Jouw website GDPR (AVG) proof maken

Iets zegt ons dat jij geen geldboetes wil krijgen omdat je de privacywetgeving schendt. Slaap op je twee oren en volg deze stappen om jouw website of webshop GDPR (AVG) proof te maken.

Woordje uitleg over General Data Protection Regulation

Waarschijnlijk weet je wel al wat GDPR is, maar voor de volledigheid herhalen we het hier nogmaals. Zo kom je voor geen verrassingen te staan. 😉

De globale term GDPR staat als afkorting voor de General Data Protection Regulation. Concreet gaat het om een Europese privacywet die van kracht is sinds 25 mei 2018. Het hoofddoel van de GDPR is het beschermen van de privacy en persoonsgegevens van individuen binnen de Europese Unie. Vroeger sprak men (onder andere in Nederland) van de Wet bescherming persoonsgegevens.

Deze specifiek ingevoerde wetgeving heeft specifieke vereisten waaraan websites moeten voldoen, zoals het verkrijgen van toestemming voor het verzamelen van persoonsgegevens en het nemen van passende beveiligingsmaatregelen.

gdpr
GDPR/AVG beschermt privacygevoelige gegevens.

Hetzelfde als AVG

GDPR is een bekend begrip, maar eigenlijk bestaat er ook een Nederlandstalige term om naar diezelfde wet te verwijzen! Namelijk AVG. Die drie hoofdletters staan voor Algemene Verordening Gegevensbescherming. GDPR en AVG betekenen dus net hetzelfde. Er is géén verschil. Ben je mee? 😁

Belang van je site GDPR proof maken

Waarom je een GDPR (AVG) proof website online moet zetten? Waren alle vragen maar zo simpel als deze! GDPR proof zijn is eigenlijk de logica zelve. Het is namelijk verplicht door de GDPR én je krijgt ferme boetes als je het niet doet.

gdpr-fine

Daarnaast ben je het ook verplicht aan je bezoekers en klanten. Zij moeten er honderd procent zeker van zijn dat jij als ondernemer veilig en volgens de GDPR regels omgaat met hun persoonsgegevens.

Je website GDPR proof maken door middel van een privacy policy en cookiebanner online te zetten, is een cruciaal onderdeel om de privacy van je gebruikers te waarborgen en tegelijk de reputatie van je organisatie te beschermen. Want door transparant te zijn, schep je meer vertrouwen bij je bezoekers.

Tip

Je wil natuurlijk weten aan welke regels en wetten je moet voldoen om in orde te zijn. Lees daarom onze blog waarin we dieper ingaan op de inhoud van een privacybeleid. We vertellen je ook wat cookies zijn en waaraan een goede cookiebanner moet voldoen.

Test de privacy instellingen van jouw website

Bijna elke website verwerkt persoonsgegevens. De jouwe dus waarschijnlijk ook! Hoe GDPR proof is jouw website op dit moment? Doe gratis de iubenda privacy scan en kom meteen te weten welke onderdelen je dringend onder handen moet nemen. Misschien valt het allemaal reuze mee en kan je werk besparen! 😃

iubenda-scan

Met deze stappen je website GDPR proof maken

Het is trouwens een héél goed idee om een stappenplan te gebruiken om je site juridisch op punt te zetten. Want je website GDPR (AVG) proof maken kan nogal complex zijn. Dat komt omdat het best een kluwen is, uitzoeken aan welke GDPR vereisten je website al dan niet moet voldoen.

Een goed stappenplan is essentieel om GDPR proof te worden en helpt je om systematisch te werk te gaan bij het implementeren van de AVG regels op je website. Het biedt houvast, structuur en duidelijkheid, waardoor je geen belangrijke stappen over het hoofd ziet.

Door alle vereiste acties in je stappenplan op te nemen, werk je efficiënter en bespaar je tijd en zorgen. Zo kun je zo snel mogelijk voldoen aan de gegevensbeschermingsvereisten. Klinkt goed, toch? 😀

gdpr-roadmap
Een stappenplan om GDPR proof te worden is een handig hulpmiddel voor website eigenaren.

5 stappen om je website GDPR (AVG) proof te maken

Op Combell kan je altijd rekenen! Dus ook voor het GDPR proof maken van je online business! We geven je een duwtje in de rug met onderstaand stappenplan én met betrouwbare GDPR privacy software van iubenda! Zo zet je meteen héél grote stappen. 😉

Stap 1: inventariseer welke persoonsgegevens je verwerkt

Maak een inventarisatie van de soorten persoonlijke gegevens die je verzamelt van je bezoekers en klanten. Inventariseren is een essentieel onderdeel van je website GDPR proof maken.

