5 tips om de GDPR correct toe te passen op je website
Sinds 25 mei 2018 is de General Data Protection Regulation (GDPR), in Nederland ook wel bekend als de Algemene Verordening Gegevensbescherming (AVG), van toepassing. Ruim twee jaar later passen sommige ondernemingen de verplichtingen uit de wet helaas nog niet altijd goed toe. Daarnaast is het belangrijk om al bij de realisatie van een website of applicatie stil te staan bij de GDPR. Daarom vindt u in dit blog 5 tips.
#1 Welke gegevens verzamelt u en waarom?
Allereerst dient u als verwerkingsverantwoordelijke te beoordelen wat voor soort persoonsgegevens van websitebezoekers en/of bezoekers die zich aanmelden via een inschrijfformulier op de website u verzamelt. Wat is het doel van de gegevensverwerking(en)? Op basis van welke wettelijke grondslag mag u deze gegevens op deze wijze verwerken? Waar worden de gegevens opgeslagen en hoe lang? Wie heeft binnen de organisatie toegang tot de gegevens en op welke wijze zijn beveiligingsmaatregelen genomen? Door deze vragen te beantwoorden, krijgt u meer inzicht in de gegevensverwerking binnen uw organisatie en de maatregelen om een datalek te voorkomen.
#2 Pas de cookiebanner correct toe
De websitebezoeker dient zijn persoonlijke instellingen m.b.t. cookies zelfstandig te kunnen regelen met een cookiebanner. De beste privacy vriendelijke opties voor de bezoeker dienen standaard (privacy by default) aan te staan. Met andere woorden: u mag niet alles vooraf aanvinken wat nadelig is voor de bezoeker. De bezoeker moet dit zelf aanvinken en door middel van informed consent zelf toestemming geven voor verdergaande verwerking van zijn persoonsgegevens. Bezoekers moeten een actieve handeling verrichten om expliciet toestemming te geven, zodat de bezoeker weet waarvoor hij toestemming geeft. Laat een cookie-expert meekijken bij het bouwen en inrichten van de cookiebanner.
#3 Stel een privacy statement op maat op
Het is raadzaam om een privacy statement op de website te publiceren, zodat bezoekers kunnen kijken en/of teruglezen waarvoor de persoonsgegevens eventueel gebruikt worden, hoe lang ze worden opgeslagen, wat de beveiligingsmaatregelen zijn, met wie bij vragen contact kan worden opgenomen enzovoort. Belangrijk is dat de privacy statement op maat is en dus niet letterlijk gekopieerd is van een andere website. Elke organisatie verwerkt de gegevens immers op zijn eigen wijze. Ondanks de privacy statement dient u bij een formulier de bezoeker duidelijk te informeren waarvoor zijn gegevens worden gebruikt. De ingevulde gegevens mogen achteraf niet voor een ander doel gebruikt worden dan vooraf is gecommuniceerd.
#4 Houd een verwerkingsregister bij
Als verwerkingsverantwoordelijke bent u verplicht een verwerkingsregister bij te houden met alle verwerkingsactiviteiten en -vormen die, per afdeling, plaatsvinden. Hierin staat onder andere beschreven voor welk doeleinde de gegevens worden gebruikt, op basis van welke juridische grondslag, wat de beveiligingsmaatregelen zijn, waar de gegevens zijn opgeslagen, wat de bewaartermijn is en wie toegang heeft tot de gegevens. Bij een datalek kan aan de hand van dit register eenvoudig worden vastgesteld op welk niveau het lek zich voordoet, welke maatregelen genomen moeten worden, of het lek gemeld moet worden bij de Autoriteit Persoonsgegevens (AP) en hoe betrokkenen geïnformeerd moeten worden. Uiteraard is het zeer aan te raden om dit in overleg met een advocaat te doen.
#5 Zie het als een continu proces
Tot slot is het belangrijk om de GDPR-maatregelen en verplichtingen als een continu proces te zien. Controleer periodiek of de privacy statement en het beleid van de organisatie up-to-date zijn en controleer of er geen verdergaande verwerkingen plaatsvinden op de website, bijvoorbeeld doordat iemand dit intern heeft aangepast. Train uw personeel hoe om te gaan met het werken van persoonsgegevens en het protocol van de organisatie. Creëer awareness voor de gevolgen, zoals een datalek of hoge boetes bij het niet nakomen van verplichtingen. Kortom: zorg dat het informatiebeveiligingsbeleid te allen tijde op orde is, inclusief applicaties en processen. Mocht een bezoeker een klacht indienen bij de AP, dan kunt u middels documentatie aantonen dat diverse maatregelen zijn genomen conform de vereisten van de GDPR. Vraag, bij twijfel, altijd een expert om hulp en een nadere controle.