Wat is de GDPR?

Een persoonsgegeven is elk gegeven dat te herleiden is naar een natuurlijk individueel persoon. Dus heb je een formulier op je website, of registreer je bezoekersinformatie op basis van IP adres, dan geldt de GDPR voor jou. De GDPR heeft invloed op je website, je klantenbestand, de administratie en marketing. Bedrijven die de GDPR naast zich neerleggen, lopen het risico op een fikse boete die kan oplopen tot € 20 miljoen of 4 procent van de wereldwijde jaaromzet.

Wat betekent de GDPR voor kleine bedrijven/ MKB bedrijven?

In heel Europa gelden straks dezelfde regels, en dat is handig als jouw website ook op een doelgroep in het buitenland is gericht. Of als je in de toekomst naar het buitenland wilt uitbreiden.

Een voordeel van de GDPR: in de gehele EU gelden straks dezelfde privacyregels.

GDPR eisen en uitgangspunten

De nieuwe wet bestaat uit allerlei nieuwe eisen en uitgangspunten. Dat maakt het invoeren van de GDPR vrij lastig – zeker voor kleine bedrijven – want wat er moet gebeuren kan per bedrijf en markt verschillen. De volgende uitgangspunten moet elk bedrijf straks toepassen:

Transparantie

Je moet openheid kunnen geven over hoe jouw bedrijf persoonsgegevens verwerkt. Dat betekent dat je privacyverklaring in een heldere taal geschreven moet zijn. Kort en overzichtelijk. Daarin leg je uit hoe jouw bedrijf omgaat met persoonsgegevens. Zorg ook dat elke medewerker die werkt met persoonsgegevens de nieuwe privacywetgeving begrijpt.

Toestemming of ‘rechtsgrond’

De tijd van klakkeloos persoonsgegevens verzamelen en gebruiken is voorbij. Je hebt een rechtsgrond nodig. Heb je een webshop? Dan heb je natuurlijk naam- en adresgegevens nodig om je pakket te versturen. Wil je een geboortedatum zodat je bijvoorbeeld een kaartje kan sturen? Dan moet je die reden ook geven, en je mag het geen verplicht veld maken. Het gaat dus om duidelijke uitleg over het doel van wat je vraagt aan gegevens.

Aansprakelijkheid

Je bent verantwoordelijk voor alle persoonsgegevens binnen jouw bedrijf. Ook als die door externe partijen worden opgeslagen of toegepast. Zoals bijvoorbeeld MailChimp doet: die partij houdt voor jou e-mailgegevens bij en registreert het klikgedrag. Als bedrijf moet jij je dus inlezen hoe die partijen omgaan met de persoonsgegevens van jouw klanten.

Privacy by default

Standaard moet je de privacy van je klanten op de hoogste setting zetten. Dat betekent dat je niet ongevraagd iemands websitebezoek en IP-adres mag registreren. Bij iedere persoonsgegeven moet jij je daarom afvragen: heb ik dat wel echt nodig?

Privacy by design

Bedenk je een nieuw product of dienst? Dan moet je direct rekening gaan houden met de privacy. Persoonsgegevens verzamelen bijvoorbeeld via een verplichte registratie, mag alleen als dat nodig is voor het kunnen leveren van je product of dienst.

Datalek

Je moet er alles aan doen om persoonsgegevens veilig te bewaren. Toch een datalek door een verloren USB-stick of laptop? Dan moet je dat binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Dat was al zo onder de wet Datalekken. Die gaat per 25 mei 2018 dus op in de GDPR, net als de Cookiewet.

De Meldplicht datalekken gaat per 2018 ook op in de GDPR

Voor het volledig verhaal verwijzen we je graag door naar de officiële wetgeving óf een gespecialiseerd GDPR-specialist of jurist.

10 Online zaken om te regelen voor de GDPR

Het gaat om vier hoofdvragen die je continu moet stellen: welke persoonsgegevens sla ik op? Hoe gebruik ik die? Waar sla ik die op en wie kan er bij? Heb ik die gegevens nog wel nodig? Met het typische midden- en kleinbedrijf in gedachte, hier de belangrijkste online actiepunten:

1. Formulieren

Je mag alleen vragen om informatie die je nodig hebt. Dus een telefoonnummer of e-mailadres om te kunnen reageren, of een adres om een brochure te versturen. Wil je die gegevens ook voor iets anders gebruiken? Dan moet je dat expliciet vragen. Bijvoorbeeld: “Mogen we jouw schoenmaat zodat we jou kunnen informeren over aanbiedingen die jij past?” Verwijder gegevens die je niet gebruikt, zoals reacties op een prijsvraagformulier.

2. Privacyverklaring

Kort en bondig. In Jip-en-Janneketaal. Hier leg je precies uit welke persoonsgegevens je waar verzamelt, waarom en wat ermee gebeurt. Bovendien geef je opties om persoonsgegevens op te vragen, te verwijderen of te verplaatsen naar een concurrent. Je noemt ook de verantwoordelijke binnen het bedrijf die gaat over privacy. Maak in je privacy statement duidelijk dat je Google Analytics gebruikt. Hierbij geef je aan dat je het delen van informatie hebt uitgezet, dat je een verwerkingsovereenkomst hebt afgesloten met Google en dat je daarmee voldoet aan de richtlijnen van het College Bescherming Persoonsgegevens.

