GDPR: General Data Protection Regulation

De GDPR is van toepassing op alle bedrijven die persoonsgegevens van EU-burgers verwerken. Concreet is dat dus bijna elk bedrijf, ook de kleinere. De EU ziet dit immers heel breed. Ook IP-adressen en cookies worden bijvoorbeeld gezien als persoonsgegevens.

In de GDPR staan veel principes uit de Belgische Privacywet, maar er zijn ook een aantal belangrijke nieuwigheden. Nieuwigheden die ook van jouw bedrijf actie zullen vragen. Vanaf 25 mei 2018 staan er bovendien torenhoge boetes op het niet naleven van de GDPR. Reden genoeg om de nodige stappen te ondernemen.

Maak je website https://

Heeft je website nog geen beveiligde verbinding (SSL), dan toont Google binnenkort een waarschuwing vanwege onveilig. Een SSL-certificaat zorgt ervoor dat de website bereikbaar is via https:// en toont de URL in de browser in het groen. Daarnaast biedt een certificaat ook een betere beveiliging van data in het kader van de GDPR.

Nog een extra troef: websites met https-verbinding krijgen voorrang in de ranking in Google. Het bevordert dus de vindbaarheid van je website tegenover concurrentie zonder https.

Vervolledig verplichte gegevens

Volgende gegevens moeten verplicht worden vermeld op de website (en Facebook-pagina!) van elke onderneming, zelfstandige en vrije beroeper:

  • Naam van de onderneming of eigen naam
  • Vestigingsplaats van de onderneming
  • Ondernemingsnummer en/of BTW-nummer
  • Duidelijke contactgegevens
  • Bevoegde autoriteit in het geval van een vergunning (bv. immobiliënmakelaar)
  • Beroepsvereniging en beroepstitel met verwijzing naar beroepsregels
  • Gedragscode (bv. fitness)
  • Algemene (verkoops)voorwaarden
  • Privacy policy en cookie policy

Vermeld je op de website jouw persoonlijke gegevens of die van medewerkers (team) zoals naam, e-mailadres, telefoonnummer, social media profiel, foto of andere? Dan moet je ook dit opnemen in je privacy policy.

Geef aan waarom deze kenbaar gemaakt worden op de website en zorg eventueel voor een aanpassing van je contract met de medewerkers, waarin dit duidelijk vermeld wordt.

Breng je webformulieren in orde

Elk webformulier moet gecontroleerd worden en mag enkel nog velden bevatten die uiterst noodzakelijk zijn voor de verdere communicatie of voor het aanleveren van diensten / producten.

Vraag jij je klanten naar hun adres, telefoonnummer, e-mail, geboortedatum of andere persoonlijke informatie? Dan moet dit tot een minimum worden herleid. GDPR verplicht elk bedrijf om enkel nog noodzakelijke gegevens te bewaren. En te kunnen verdedigen waarom.

Dit is van toepassing op alle soorten webformulieren:

  • Contactformulier
  • Offerteaanvraagformulier
  • Reservatieformulier
  • Inschrijvingsformulieren
  • Aanmelding voor nieuwsbrief
  • Getuigenissen of klantenreacties
  • Registratie van klantaccounts
  • Gastaccounts voor éénmalige bestellingen

Opgelet: dit geldt ook voor de reservatieformulieren via Resengo, Tablebooker, Trustpilot, enz. Belangrijk is in de eigen privacy policy te verwijzen naar de privacy policy van deze diensten. Vraag ernaar bij je contactpersoon.

Alvorens een webformulier te versturen, moet een bezoeker zelf kunnen aanvinken dat hij/zij akkoord gaat met de algemene voorwaarden en met de privacy policy.

Automatisch aangevinkte akkoordverklaringen, automatische vinkjes voor een nieuwsbrief of formulieren zonder vinkje moeten dus verplicht aangepast worden.

Herbevestig nieuwsbrief inschrijvingen

NIEUWSBRIEF INSCHRIJVINGEN

Verzamel je via de website e-mailadressen om zo bezoekers te kunnen contacteren via een nieuwsbrief? Dan moet je dit extra toelichten in de privacy policy.

Welke informatie wordt verzameld en waarom? Waar worden deze gegevens bewaard en wat gebeurt er mee? Hoe lang wordt alles bijgehouden en hoe kunnen gegevens worden gewijzigd/geschrapt.

Om aan te tonen dat het e-mailadres niet door de beheerder werd ingevuld, is het aangewezen om een extra log aan te leggen. Dit toont aan dat het e-mailadres vanaf een bepaald IP-adres met een bepaald toestel op een welbepaalde datum werd ingevuld.

NIEUWSBRIEF VERZENDING

Verzend je nieuwsbrieven naar een ledenlijst of klantenbestand? Dan moet je in eerste instantie aantonen dat elk lid hiertoe effectief de toestemming heeft gegeven.

Aangezien het niet mogelijk is deze toestemming met terugwerkende kracht te achterhalen, is het aangewezen om alle lijsten (nieuwsbriefleden, klanten en geïmporteerde e-mailadressen verworven uit events of andere acties) te contacteren voor een manuele herbevestiging.

