Hoe maak ik mijn website GDPR compliant?

Hoe maak ik mijn website GDPR compliant? Een veelgehoorde vraag sinds de nieuwe wetgeving daaromtrent van toepassing werd. Hierbij overlopen we in enkele stappen de voornaamste zaken die u op orde moet hebben voor de GDPR:

1. Vermeld dat u alle passende maatregelen neemt om de privacy van de betrokkene optimaal te beschermen en dit overeenkomstig is met de Algemene Verordening Gegevensbescherming (AVG) en met betrekking tot de Verwerking van Persoonsgegevens.

Indien u nooit gegevens beschikbaar stelt aan derden voor commerciële doeleinden, vermeld dit dan expliciet. Beschrijf ook hoe u gegevens verzamelt en welke dan, bv. het type browser, IP-adres, naam van de betrokkene en diens e-mailadres en dat deze worden verkregen via Google Analytics, cookies of wanneer de klant ze zelf verstrekt door het invullen van een formulier op de website. Ook moet u zeker vermelden waarvoor ze gebruikt worden, of u met andere partijen samenwerkt en hoe lang gegevens bewaard worden. Dit kan u samenbrengen in een zgn. “Verwerkingsregister”.

2. U mag niet zomaar persoonsgegevens verwerken. Volgens AVG zijn er 6 wettelijke grondslagen en moet u er aan minstens 1 van voldoen als u gegevens verwerkt.

• U heeft toestemming van betrokkene,
• Noodzakelijk om een overeenkomst te kunnen uitvoeren,
• Noodzakelijk om wettelijke plichten na te komen,
• Noodzakelijk ter bescherming van vitale belangen,
• Noodzakelijk voor het vervullen van taak van algemeen belang of het uitoefenen van het openbaar gezag,
• Noodzakelijk voor behartiging van gerechtelijke belangen.

Meestal zal dit verwerken kaderen onder punt 1 en/of 2. Verwerken van bijzondere persoonsgegevens (bv. gezondheidsinfo) en strafrechtelijke persoonsgegevens is verboden, tenzij u aan een aantal strenge extra voorwaarden voldoet. Als u cookies verzamelt, moet u dit ook vermelden. Functionele cookies, die noodzakelijk zijn voor het functioneren van uw website zijn toegelaten zonder toestemming, zoals taalkeuze onthouden, login, winkelmandje, …. Analytische cookies zijn enkel toegelaten als ze weinig gevolgen hebben voor de privacy van betrokkene. Trackingcookies zijn enkel toegelaten na uitdrukkelijke toestemming van de betrokkene!

3. Vraag steeds toestemming aan de betrokkene voor het verwerken van persoonsgegevens. Vergeet zeker geen toestemming te vragen voor eventuele trackingcookies en het sturen van bv. een nieuwsbrief. Het is niet voldoende om enkel een uitschrijflink te voorzien.
4. Publiceer een privacy policy op uw website.
5. Publiceer een veiligheidsbeleid op uw website en leg daarin duidelijk uit hoe u de gegevens van de betrokkene beschermt tegen virussen, hackers, datalekken, verlies, … en welke maatregelen genomen worden als er toch inbreuken vastgesteld worden. Dit kan worden opgenomen in de privacy policy.
6. Maak met alle partijen verwerkersovereenkomsten op die in uw opdracht persoonsgegevens verzamelen, denk hierbij aan leveranciers, transportdiensten, hostingsprovider, …
7. Vergeet ook zeker niet te melden dat de rechten die de betrokkene heeft, kort samengevat kan worden in volgende rechten :

• Recht op inzage van gegevens
• Recht op rechtzetting
• Recht op beperking van verwerking
• Recht om te worden vergeten
• Recht om klacht in te dienen
• Recht om toestemming in te trekken
• Recht op overdraagbaarheid
• Recht tot verzet tegen geautomatiseerde verwerking

8. Vraag op contactformulieren alleen de gegevens die u echt nodig heeft voor het beoogde doel. Invulvelden voor data die u niet nodig heeft, zijn bij wet verboden.
9. Maak gebruik van HTTPS (SSL-encryptie) om de verbinding tussen de bezoeker en de server te encrypteren tegen hacking. Dit is strikt gezien een verplichting sinds 25/05/2018. Bovendien is het ook goed voor uw positie in Google. Momenteel zet Google een veilige website hoger in de zoekresultaten dan een website zonder SSL-certificaat.
10. Beperk het aantal personen dat toegang heeft tot de persoonsgegevens die worden verzameld via uw website.
11. Zorg ervoor dat uw website steeds up to date is, zodat u kan aantonen dat alle passende maatregelen werden genomen tegen eventuele data diefstal.
12. Anonimiseer cookies van Google Analytics, zodat u wel op legale manier data kan blijven verzamelen.
13. Vinkjes mogen standaard niet zijn aangevinkt. De GDPR wetgeving verwacht immers een expliciete toestemming.
14. Vermeld zeker wie men kan contacteren met vragen over de verwerking van persoonsgegevens, ook als de gegevens erbij staan vermeld, zodat de mensen contact kunnen opnemen.
15. Alle bedrijfsgegevens moeten op de website vermeld worden, zeker het btw-nummer niet vergeten!
16. Hebt u toch een datalek vastgesteld? Dan bent u verplicht om binnen de 72 uur na vaststelling hiervan melding te maken bij de privacy commissie en de getroffen persoon (of personen).

Dit is slechts een beknopte leidraad met de meest elementaire zaken. Vragen omtrent de GDPR-wetgeving van 25 mei 2018? Contacteer ons en één van onze accountmanagers zal u te woord staan hoe we u hierbij kunnen helpen.