd persoonsgegevens verwerken. Stel: je website wordt gehackt doordat je gebruik maakt van een onbetrouwbare plugin. Ben jij daar dan van op de hoogte en kan je alle betrokkenen die hun gegevens via deze weg verzonden hebben nog bereiken? Jij wordt immers wel als verantwoordelijke aangeduid.

Website audit

Wist je dat de bovenstaande acht stappen slechts de tip van de sluier zijn? In onze privacy audit gaan we nog veel verder in onze technische analyse. Mijn advies? Trek je interne GDPR-audit zeker ook door naar je website en stel jezelf kritisch de vraag:

  • welke persoonsgegevens er verzameld worden
  • door wie deze persoonsgegevens verwerkt worden
  • waar deze persoonsgegevens opgeslagen worden
  • of de verwerking van deze persoonsgegevens strikt noodzakelijk is
  • hoelang deze persoonsgegevens bijgehouden worden
  • of met eventuele derden de nodige overeenkomsten bestaan, én zij voldoende technische en organisatorische maatregelen hebben genomen om de gegevens te beschermen

Onthoud dat het jouw plicht en verantwoordelijkheid is om op eigen initiatief te controleren of je externe verwerkers in orde zijn. Ook dient alle informatie op een transparante manier in je privacybeleid te staan. Zijn je partners niet in orde met de regelgeving? Dan is het belangrijk dat je hen begeleidt om dat voor jouw data in orde te brengen voor 25 mei 2018. Gebeurt dat niet? Dan adviseer ik je om op zoek te gaan naar alternatieve dienstverleners.

Website monitoring

Tot slot wordt website monitoring eens zo belangrijk. Bij een datalek is het immers je plicht om het lek kenbaar te maken. Website monitoring voer je best op serverniveau uit om de website niet onnodig te belasten. Daarnaast is het superbelangrijk om de broncode en het eventuele CMS met haar uitbreidingen goed up-to-date te houden.

Is jouw website klaar voor de GDPR regelgeving?

Vergeet je websites en applicaties niet onder de loep te nemen in je voorbereiding op de GDPR-regelgeving. Of stel gerust je vraag aan onze privacy experts! Bij Datalink hebben we gecertificeerde DPO’s (Data Protection Officers) in het team én hebben we een GDPR Traject ontwikkeld dat ook je applicaties doorgrondt.

Vraag hier meer informatie aan