Meer informatie over GDPR en website-compliance


Wat is GDPR?

Waar staat GDPR voor?


GDPR (General Data Protection Regulation, ofwel Algemene Verordening Gegevensbescherming), is de belangrijkste verandering in de gegevensbescherming in decennia. De regulatie verplicht bedrijven om persoonsgegevens en de privacy van EU-bewoners te beschermen. Het introduceert strengere boetes voor het niet naleven van de wet en inbreuken, en geeft mensen meer inspraak over wat bedrijven met hun gegevens kunnen doen. Alle bedrijven met werkzaamheden in de EU moeten conform zijn met de GDPR.

Waarom GDPR?


Het algemene doel van de GDPR is om burgers hun controle over hun persoonsgegevens terug te geven en om de wetgeving voor internationale bedrijven te versimpelen, door de data- en privacywetgevingen universeel te maken. GDPR is een wetgeving die een richtlijn vervangt (de databeschermingsrichtlijn). Met een wetgeving, kan GDPR helpen om data- en gegevensregulatie in de EU universeel te maken, om administratie te verminderen en tegenstrijdigheden binnen de lokale wetten te verhelpen. Met richtlijnen heeft iedere deelstaat, ten opzichte van een wetgeving, discretie met betrekking tot de implementatie van databeschermingswetgeving, waardoor het van land tot land kan verschillen.

Voor wie is GDPR van toepassing?


Hoewel de regulatie afkomstig is van de EU, is het ook geldig voor bedrijven buiten de EU die goederen en diensten (betaald of gratis) aanbieden aan of die het gedrag van individuen bijhouden in de EU. Onder de voormalige databeschermingsrichtlijn moest een bedrijf alleen voldoen aan de databeschermingswet als deze gevestigd was in een land van de EU of als er hulpmiddelen werden gebruikt in een land van de EU om data te verwerken. De nieuwe wetgeving is echter ook geldig voor alle bedrijven die goederen of diensten aanbieden aan individuen in de EU, of die het gedrag van zulke individuen bijhouden. Dit is een brede uitbreiding van de vereisten die invloed zal hebben op veel meer organisaties over de wereld.

Wat zijn de sancties?


De sancties van de GDPR kunnen een maximum van 20 miljoen euro bereiken, of 4 procent van de jaarlijkse omzet van de organisatie (welk van de twee het grootst is), afhankelijk van de feiten en omstandigheden van het geval. Veder zijn ook voor de eerste keer collectieve klachten toegestaan, wat resulteert in blootstelling van zowel wetnaleving en privéklachten voor dezelfde overtreding.

Wat zijn persoonsgegevens?


Persoonsgegevens is alle informatie die betrekking heeft op een geïdentificeerd of identificeerbaar levend persoon. Verschillende gegevens die bijeengebracht kunnen leiden tot de identificatie van een bepaalde persoon, vallen ook onder persoonsgegevens. Persoonsgegevens die gedeïdentificeerd, versleuteld of geanonimiseerd zijn, maar nog steeds kunnen worden gebruikt om een persoon opnieuw te identificeren, zijn nog steeds persoonsgegevens en vallen binnen de wet. Persoonlijke gegevens die anoniem zijn gemaakt op zo’n manier dat het individu niet of niet langer identificeerbaar is, vallen niet langer onder persoonsgegevens.Om de gegevens daadwerkelijk anoniem te maken, moet de anonimisatie onomkeerbaar zijn. Voorbeelden van persoonsgegevens zijn naam, achternaam, een e-mailadres zoals [email protected], een thuisadres, id-kaartnummer, cookie ID, Internet Protocol (IP). Voorbeelden van data die niet onder persoonsgegevens vallen, zijn een bedrijfsregistratienummer, een e-mailadres zoals [email protected] en geanonimiseerde gegevens.

De overdracht van gegevens buiten de EU


Persoonsgegevens kunnen uit de Europese Economische Ruimte (EER), die alle EU-landen en de niet-EU-landen IJsland, Liechtenstein en Noorwegen omvat, doorstromen naar derde landen, zonder verdere garantie als de Europese Commissie heeft bevestigd dat het land adequate bescherming biedt. Landen met een bevestiging van adequate bescherming zijn Andorra, Argentinië, Canada (commerciële organisaties), de Faeröer, Guernsey, Israel, Isle of Man, Jersey, Nieuw-Zeeland, Zwitserland, Uruguay en de Verenigde Staten (beperkt tot het Privacy Shield kader), voor het bieden van adequate bescherming. Er zijn nog gesprekken gaande met Japan en Zuid-Korea.

Wie handhaaft de GDPR?