Want je moet een zicht krijgen op de omvang van de gegevensverwerking op je site. Hou dus nauwkeurig bij welke info je verzamelt, hoe je persoonsgegevens gebruikt en wat je mogelijks deelt met andere partijen. Laat het niet na om hier transparant over te communiceren, want dat ben je verplicht.

Als je dit allemaal in kaart brengt, kan je passende veiligheidsmaatregelen nemen om de privacy van je gebruikers te waarborgen (extra firewalls bijvoorbeeld). Het zal je ook helpen in de volgende stappen, namelijk je privacybeleid opstellen en toestemmingen verzamelen.

Verwerk je persoonsgegevens die "waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen" dan is de kans groot dat je een Gegevensbeschermingseffectbeoordeling (DPIA) moet uitvoeren. Dat is de taak van een Functionaris Gegevensbescherming. De Vlaamse overheid geeft hier meer informatie over.

Stap 2: stel een privacybeleid op en publiceer het op je website

Een privacybeleid of privacy policy is een belangrijk document waarmee je de bezoekers van je website of webshop informeert over hoe je omgaat met hun privacy.

Een duidelijke privacyverklaring bevat informatie (in begrijpelijke taal) over de manier waarop persoonsgegevens worden opgeslagen (onder andere via cookies), beveiligd en gedeeld. Je moet ook aangeven hoe lang je bepaalde gegevens zal bewaren.

Of wat je als bedrijf zal doen bij onder andere verlies van data, een lek, hacking ... In dit artikel overlopen we de belangrijkste elementen die in een standaard privacybeleid moeten staan.

Is je policy klaar? Maak er een webpagina van en geef het een plaats op je website. Op die manier ben je transparant over alle gegevens die worden verzameld, de redenen voor het verzamelen ervan en hoe de gegevens worden gebruikt.

Tip

Als je in een handomdraai een eigen privacy policy wil maken, dan raden we je iubenda aan. Met iubenda genereer je alle nodige documenten en tools die je nodig hebt om GDPR (AVG) proof te zijn. Dat je privacybeleid altijd bijgewerkt wordt bij GDPR updates of andere wetswijzingen, is een extra troef!

iubenda-privacy-policy

Stap 3: vraag met een cookiebanner toestemming voor het verwerken van persoonsgegevens

Na je privacybeleid is het tijd om zowel je cookiebeleid als cookiebanner online te zetten. Je cookiebeleid kan trouwens een perfect onderdeel zijn van je privacybeleid.

Via cookies kan je het surfgedrag van bezoekers tracken. Bijvoorbeeld via IP-adressen. Dat mag je alleen maar doen als je daar de toestemming voor hebt. In de GDPR is namelijk opgenomen dat wie cookies op een applicatie zet, daar transparant over moet zijn. Dat doe je door te communiceren over het gebruik, de reden waarom en de bewaartermijn van je cookies.

cookie-banner-consent-iubenda
Als je privacygevoelige informatie verwerkt, moet je daar actief toestemming voor vragen.

Naast goed geïnformeerd worden, moeten je klanten hun expliciete toestemming kunnen geven voor het plaatsen van niet-essentiële cookies op hun apparaat. Het gaat hier om niet-strikt noodzakelijke cookies zoals targeting- of advertentiecookies. Expliciet toestemming vragen hoeft niet als het gaat om essentiële cookies (first-party cookies).

Toch moeten gebruikers altijd de kans krijgen om cookies te weigeren en/of hun cookie-instellingen te beheren. Dat is een essentieel onderdeel van de Europese privacywet.

Lap je die regels aan je laars, riskeer je hoge boetes of andere strenge sancties. Om je een idee te geven: de GDPR boetes in België lopen gemiddeld op tot 25.000 euro per bedrijf. Ze hebben allemaal te maken met schending van de GDPR.

Vermijd boetes en verdiep je in ons artikel over cookies én kies ook in dit geval voor het gebruiksgemak van iubenda. Met iubenda krijg je zelf een volledig aanpasbare cookiebanner.

Daarnaast maak je in een handomdraai een eigen cookiebeleid. Inclusief updates bij wetswijzigingen. Zo ben je er altijd zeker van dat jouw website voldoet aan alle voorwaarden rond privacy en cookies.