Ze krijgen in deze nieuwsbrief dan de mogelijkheid zich uit te schrijven of opnieuw in te schrijven. Beschouw dit ook als een doeltreffende optimalisatie van de ledenlijst waarbij enkel nog waardevolle contacten zullen overblijven.

Pas ook de privacy policy grondig aan: geef aan welke type nieuwsbrieven worden verzonden, waarom en hoe vaak. Wees transparant en zorg ervoor dat elke bezoeker precies weet wat hij mag verwachten.

Belangrijk: er bestaat een onderscheid tussen informatieve mailings en mailings met reclamedoeleinden.

  • De eerste zijn louter bedoeld om je klanten te informeren omtrent noodzakelijke, aan te raden wijzigingen. Wanneer vermeld staat in de privacy policy dat jullie enkel informatieve mailings uitsturen, is het niet noodzakelijk te werken met bovenstaande herbevestiging.
  • De laatste worden gebruikt voor commerciële doeleinden (dit geldt ook voor elektronische nieuwjaarswensen of aankondigingen van opendeurdagen) en bevatten niet noodzakelijk informatie over je diensten of producten. In dit geval is een herbevestiging en grondige opkuis van de bestaande database noodzakelijk.

Beveilig je klantaccounts

Wanneer bezoekers via een persoonlijk profiel met wachtwoord kunnen inloggen op je website moet de privacy policy hiervoor worden gewijzigd. Er moet precies worden verklaard:

  • waarom een login of account aangewezen is voor het leveren van je diensten of producten
  • welke gegevens worden bewaard in het profiel van de klant

Opgelet: indien je medische info, rijksregisternummers, verzekeringsinfo of bankgegevens bewaart en verwerkt op grootschalig niveau, moet je beroep doen op een DPO. Raadpleeg hiervoor best een jurist.

  • waar deze gegevens worden bewaard en beheerd en hoe deze beveiligd zijn
  • wat er precies met deze gegevens gebeurt (adres wordt doorgestuurd naar bpost voor tijdelijke aanmaak van verzendlabel, betaalgegevens worden doorgestuurd naar Mollie voor verwerking betaling, e-mailadres wordt opgenomen in ledenlijst van nieuwsbrief, enz.)
  • wie toegang heeft tot deze gegevens
  • hoe deze gegevens kunnen worden verwijderd.

Belangrijk: voortaan zullen accountgegevens niet meer automatisch worden opgenomen in de ledenlijst voor nieuwsbrieven. Er moet dus een extra vinkje worden toegevoegd voor het ontvangen van nieuwsbrieven.

Google Analytics & G Suite

GOOGLE ANALYTICS

Voor het bekijken van de statistieken gekoppeld aan je website en het blijvend registreren van de bezoeken met daaraan gelinkte demografische gegevens van bezoekers, moet een wijziging worden gedaan in de Google Analytics accountinstellingen.

In eerste instantie moet je akkoord gaan met de wijziging van gegevensverwerking van Google Analytics zelf. Dit kan door het volgen van onderstaande stappen:

  • Log in op Google Analytics met uw Google account
  • Klik onderaan links op 'Beheerder" of op het tandwieltje
  • Klik op Accountinstellingen in de eerste kolom
  • Scroll naar onder tot de tekst "Aanpassing van de gegevensverwerking" en klik op "aanpassing bekijken" en vervolgens op "akkoord"
  • Klik nadien op "opslaan" helemaal onderaan!

Ten tweede moet je de DPA-gegevens van je Google Analytics account updaten en bevestigen. Klik nu op de link ‘DPA gegevens beheren’ in het grijze kadertje net boven de ‘opslaan’ knop. Hierbij opent GA 360 Suite Home.

Vul bij entiteit de juridische benaming van je onderneming in (bv. "Quoted BVBA").

Klik nadien bij contacten op het blauwe plustekentje rechtsboven en vul het e-mailadres en de contactgegevens van de zaakvoerder of eindverantwoordelijke in.

Vink "primaire contactpersoon" aan en sla op.

G SUITE

Er zijn bepaalde voorwaarden ten aanzien van de gegevensverwerking bij Google. Het contract werd vernieuwd. Accepteer daarom de DPA 2.0.:

  • Log in op de Google Beheerdersconsole met uw G Suite account
  • Klik in de navigatie op Account > Bedrijfsprofiel
  • Selecteer Profiel
  • Scroll naar het gedeelte "Aanvullende beveiligings- en privacyvoorwaarden" (naast Amendement gegevensverwerking), zorg dat jij of een bevoegde persoon binnen de organisatie de DPA 2.0 doorneemt en klik op "Controleren en accepteren".
  • Klik op "Ik ga akkoord".

Als de GDPR vereist dat uw organisatie een functionaris voor gegevensbescherming aanwijst (DPO), vereist de AVG van Google dat de contactgegevens van deze functionaris moeten zijn geregistreerd. Volg de onderstaande stappen om de contactgegevens van de functionaris voor gegevensbescherming op te geven:

  • Log in op de Google Beheerdersconsole.
  • Klik in de navigatie op "Account > Bedrijfsprofiel > Meer weergeven > Juridisch en compliance"
  • Geef onder "Details van de functionaris voor gegevensbescherming" de vereiste contactgegevens op
  • Klik op "Opslaan"