3. Google Analytics

Gebruik je Google Analytics, dan moet je een verwerkingsovereenkomst sluiten met Google. Google is namelijk een dataverwerker die je toestemming geeft om de persoonsgegevens van jouw bedrijf te verwerken. Dat is een simpele handeling gelukkig. Een ander aandachtspunt is het IP-adres, dat is namelijk een persoonsgegeven. Vraag je nieuwe bezoekers niet vooraf om hun akkoord, dan moet je het IP-adres laten anonimiseren.

Om een bewerkersovereenkomst met Google af te sluiten ga je naar [Accountinstellingen] en vervolgens op de button [Aanpassing bekijken].

Hierna opent er een scherm met de inhoud van de verwerkingsovereenkomst. Dit is een enorme lap tekst waarin een paar interessante pagina’s staan over het delen van gegevens. Lees de overeenkomst goed door en klik niet zomaar op accepteren. Aan de andere kant heb je niet heel veel keus als je Analytics wilt blijven gebruiken.

4. Cookiebeleid

Gelukkig hoef je niet langer expliciet toestemming te vragen voor het plaatsen van niet privacygevoelige cookies. Een zichtbare melding in je scherm is voldoende. De tekst “Doordat je deze website bezoekt, gaan we ervan uit dat je akkoord gaat met cookies” mag straks niet meer onder de GDPR. Voor iedere cookie die een bezoeker apart kan identificeren, moet toestemming worden gegeven. Daardoor kun je niet meer ongevraagd mensen over verschillende websites volgen. Een cookiewall, waarmee je gebruikers verplicht cookies te accepteren voordat ze de site mogen bekijken, mag je straks niet meer gebruiken. Per 25 mei kun je als gebruiker via de browserinstelling aangeven of je analytische en tracking cookies wel of niet wilt accepteren.

5. Bezoekers opnemen

Met analytische software kun je heel mooi zien wat je bezoekers op je site doen. Hun bezoeksessie neem je hiermee op, inclusief muisbewegingen. Zorg er daarom voor dat je niet het invullen van velden opneemt, en dat alle persoonsgegevens zijn geanonimiseerd.

6. Stop met het delen van gegevens

In het beheer dashboard van Google Analytics (open [Accountinstellingen]) dien je alle vinkjes met betrekking tot het delen van informatie uit te zetten.

7. Pas de trackingcode aan en anonimiseer het IP adres van de gebruiker

Met een kleine aanpassing zorg je ervoor dat Google Analytics altijd wordt aangeroepen middels het https-protocol waardoor de gegevens versleuteld worden verzonden. Daarnaast zorgt het toevoegen van onderstaande regels, aan je trackingcode, ervoor dat het IP adres van de bezoeker niet volledig wordt doorgegeven aan Google.

ga('set', 'forceSSL', true) //Gebruik https

ga('set', 'anonymizeIp', true) //zet IP-masker aan

8. HTTPS

Met een SSL-certificaat beveilig je je website. Er komt dan HTTPS voor je URL, waaraan bezoekers zien dat hun bezoek is beveiligd. Onder de GDPR ben je verplicht om te zorgen voor een optimale beveiliging van persoonsgegevens. Sla je formulieren of nieuwsbriefaanmeldingen op via je site? Dan is HTTPS verplicht.

Verzamel je met je website persoonsgegevens? Dan is een HTTPS verbinding verplicht.

9. Gebruikers aanmaken

Formulieren en nieuwsbrief-plugins op je website bevatten persoonsgegevens. Geef je iemand toegang tot de admin van je site, dan moet die persoon daar ook een geldige reden voor hebben. Die reden moet je apart gaan vastleggen, zodat helder is wie waarom toegang heeft tot persoonsgegevens. Onnodige accounts moet je verwijderen.

10. Hosting

Maakt jouw hostingpartij een back-up van je website? En kan hij direct in de gegevens kijken van jouw website? Onder de GDPR is je hoster een dataverwerker en heb je een overeenkomst nodig.

11. Up to date

Na oplevering van je website ben je verantwoordelijkheid voor de veiligheid ervan. Ben je hier niet goed in thuis? Deze taken kun je met een onderhoudscontract overdragen aan je websitebouwer of hoster. Anders moet jij zorg dragen voor het tijdig updaten van je CMS en eventuele plugins.

12. Nieuwsbrief versturen? Of CRM?

Elke externe partij waarmee je je nieuwsbrief verstuurt, is een dataverwerker waarmee je straks een overeenkomst nodig hebt. Een e-mailadres en klikgedrag zijn persoonsgegevens.

Bewustwording

Bewustwording is een belangrijke stap in het toepassen van de GDPR. Deze 12 actiepunten zijn een heel goed begin, maar er is meer. Je moet bijvoorbeeld ook een beleid vaststellen, waarin je vastlegt wat je doet bij een datalek. De Autoriteit Persoonsgegevens dat straks de GDPR handhaaft, kijkt ook achteraf naar je inspanningen.
Lees de officiële wetgeving voor regels die specifiek gelden voor uw organisatie.