Wanneer je een nieuwe website laat bouwen, is het een goed idee om vanaf het begin in orde te zijn met de GDPR-wetgeving. Maar wat betekent GDPR nu weer? En wat zijn jouw verplichtingen als website-eigenaar? Ik zet alles even voor je op een rijtje.
Wat je moet weten over de GDPR en je website – Inhoudstafel
- Waarvoor staat GDPR?
- Wat staat er in de GDPR?
- Wat zijn persoonsgegevens?
- Is de GDPR belangrijk voor mij?
- Hoe groot is de kans op een GDPR-boete?
- Wat heeft dit te maken met mijn website?
- GDPR-verplichtingen op jouw website
- Roep indien nodig juridisch advies in
- Wil jij ook een website die de GDPR respecteert?
Waarvoor staat GDPR?
GDPR staat voor General Data Protection Regulation. Dat is de Europese benaming die we in België hebben overgenomen. In Nederland spreekt men over de Algemene Verordening Gegevensbescherming (AVG), maar beide termen betekenen hetzelfde.
Wat staat er in de GDPR?
De GDPR-wetgeving geeft burgers meer controle over wat bedrijven en organisaties mogen doen met hun gegevens. Dat betekent dat jij transparant moet zijn over wat jij met de persoonsgegevens van je klant doet én dat je die gegevens ook voldoende moet beveiligen.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle gegevens waarmee je een persoon kunt identificeren: een naam, een thuisadres, een e mailadres dat een naam bevat, of het nummer van een identiteitskaart.
Goed om weten: algemene e-mailadressen (zoals info@bedrijf.be) verwijzen niet naar een persoon maar naar een bedrijf. Die vallen dus niet onder de noemer persoonsgegevens.
Is de GDPR belangrijk voor mij?
Als ondernemer mag je persoonlijke informatie niet zomaar aan anderen doorgeven. Je moet ook zorgen voor een degelijke beveiliging, zodat hackers of dieven niet met klantengegevens aan de haal kunnen gaan.
De GDPR volgen is een teken van respect tegenover je klanten.
Maar dat niet alleen: een GDPR-overtreding kan ook zwaar bestraft worden, met boetes die kunnen oplopen tot 4% van je totale jaaromzet.
Hoe groot is de kans op een GDPR-boete?
Mensen durven wel eens onverschillig reageren op de GDPR, denkend dat het zo’n vaart wel niet zal lopen. Het klopt dat de gegevensbeschermingsautoriteit maar weinig aanvragen tegelijk kan behandelen. Toch is de kans om gestraft te worden groter dan je denkt. Er worden wel degelijk grote GDPR-boetes uitgeschreven in België, en niet alleen aan grote spelers.
Wat heeft dit te maken met mijn website?
Ook jij komt in contact met persoonsgegevens, al ben je je er misschien niet van bewust. Jouw website is de plaats waar jij uitlegt wat jij met die gegevens doet, zodat het voor iedereen duidelijk is. Hoe je dat moet doen, is wettelijk bepaald. Hier is een lijstje van wat jij zeker in orde moet brengen.
GDPR-verplichtingen op jouw website
Je cookiebeleid (verplicht)
Cookies zijn kleine bestandjes die automatisch worden opgeslagen bij een bezoek aan je website. Er zijn verschillende soorten cookies:
- Noodzakelijke cookies: die zijn nodig om de website te doen werken.
Bijvoorbeeld: een cookie die onthoudt of een bezoeker toestemming heeft gegeven voor het bewaren van cookies. - Functionele cookies: die zijn niet noodzakelijk maar verbeteren de ervaring, bijvoorbeeld door de taalvoorkeur van je bezoeker bij te houden.
- Marketingcookies: die gebruik je om advertenties te kunnen tonen aan personen waarvan je weet dat ze op je website zijn geweest.
- Statistische cookies: die gebruik je om het gedrag op je website te analyseren, bijvoorbeeld om via Google Analytics te weten te komen hoeveel van jouw bezoekers lokaal zijn.
Op je website moet een pagina aanwezig zijn waarop je uitlegt welke cookies je verzamelt en waarom: dat is je cookiebeleid. Je hebt de toestemming nodig van je bezoeker voor het gebruik van cookies, en bij afwijzing ervan moet je website nog altijd blijven werken. Die toestemming verkrijg je via een cookiebanner.
Een cookiebanner (verplicht)
In theorie is een cookiebanner alleen verplicht als je meer dan alleen noodzakelijke cookies gebruikt, maar in de praktijk is dat op bijna alle websites het geval. De gebruiker geeft jou toestemming door ‘akkoord’ te selecteren in een cookiebanner die verschijnt bij een eerste bezoek aan je website. Dat vakje mag niet standaard aangevinkt staan.
Een voorbeeld cookiebanner
Een privacyverklaring (verplicht)
Als ondernemer kom je in contact met heel wat persoonlijke gegevens van je klanten en bezoekers: naam, telefoonnummer, adres, e-mailadressen enzovoort. Jij bent verplicht te laten weten wat jij met die informatie doet.
Welke persoonsgegevens verwerk je? Waarom heb je die nodig? Hoe lang bewaar je ze? Waar kunnen mensen terecht als ze hierover een klacht hebben? Dat beschrijf je allemaal in je privacyverklaring. Er zijn strenge regels over wat er allemaal in je privacy policy moet staan. Laat je dus adviseren.
Een beveiligde verbinding via HTTPS (verplicht)
Het HTTPS-protocol zorgt voor een veilige laag tussen je website en je bezoeker. Het is een versleuteling die ervoor zorgt dat de informatie die je uitwisselt (bijvoorbeeld met een invulformulier), niet onderschept kan worden. Wil je weten of jouw website hieraan voldoet? Kijk dan in je internetadresbalk. Begint je URL met HTTPS? Die extra S staat voor security, en betekent dat je connectie beveiligd is.
Een opt-in bij verzameling e-mailadressen (verplicht)
Downloadt iemand een gratis gids of weggever op jouw website? Dan mag je dat mailadres alleen gebruiken om het gevraagde document door te mailen, niet om opvolgmails te sturen. Wil je dat toch doen? Dan heb je daarvoor actieve toestemming nodig. Voeg dus altijd een extra toestemmingsvakje toe met de tekst: “Ik wil ook graag de nieuwsbrief ontvangen” met een link naar je privacyverklaring. (Dat vakje mag niet standaard aangevinkt staan!)
Roep indien nodig juridisch advies in
Dit artikel is bedoeld als hulpmiddel, niet als juridisch advies. De meest betrouwbare en meest recente informatie vind je terug op de website van de gegevensbeschermingsautoriteit. Er bestaan ook juristen die zich specialiseren in deze materie en externe adviseurs (DPO’s) die de GDPR in jouw bedrijf in goede banen leiden. Organisaties als VOKA en Unizo kunnen je ook helpen.
Wil jij ook een website die de GDPR respecteert?
Voor je website is het in de eerste plaats belangrijk om samen te werken met een webdeveloper die de principes van de GDPR begrijpt en toepast. Zo vermijd je lelijke boetes. Interesse in een samenwerking? Geef me een seintje en we bespreken samen jouw websiteproject.