De nieuwe privacy wetgeving: GDPR
Voor wie het is ontgaan: op 25 mei 2018 is er heel wat veranderd in privacy land. De GDPR, voluit General Data Protection Regulation, treedt in werking. In het Nederlands ook wel AVG: Algemene Verordening Gegevensbescherming.
Het doel van deze wetgeving is te zorgen dat personen beter worden beschermd.Wanneer we spreken over personen of gebruikers, bedoelen we overigens gegevens die herleidbaar zijn naar een individu van vlees en bloed.
Welke gegevens verzamelen?
Er zijn 6 ‘noemers’ waaronder gegevens verzameld mogen worden. De Autoriteit Persoonsgegevens benoemt deze als volgt:
1. Toestemming van de gebruiker
2. Vitale belangen
3. Wettelijke verplichting
4. Overeenkomst
5. Algemeen belang
6. Gerechtvaardigd belang
Zo heb je gegevens eenvoudigweg nodig wanneer je een overeenkomst afsluit met iemand. In andere gevallen geldt er een wettelijke verplichting, bijvoorbeeld je gegevensregistratie bij het afsluiten van een hypotheek. En vitale belangen, daar is op medisch vlak wel wat bij voor te stellen denk ik.
Wanneer we de brug slaan naar je website, denk ik dat het onderdeel ‘toestemming van de gebruiker’ het meest relevant is, eventueel aangevuld met ‘gerechtvaardigd belang’. Onder dat laatste zou je basaal gebruik van webanalytics software kunnen scharen.
Je mag vragen om gegevens met een doel. Wil je mensen iets toesturen? Dan is het logisch om een adres te vragen. Wil iemand alleen een vraag stellen aan je? Dan is deze informatie niet noodzakelijk en zul je een reden moeten aangeven waarom je die info nodig hebt. Belangrijk is dat gegevens worden verzameld voor een specifiek doel, wat ook omschreven moet worden.
Wat bij een inbreuk?
Een inbreuk of een schending volgens de privacy rechten kan je veel geld kosten. De boetes liegen er niet om en kunnen oplopen tot €20 miljoen of 4% van de wereldwijde omzet.
Wat kan je doen om je website al in orde te brengen?
Wat je aan maatregelen moet treffen, is sterk afhankelijk van het soort/type website wat je hebt. Wanneer we kijken naar WordPress websites, zijn er een aantal plaatsen waarop gegevensverzameling plaats kan vinden.
Denk daarbij aan zaken als:
- Contactformulieren
- Reactiemogelijkheid op bijv. artikelen
- Registratie van gebruikers
- Analytics of andere oplossingen om verkeer te monitoren
- Plugins en tools voor andere doeleinden, bijv. heatmapping, opt-in generators voor je nieuwsbrief etc.
- Beveiligingstools en plugins (bijv. om het aantal attempts voor logins te beperken)
Als concrete actie is het dus belangrijk om te kijken welke data je website verzamelt en wat er met die data gebeurt. Het zal je niet verbazen dat de reikwijdte van deze maatregel je website ver overstijgt.
Dan heb je nog de cookies, dit zijn kleine bestandjes die ene website doorgaans op een bezoeker zijn toestel opslaat om metingen bij te houden, of om instellingen te onthouden voor als deze bezoeker terugkomt. Hier dien je uiteraard ook toestemming of informatie rond te geven.
Zoals je ziet zijn er een hele boel zaken die je al moet aanbrengen aan je website alleen al om deze in lijn te hebben met de wetgeving.
Geen nood, wij helpen je graag verder met te onderzoeken wat we kunnen doen voor jou en je website. Contacteer ons gerust om te zien of we elkaar kunnen helpen.
Hou er wel rekening mee dat we geen juridisch kantoor zijn, en indien nodig juridische bijstand zeker nog is aangewezen.