Stap 4: zorg voor een veilige opslag en verwerking van persoonsgegevens

In stap 4 van ons stappenplan voor het GDPR (AVG) klaarmaken van je website is het belangrijk om te zorgen voor de veilige opslag en verwerking van persoonsgegevens.

Dat houdt in dat je passende technische maatregelen neemt om ervoor te zorgen dat de persoonsgegevens die je verzamelt en verwerkt, héél goed beveiligd zijn tegen dataverlies of hacking!

Van je IT-omgeving een versterkte burcht maken, doe je onder andere door firewalls, back-ups en bescherming tegen DDoS-aanvallen te voorzien. Maak hier grondig werk van, want cyberveiligheid is een van de belangrijkste vereisten van de GDPR regels.

Combell zet trouwens hard in op cybersecurity. Je hostingprovider heeft dan ook een grote verantwoordelijkheid op het vlak van veiligheid.

Om jouw gegevens optimaal te beschermen, proberen we zoveel mogelijk aanvallen op voorhand te blokkeren. Jouw applicatie blijft op die manier volledig buiten schot.

Stap 5: stel een protocol op voor het melden van datalekken

Het hebben van een protocol voor het melden van datalekken is door de GDPR (AVG) verplicht voor alle websites die persoonsgegevens verwerken.

Juridisch gezien wil een datalek zeggen dat er "ongeautoriseerde toegang is geweest tot persoonsgegevens of dat deze per ongeluk zijn vernietigd, gewijzigd of verloren".

Stel een duidelijk en gestructureerd meldingsprotocol op waarmee je snel en zorgvuldig reageert in geval van een datalek.

Het protocol moet onder meer de stappen bevatten die je als bedrijf neemt bij het ontdekken van een lek (zoals het onmiddellijk stoppen van verder gegevensverlies), het vaststellen van de omvang en impact van het lek, het informeren van relevante autoriteiten en het communiceren met de betrokkenen.

Wist je trouwens dat je ook meldingsplicht hebt? Merk je een datalek op dan moet je dat binnen de 72 uur melden aan de bevoegde toezichthoudende autoriteit. Tenzij het datalek geen enkel risico vormt voor de rechten en vrijheden van betrokkenen.

De Gegevensbeschermingsautoriteit in België legt uit hoe de meldingsprocedure in elkaar zit. Autoriteit Persoonsgegevens is in Nederland de bevoegde instantie.

Je bedrijf GDPR (AVG) proof maken: extra tips!

Beveilig je website met een SSL-certificaat. Dankzij die versleutelde verbinding surfen jouw bezoekers altijd naar een veilige website.
Beperk de verzameling van persoonsgegevens tot het noodzakelijke. Een belangrijke regel van de GDPR is dat je alleen de gegevens mag verwerken die strikt noodzakelijk zijn voor het beoogde doel. Controleer daarom je webformulieren om te voorkomen dat je onnodige informatie vraagt.
Gebruik Privacy by Default als een best practice om de privacy van je gebruikers te waarborgen. Dat wil zeggen dat je je standaardinstellingen zo instelt dat ze maximale bescherming van persoonsgegevens bieden. Op deze manier geef je jouw gebruikers van in het begin privacybescherming zonder dat ze zelf actie hoeven te ondernemen.
Check de plugins van WordPress. De kans is groot dat je website op WordPress draait. Controleer elke plug-in op de verzamelde persoonsgegevens en de GDPR conformiteit. Want ook plug-ins verzamelen gegevens. Kies indien nodig voor een alternatief, vooral bij sociale media plug-ins die mogelijk (buiten je wil om) meer gegevens verzamelen dan toegestaan zonder toestemming.
Controleer accounts van je medewerkers. Volgens de GDPR moeten alleen bevoegde medewerkers toegang hebben tot persoonsgegevens, inclusief de back-end van je website. Controleer daarom welke gebruikers toegang hebben en verwijder collega's die deze toegang niet nodig hebben voor hun werkzaamheden. Zo zorg je ervoor dat alleen geautoriseerde personen toegang hebben tot persoonsgegevens en voldoe je aan de GDPR.
Sluit verwerkersovereenkomsten af met derde partijen die net als jij persoonsgegevens verwerken volgens de GDPR regels. Dat is héél belangrijk als verzamelde persoonsgegevens via je website aan hen worden doorgegeven. Als je een webshop hebt, is dat bijvoorbeeld van toepassing op de betaalprovider die je gekozen hebt.