De GDPR handhaving wordt uitgevoerd door gegevensbeschermingsautoriteiten (DPA’s), die deskundig advies bieden op het gebied van databeschermingskwesties, en die klachten over schendingen van de GDPR behandelen. Er is er een in iedere EU-lidstaat. Het hoofdcontactpunt voor vragen over gegevensbescherming is de DPA in de EU-lidstaat waar uw bedrijf/organisatie gevestigd is. Als uw bedrijf/organisatie echter in andere EU-lidstaten data verwerkt of onderdeel is van een groep bedrijven gevestigd in verschillende EU-lidstaten, kan dat hoofdcontactpunt een DPA zijn in een andere EU-lidstaat.

Hebben we een Functionaris voor Gegevensbescherming nodig?


Uw bedrijf/organisatie moet een Functionaris voor Gegevensbescherming (DPO) aanstellen, of het nu een controleur of een verwerker is, als de belangrijkste activiteiten gaan om het verwerken van gevoelige gevens op grote schaal, of het volgen van individuen op grote schaal, reguler en systematisch. Wat dat betreft omvat het volgen van het gedrag van individuen alle vormen van tracken en profileren op hete internet, ook voor doeleinden van adverteren op basis van gedrag. De DPO kan een staflid van uw organisatie zijn, of kan extern worden gecontracteerd op basis van een dienstcontract. Een DPO kan een individu of een organisatie zijn. De GDPR is gebaseerd op een risico-aanpak en organisaties worden aangemoedigd om beschermende maatregelen te nemen die aansluiten bij het risiconiveau van hun dataverwerkingswerkzaamheden.

Geldt de GDPR voor kleine & middelgrote bedrijven?


Ja, de toepassing van de verordening inzake gegevensbescherming is niet afhankelijk van de grootte van uw bedrijf / organisatie, maar van de aard van uw activiteiten. Activiteiten met hoge risico’s voor de rechten en vrijheden van het individu, ongeacht of zij door een KMO of door een groot bedrijf worden uitgevoerd, leiden tot de toepassing van strengere regels. Sommige plichten van de GDPR zijn echter niet van toepassing voor alle KMO’s. Bedrijven met minder dan 250 werknemers hoeven bijvoorbeeld geen register van hun verwerkingsactiviteiten bij te houden, tenzij de verwerking van persoonsgegevens een regelmatige activiteit is, een bedreiging vorm voor de rechten en vrijheden van het individu, of betrekking hebben tot gevoelige gegevens of een strafregister. Op dezelfde manier hoeft de KMO enkel een Functionaris voor Gegevensbescherming aan te stellen in het geval dat het verwerken hun hoofdbezigheid is en bepaalde bedreidgingen vormt voor de rechten en vrijheden (zoals het bijhouden van individuen of het verwerken van gevoelige gegevens of strafregisters) in het bijzonder wanneer dit op grote schaal wordt gedaan.

Wat moeten we doen in het geval van een data-inbreuk?


Een inbreuk doet zich voor wanneer de gegevens waarvoor uw bedrijf / organisatie verantwoordelijk is, wordt getroffen door een beveiligingsincident wat resulteert in een schending van de vertrouwelijkheid, beschikbaarheid of integriteit. Als dat gebeurt, en het waarschijnlijk is dat de inbreuk een risico vormt voor de rechten en vrijheden van een individu, moet uw bedrijf / organisatie moet de toezichthoudende autoriteit daarvan op de hoogte worden gesteld, onverwijld en uiterlijk binnen 72 uur na de bewustwording van de inbreuk. Als u een bedrijf/organisatie hebt met als hoofdzakelijke bezigheid het verwerken van data, moet iedere datacontroleur op de hoogte worden gebracht van de datainbreuk.

Hoe kan ik onze organisatie conform maken met de GDPR?


De Algemene Verordening Gegevensbescherming (AVG/GDPR) is gebaseerd op een risico-aanpak. Bedrijven / organisaties die persoonsgegevens verwerken, worden aangemoedigd om beschermende maatregelen te nemen, overeenkomstig met het niveau van het risico van hun gegevensverwerkingsprocessen. Daarom zijn de plichten van een bedrijf dat grote hoeveelheden data verwerkt strenger dan dat van een bedrijf dat een kleine hoeveelheid gegevens verwerkt. De kans dat een bedrijf/organisatie dat een grote hoeveelheid gegevens verwerkt een functionaris voor gegevensbescherming aanstelt, is bijvoorbeeld hoger dan dat een bedrijf/organisatie dat een kleine hoeveelheid data dit doet. Tegelijkertijd spelen de aard van de persoonsgegevens en de invloed van de beoogde verwerking ook een rol. Het verwerken van een kleine hoeveelheid data, die echter wel van gevoelige aard is, bijvoorbeeld gezondheidsgegevens, vereist de implementatie van strengere maatregelen om conform te zijn met de GDPR.

