GDPR, wat is het, waarvoor dient het en wat kan je verwachten?

Een mondvol en staat voor General Data Protection Regulation of Algemene Verordening Gegevensbescherming.
Dit is een Europese wetgeving die ingaat vanaf 25 mei 2018.

Het verzamelen en gebruiken van persoonsgegevens wordt dus voor alle bedrijven vanaf 25 mei 2018 aan strengere regels onderworpen. 
GDPR is een verplichting voor alle bedrijven binnen de europese unie die gegevens van klanten krijgen, beheren en verwerken. Vanaf 25 mei 2018 ben je verplicht als kmo om je in regel te stellen met de wetgeving rond privacy.

Beknopt betekent het dit:

  • Verzamelen van gegevens
    Als je gegevens verzamelt van personen – vb een mailadres voor een nieuwsbrief – dan moet dit een expliciete opt-in zijn. Dit betekent dus dat bv een vinkje standaard nu uit moet staan en dat de klant dit expliciet moet aanduiden dat hij informatie van jou wil ontvangen.
  • Transparantie
    Gegevens die je bijhoudt via deze of andere manieren moeten ten allen tijde inkijkbaar zijn door de klant. Deze klant heeft het recht om zijn gegevens te laten wijzigen of zelfs helemaal te verwijderen uit jouw database.
  • Wat doe je ermee?
    Vraag je gegevens op van jouw klant? Welke gegevens vraag je op? Wat doe je hiermee? Stel dat je een geboortedatum opvraagt in een formulier, dan moet je kunnen aantonen dat je dit gegeven gebruikt voor een of andere actie dat nuttig is voor jouw bedrijf.
  • Veilig
    Uiteraard moet je alle vezamelde data afschermen tegen de buitenwereld en beschermen tegen diefstal, misbruik en vernietiging.
  • Meldingsplicht
    Ben je toch het slachtoffer van een datalek via eender welke weg? Dan ben je verplicht om dit binnen de 72 uur te melden aan de Privacycommissie en de personen zelf. Deze commissie zal dan nadien bepalen wat er verder dient te gebeuren.

We onderscheiden in de GDPR 3 types:

  1. De klant
  2. De verwerkingsverantwoordelijke
  3. De verwerker

De klant – is de klant van het bedrijf en heeft recht op:

  • transparante informatie die hij/zij achterlaat op het platform
  • inzage/wijzigen en verwijderen van zijn/haar gegevens (tenzij dit facturatiegegevens zijn – deze moeten door het bedrijf wel 7 jaar bijgehouden worden
  • wijzigen van het doel van het gebruik van gegevens: bv de klant wil geen promoties meer ontvangen in de vorm van een nieuwsbrief of mailing in de brievenbus, maar zijn gegevens zijn nog wel nodig om facturatie te doen.
  • onder gegevens wordt wel degelijk persoonsgegevens verstaan en geen bedrijfsgegevens.

De verwerkingsverantwoordelijke en verantwoordelijkheden

  • bij elk formulier moet je aangeven wat je met die info gaat doen
  • enkel relevante data opvragen. Je vraagt geen geboortedatum van een klant als je daar niet mee gaat doen
  • je moet aan je klant kunnen aangeven hoe zijn data is opgeslagen in eender welke database.
  • melding van een inbreuk op de site door bv een hack. Dit wordt door Blueblot gemeld aan de klant ofwel, indien de klant het zelf opmerkt, moet deze dit binnen 72 uur melden aan de privacycommissie.
  • gegevensbescherming door ontwerp, bv door te zorgen dat je website enkel bereikbaar is via https en niet meer via http.
  • Je bent er mee verantwoordelijk voor dat data voldoende beschermd wordt, o.a. ook door zelf veilige paswoorden te gebruiken.

De verwerker

  • werkt in opdracht van de verwerkingsverantwoordelijke
  • een kleinere rol in het geheel
  • melden van een inbreuk zo snel mogelijk aan de privacy commissie en verwerker
  • Blueblot is niet verantwoordelijk voor wat verwerkingsverantwoordelijke doet met hun gegevens – maw de gegevens die verzameld worden via het webplatform van de verwerkingsverantwoordelijke

Welke gegevens verzamelen we en welke tools gebruikt Blueblot hiervoor?

