GDPR Compliant ?

Image

1. Externe dienstverleners

Van zodra je een website host maak je gebruik van de service van een externe dienstverlener. Deze hostingprovider heeft in theorie toegang tot alle gegevens op jouw website. Eventueel maak je gebruik van bepaalde extra functionaliteiten (plugins) zoals Mailchimp, Google (Analytics), Facebook, ... Vaak zijn deze bedrijven buiten Europa gevestigd en maken ze gebruik van niet-Europese servers voor gegevensopslag. In hun gebruikersovereenkomsten staat vaak opgenomen dat ze de gegevens doorspelen aan andere bedrijven. In dit geval ben je als verantwoordelijke gegevens aan het doorgeven en exporteren. In de meeste gevallen wordt er ook een extern bureau ingehuurd om de website te ontwikkelen en te beheren. Ook zij hebben toegang tot alle data.
Het is belangrijk dat je de nodige GDPR-conforme overeenkomsten afsluit met deze bedrijven om zo aan alle GDPR-verplichtingen te voldoen.

2. Plugins

Een CMS (Content Management System) bevat tal van plugins. Denk maar aan Mailchimp, Buddypress, E-commerce pakketten, bezoekers-statistieken, backups, spamfilters verzamelen gegevens. Het is voor al deze plugins noodzakelijk om GDPR compliant te zijn.

3. Duur

Welke gebruikers hebben toegang tot jouw website en welke persoonsgegevens worden bewaard en of deze niet langer bewaard worden dan noodzakelijk is.

4. Expliciete bevestiging van de klant nodig (Opt-ins)

In bepaalde gevallen kan je niet anders dan persoonsgegevens te verzamelen, denk maar aan betaalde abonnementen waar je bankgegevens nodig hebt , of in je E-commerce shop om wettelijke facturen voor je boekhouding aan te maken of om een nieuwsbrief te kunnen versturen of om extra veiligheidscontroles uit te voeren (bv checken of de gebruiker zich op een logische plek in de wereld bevindt)
Let wel dat je voor dit extra verwerkingsdoel een aankruisvakje voorziet waardoor je kan aantonen dat er uitdrukkelijk voorafgaandelijke toestemming werd gegeven via een opt-in. Let wel: dit vakje mag standaard niet aan staan, en het mag natuurlijk ook geen vereist veld zijn aan een offerteformulier. Gebruikers moeten bewust aangeven dat ze de verwerking van hun persoonsgegevens voor bijvoorbeeld marketingdoeleinden goedkeuren. Stuur bij twijfel een e-mail naar de gebruiker met een bevestigingsvraag. Zo heb je een aantoonbare opt-in wanneer hij of zij antwoordt. Let er op dat je nieuwsbrief in regel is met de GDPR-wetgeving en er bij de opt-in ook een verwijzing staat naar je privacyverklaring.

5. Cookies

Van zodra een bezoeker op je website komt, kunnen er al gegevens verzameld worden . Denk maar aan Google Analytics. Google Analytics maakt immers gebruik van analytische cookies en zij vallen onder de definitie van persoonsgegevens Je kan dit oplossen door de gebruiker te laten akkoord gaan met het gebruik van cookies. Dit moet transparant en duidelijk beschreven staan in je privacybeleid.

6. Formulieren

Wanneer websitebezoekers een formulier kunnen invullen zorg dat de bezoeker op te hoogte is van het privacybeleid en de disclaimer.

Vraag bezoekers op je website expliciet om toestemming op de activiteiten die je hebt vastgelegd in je privacyverklaring.

7. Informatietoegang, -verbetering en het wissen van deze gegevens

De GDPR legt op dat gebruikers hun gegevens moeten kunnen bekijken en verbeteren. Dit kan via een online systeem zijn of gewoon via één of andere manuele procedure.
De bit recht om vergeten te worden betekent dat individuen jou als bedrijf kunnen vragen om al hun persoonsgegevens te wissen indien er geen reden is waarvoor je ze zou nodig hebben (zoals bijvoorbeeld het kunnen uitvoeren van een overeenkomst)