Hoe maak ik een website conform met de GDPR?


De Algemene Verordening Gegevensbescherming (AVG/GDPR) is gebaseerd op een risico-aanpak. Bedrijven / organisaties die persoonsgegevens verwerken, worden aangemoedigd om beschermende maatregelen te nemen, overeenkomstig met het niveau van het risico van hun gegevensverwerkingsprocessen. Daarom zijn de plichten van een bedrijf dat grote hoeveelheden data verwerkt strenger dan dat van een bedrijf dat een kleine hoeveelheid gegevens verwerkt. De kans dat een bedrijf/organisatie dat een grote hoeveelheid gegevens verwerkt een functionaris voor gegevensbescherming aanstelt, is bijvoorbeeld hoger dan dat een bedrijf/organisatie dat een kleine hoeveelheid data dit doet. Tegelijkertijd spelen de aard van de persoonsgegevens en de invloed van de beoogde verwerking ook een rol. Het verwerken van een kleine hoeveelheid data, die echter wel van gevoelige aard is, bijvoorbeeld gezondheidsgegevens, vereist de implementatie van strengere maatregelen om conform te zijn met de GDPR.

Wordt mijn website beïnvloed door GDPR?


Als uw organisatie / bedrijf communiceert of zaken doet met EU-burgers, bijvoorbeeld als u producten / diensten verkoopt of online het gedrag van individuen bijhoudt, dan is de GDPR van toepassing op u. Als u hulpmiddelen van derde partijen gebruikt, van bijvoorbeeld Google of Facebook, die persoonsgegevens verzamelen, dan dient u een geldige toestemming te verkrijgen voordat een cookie of trackingshulpmiddel op de computer van de bezoeker wordt geplaatst. Als u via contactformulieren of nieuwsbrieven gegevens van EU-inwoners verzamelt, dan is de GDPR ook van toepassing op u en dient u de wet na te leven met betrekking tot hun persoonsgegevens.

Bent u zich bewust van de trackers op uw website?


Veel websites maken gebruik van tracking-technologieën, waaronder cookies, pixels en labels, om te adverteren, statistieken te verzamelen statistieken en marketingcampagnes uit te voeren. Onder de GDPR bent u verantwoordelijk voor het op de hoogte stellen en het verkrijgen van toestemming voor elk van deze technologieën. Zorg ervoor dat u een web-audit van uw website doet, om te zien welke trackers u ingeschakeld hebt. Als u er niet zeker van bent welke trackers u op uw website hebt, kunt u het gratis hulpmiddel gebruiken. Het is gratis en geeft u binnen 5 minuten resultaat.

Verzamelt u toestemmingen op de juiste manier?


Er zijn specifieke eisen om geldige toestemming te verkrijgen. De toestemming moet geïnformeerd, ondubbelzinnig, expliciet, vrijwillig gegeven, en specifiek zijn, de gever moet het recht hebben zich terug te trekken en de tekst is geschreven in een duidelijke taal, die duidelijk zichtbaar is. Voor geïnformeerde toestemming dient het individu ten minste de volgende informatie te ontvangen:

de identiteit van de organisatie die data verwerkt;

de doeleinden voor het verwerken van de data;

het soort data dat verwerkt zal worden;

de mogelijkheid om de gegeven toestemming terug te nemen (bijvoorbeeld een afmeldlink aan het einde van een e-mail);

of de toestemming gerelateerd is aan een internationale overdracht, de mogelijke risico’s van dataoverdrachten aan andere landen. Hieronder ziet u een voorbeeld van het communiceren en ontvangen van een geldige toestemming:

  1. Toestemming moet bevestigend, specifiek en ondubbelzinnig zijn
  2. Gegevens over ontvangers en gegevenscontroller
  3. Doel van de verwerking en kennisgeving van profilering
  4. Looptijd
  5. Intrekken toestemming
  6. Link om te klagen, te corrigeren en gegevens over te dragen
  7. Kan weigeren

Zijn uw privacy banners bevestigend?


De standaard tekst die is opgenomen in Cookienotificaties is “door het gebruik van deze site, gaat u akkoord met cookies” zal niet voldoende zijn onder de GDPR, omdat het alleen toestemming impliceert, dubbelzinnig is en te algemeen is. Nu hebt u granulaire niveaus van controle nodig, met verschillende toestemmingen voor het tracken en analyseren van cookies, en voor mechanismes voor signalen van klantentoestemmingen. Ze moeten een bevestigende actie uitvoeren.

Hebt u het gemakkelijk gemaakt om toestemming in te trekken?