Basis klantgegevens:

  • naam
  • adres
  • telefoon
  • email
  • btwnummer

Deze gegevens gebruiken wij als contactgegevens en om onze facturatie te doen. Hiervoor is Blueblot verantwoordelijk dat deze gegevens op een veilige manier bijgehouden worden. 

Deze gegevens worden dus enkel gebruikt voor:

  • email: om de klant op de hoogte te brengen van workflow, facturatie, meldingen, info,…
  • facturatie
  • hosting en domeinnaam: de klantgegevens zijn nodig om de eigenaar te kunnen vaststellen van het domein dat de klant gekocht heeft. Deze gegevens zijn deels publiek raadpleegbaar in het geval van een domeinnaam (te raadplegen van dns.be)

Klantgegevens worden opgeslagen in een boekhoudprogramma dat lokaal draait en waarvan dagelijks een backup wordt genomen in een cloudoplossing (transip.be)

Wat doet Blueblot web & design?

  • Encryptie van data: gegevens worden volgens laatste technologieën en standaarden beveiligd.
  • Wachtwoorden en andere gevoelige data worden versleuteld opgeslagen waardoor deze bij een lek onbegrijpelijk zijn voor derden.
  • Beperkte opslag van klantgegevens
  • Enkel beheerders (in samenspraak met de opdrachtgever) krijgen toegang tot beveiligde gegevens
  • Laatste beveiligingsupdates van gebruikte softwarepakketten (CMS, serversoftware …) worden steeds zo snel mogelijk uitgevoerd (indien er een supportcontract is.)
  • Webservers worden maximaal beveiligd en serverlogs worden gemonitord, zodat pogingen tot inbraak/hacking vroegtijdig opgespoord worden.

Wanneer er toch een lek zich voordoet waardoor er gegevens naar onbevoegden gelekt zijn, dan wordt hetvolgende gedaan:

  • Aangezien wij een servicecontract 24/7 met monitoring en managed services hebben zullen wij hiervan op de hoogte gebracht worden
  • De website wordt hiervoor tijdelijk offline gehaald of bij een serieuze hack wordt er gewoon een backup van de dag voordien terug gezet.
  • De klant wordt op de hoogte gebracht.
  • Het lek wordt zo snel mogelijk gemeld bij de Privacycommissie
  • Indien niet versleutelde gevoelige data werden gelekt, dan worden ook de betrokken personen ingelicht over het lek. Hierbij volgen we de aanbevelingen van de Privacycommissie. Zie https://www.privacycommission.be/burger

Checklist waar je rekening mee moet houden

  • Welke gegevens (naam, adres, telefoon,…) hou je allemaal bij van je klanten, prospects,…
  • Welke formulieren staan er op jouw site?
    • contactformulier
    • nieuwsbrief
    • factuurinformatie voor een webshop
    • verzendinformatie voor een webshop
    • poll

Eens je deze gegevens hebt verzameld, voor welke doeleinde gebruik je deze. Zorg ervoor dat de gegevens die je opvraagt relevant zijn voor het uiteindelijke doel.

  • hoe bewaar je die gegevens?
    • lokaal op je pc (excel,word,…)
    • in de cloud (dropbox, google, transip, teamleader, …)
  • zorg dat je een privacy policy pagina hebt op je site. Breng bezoekers op de hoogte van jouw statements hierrond.
  • Beschrijf in je privacy policy welke gegevens je opvraagt op de website en waarvoor je die zal gebruiken. Let wel, de klant of gebruiker heeft ten allen tijde het recht ter inzage van zijn gegevens om deze te laten wijzigen of verwijderen.
  • cookiemelding: wanneer een gebruiker voor de eerste keer op jouw site terecht komt, moet hij de mogelijkheid hebben om jouw privacy policy te kunnen raadplegen. Dit gebeurt meestal via een popup onderaan/bovenaan met een duidelijke link naar deze pagina.
  • heb je formulieren waar je gegevens opvraagt om promo voor jouw bedrijf te maken? Zorg dan zeker voor een opt-in die expliciet de toestemming vraagt van de gebruiker. Zo weet je zeker dat de achtergelaten gegevens verwacht worden om gebruikt te worden voor reclame of marketing.