“Tell it all, tell it fast, tell the truth.”
Deze quote van Elizabeth Denham is eigenlijk de essentie van GDPR. Wees transparant naar je gebruikers toe. Als je website hun gegevens verzamelt, informeer je bezoekers, vraag hen expliciet om toestemming en beveilig je systeem zodat je datalekken op alle mogelijke manieren kan voorkomen.
Wat is de GDPR nu precies?
De GDPR is een verordening waarmee de Europese Commissie de veiligheid van data wil bevorderen. Het gaat hierbij vooral om het beschermen van persoonlijke informatie van Europese inwoners, maar ook om het reguleren van de export van persoonlijke data buiten de Europese Unie. De Europese Commissie wil hiermee de controle over persoonlijke data teruggeven aan het individu.
Overgangsperiode?
"Voor GDPR is er een overgangsperiode van 2 jaar, ruimte genoeg dus om ons voor te bereiden". Een uitspraak die op 25 mei 2018 over velen hun lippen rolde. De dag waarop GDPR van start ging. Ergens hebben ze gelijk, deze regelgeving heeft inderdaad een overgangsperiode van 2 jaar. Dat zou genoeg voorbereiding moeten zijn om alle regels te voldoen, maar echter waren de meeste bedrijven zich er niet van bewust dat de GDPR al bestond sinds 2016. Sinds 25 mei 2018 is deze overgangsperiode dus voorbij en is de GDPR volledig van kracht.
De sancties
Iedereen heeft het erover: de enorme GDPR sancties. De gegevensbeschermingsautoriteit in België beschikt over de bevoegdheid om een administratieve geldboete op te leggen indien je niet voldoet aan de regels m.b.t. informeren, toestemming en beveiliging. De maximumboete (bv. voor het niet rechtmatig verkrijgen van toestemming of niet voldoen aan de regels omtrent data-uitwisseling met niet EU-landen) is 20 miljoen euro of 4% van de wereldwijde omzet. Hoewel het gaat om maximale bedragen bepaalt de GDPR wel dat de gegevensbeschermingsautoriteit ervoor moet zorgen dat de geldboete afschrikkend is. Een inbreuk ‘afkopen’ zal dus niet zomaar gaan. Het is daarom belangrijk om je bewust te zijn van alle persoonsgegevens die je verwerkt.
Jouw website GDPR-proof in 7 stappen
1. Anonimiseren van ip-adres
Google analytics verzamelt heel wat gegevens over de bezoekers van je website. Je mag geen e-mailadressen, namen, postcodes, telefoonnummers of andere persoonsgegevens in de URL van een pagina verwerken. Verder gebruikt Google Analytics ook het ip-adres van bezoekers. Volgens de huidige GDPR-regels moet dit IP-adres geanonimiseerd worden, zodat het niet volledig herleidbaar is tot een individu.
2. Cookiebeleid
Voor iedere cookie die een bezoeker apart kan identificeren, moet toestemming gegeven worden. Zomaar instellen dat gebruikers de cookies automatisch accepteren als ze de website bezoeken mag niet. Bezoekers moeten een echte keuze krijgen.
3. Privacyverklaring
Een privacyverklaring is verplicht op je website zodra je persoonsgegevens verzamelt. In de privacyverklaring moet je duidelijk (en in begrijpelijke taal) aangeven welke gegevens je verwerkt, waar ze worden opgeslagen en waarom je ze gebruikt. Daarnaast moet je gebruikers de mogelijkheid geven om hun gegevens in te kijken, te corrigeren, over te dragen of te laten verwijderen.
4. Aanpassen van formulieren
De meeste websites hebben contactformulieren, offerteformulieren of inschrijfformulieren voor een nieuwsbrief. Elk formulier bevat invulvelden waarmee je persoonsgegevens verzamelt. Met de GDPR mag je alleen gegevens vragen die je echt nodig hebt. Een telefoonnummer vragen bij inschrijving voor een maandelijkse nieuwsbrief is dus meestal niet toegestaan. Alle onnodige velden moeten verwijderd worden. Bij elk formulier moet je ook een expliciete aanvaarding van je privacyverklaring voorzien, bijvoorbeeld via een checkbox of een duidelijke melding over de verwerking van de gegevens.
5. SSL-certificaat
Beschikt je website over een geldig SSL-certificaat? Dat zie je doordat er https:// voor je domeinnaam staat. Is dat niet het geval, dan moet je dit zo snel mogelijk in orde brengen. Met zo’n certificaat zorg je voor een betere beveiliging van persoonsgegevens en voor encryptie bij het versturen van ingevulde data.
6. Toegang beperken tot CMS (beheergedeelte)
Wie heeft vandaag toegang tot je CMS-systeem? Ga na of deze gebruikers daar een geldige reden voor hebben. Geef niet zomaar iedereen toegang tot het beheergedeelte van je website, want ook daar zijn persoonsgegevens te vinden. Het kan bijvoorbeeld gebeuren dat ex-werknemers nog steeds toegang hebben tot het beheersysteem van je website.
7. Updates & onderhoud
Na de oplevering van je website ben je zelf verantwoordelijk voor de veiligheid ervan. Het onderhouden en updaten van CMS-websites is één van de belangrijkste manieren om datalekken te voorkomen.