Het moet net zo gemakkelijk om toestemmingen in te trekken, als het is om toestemming te geven. Als toestemming wordt ingetrokken, kan uw bedrijf/organisatie de gegevens niet langer verwerken. Zodra de toestemming is ingetrokken, moet uw bedrijf/organisatie zorgen dat de gegevens worden verwijderd, tenzij ze op andere legale grond kunnen worden verwerkt (bijvoorbeeld voor opslagvereisten of voor zover het nodig is om het contract te vervullen). Als de gegevens voor meerdere doeleinden werken verwerkt kan uw bedrijf/organisatie de persoonsgegevens niet langer gebruiken voor het gedeelte van de verwerking waarvoor de toestemming is teruggetrokken, of voor de andere doelen, afhankelijk van de aard van de terugtrekking van de toestemming. Bijvoorbeeld: U biedt een online nieuwsbrief die u toestaat om alle gegevens van hun interesses te gebruiken, om een profiel op te stellen van wat voor artikelen zij gebruiken. Na een jaar informeren ze u dat ze de online nieuwsbrief niet langer willen ontvangen. U moet alle persoonsgegevens gerelateerd aan die persoon in de context van het nieuwsbriefabonnement, uit uw database verwijderen, inclusief de profiel(en) gerelateerd aan deze persoon.

Hebt u de plugins van derde partijen die data verwerken genoemd?


Uw privacybanners moeten iedere partij voor wie de toestemming geldig is duidelijk identificeren. Het is niet voldoende om de categorienaam te noemen, zoals analytics, maar de identiteit van de organisatie, bijvoorbeeld Google, die de data verwerkt, moet ook worden vermeld.

Hoe kunnen bezoekers en klanten contact met u opnemen voor persoonsgegevens?


Particulieren kunnen contact opnemen met uw bedrijf / organisatie om hun rechten onder de GDPR uit te oefenen (recht van toegang, correctie, wissen, draagbaarheid, enz.). Wanneer persoonsgegevens worden verwerkt door elektronische middelen, moet uw bedrijf / organisatie elektronische middelen bieden voor de aanvragen. Uw bedrijf / organisatie moet op het verzoek reageren zonder onnodige vertraging, en in principe binnen 1 maand nadat het verzoek is ontvangen. Het kan hen vragen om verdere informatie om de identiteit van de persoon die het verzoek plaatst te bevestigen. Als uw bedrijf/organisatie het verzoek afwijst, dan moet het de persoon op de hoogte stellen van de redenen hiervoor en van hun recht om een klacht in te dienen bij de Databeschermingsautoriteit, en om een juridische oplossing te vinden.

Hebt u bewijs van geldige toestemming?


GDPR vereist dat u bewijzen bijhoudt van uw toestemming – wie, wanneer, hoe en wat u mensen hebt verteld. Een goede praktijk zou zijn om zowel de gegeven toestemmingen en de afwijzingen van bezoeken en klanten bij te houden wanneer u hun persoonsgegevens verwerkt.

Hebt u uw gegevens- en privacybeleid bijgewerkt?


U moet uw partnerbeleidslijnen bijwerken, bijvoorbeeld een databeschermingsbeleid. Het is belangrijk voor bedrijven om gedocumenteerde beleidslijnen paraat te hebben, zodat uw werknemers goed begrijpen wat er van hen wordt vereist. Deze beleidslijnen kunnen informatie bevatten zoals een trainingsbeleid, informatieveiligheidsbeleid, een procedure voor het bewaren van gegevens, toegang tot verzoeksformulier en procedure, privacyprcedure, internationale gegevensoverdrachtsprocedure, gegevensportabiliteitsprocedure en een klachtenprocedure.

Hebt u uw mailinglijsten opgeschoond?


Zorg ervoor dat het schoonmaken van uw e-mail databases. Als uw database van abonnees niet werden verzameld volgens GDPR normen, dan moet u bevestigen dat u de nodige toestemming hebben ontvangen. Dit kan onder meer het verzenden van hen een re-toestemming e-mail zodat ze kunnen kiezen om opnieuw te kiezen. Dit zal een bewijs van toestemming en maak uw bedrijf GDPR compliant.

Bent u het verzamelen van te veel informatie?


GDPR introduceert het concept van dataminimalisatie, die verplicht stelt u zo veel data verzamelen alleen als nodig is om een ​​bepaalde taak te volbrengen. Dus, terwijl het makkelijk om een ​​extra veld toe te voegen aan informatie over telefoonnummer, geslacht en locatie verzamelen, kunnen zijn, moet je om te evalueren of het nodig is om de aanvraag te verwerken. Daarnaast kunnen gegevens die zijn verzameld voor een doel niet worden hergebruikt zonder verdere toestemming.