Persoonlijke gegevens — het is een populaire term die het nieuws overspoelt en ons dwingt na te denken over onze online identiteit en hoe deze wordt gebruikt door andere websites en bedrijven.
Online bedrijven en website-eigenaren fungeren vaak als beheerders van gevoelige persoonlijke gegevens die ze hebben verzameld. Met de recente implementatie van de GDPR — uitgebreide regelgeving die gegevensbeveiliging en privacy in de EU regelt — vraag jij je misschien af hoe je andermans informatie opslaat en beschermt, en of die gegevens veilig en beveiligd zijn.
Ben jij dat niet?
De nieuwe persoonsgegevenswetten van de EU leggen de verantwoordelijkheid bij jou om ervoor te zorgen dat je voldoet aan de regels, maar wij zijn hier om je een paar tips te geven. De Algemene Verordening Gegevensbescherming richt zich op het geven van meer controle aan burgers over hun gegevens op het web.
Naast het mogelijk maken voor gebruikers om te beslissen wat er met hun informatie gebeurt, bevat de AVG ook nieuwe regels over hoe organisaties die gegevens moeten verwerken. Dit kan enige actie van jouw kant vereisen — zelfs als je niet in de EU gevestigd bent. Hier is wat je moet weten, en wat je kunt doen om erbovenop te blijven.
Gerelateerd: DreamHost is GDPR-compliant
Wat Je Moet Weten over de GDPR
1. De AVG is hier.
Ja, dat klopt: De GDPR is van kracht geworden op 25 mei 2018. Dat betekent dat als je jouw website nog niet hebt bijgewerkt om te voldoen, je moet beginnen met inhalen. De rest van dit artikel zal je enkele tips en bronnen geven over wat dit inhoudt. Geen paniek! Na het lezen van dit artikel raden we je aan om naar de officiële GDPR-website te gaan om bij te praten.
2. De GDPR is van toepassing op de “persoonsgegevens” van mensen in de EU.
Er kunnen veel redenen zijn waarom een website gebruikersgegevens verzamelt: om een aankoop te vergemakkelijken, een mailinglijst te distribueren, gerichte reclame, of om te bepalen wat voor soort inhoud het populairst is. Wat ook de reden is, als die gegevens betrekking hebben op een persoon die de site bezoekt vanuit een EU-lidstaat, dan is de GDPR van toepassing.
Websitebezoekers hoeven niet eens EU-burgers te zijn — als ze de EU bezoeken vanuit bijvoorbeeld Ghana of Brazilië, en zij bezoeken jouw site, dan moet jouw site hun rechten onder de GDPR beschermen.
Hoewel de regelgeving in Europa is gebaseerd, is deze eigenlijk verdergaand dan op het eerste gezicht lijkt. Als jouw bedrijf enige connectie met Europa heeft, of het nu via klanten of partners is (zelfs maar één!), moet je op de hoogte zijn van wat de wet vereist.
3. De definitie van persoonsgegevens is uitgebreid in de AVG.
Wanneer we denken aan persoonlijke gegevens, denken we misschien aan zaken zoals naam, adres en telefoonnummer. Volgens de definitie van de AVG is er veel meer dan dat. De AVG gaat verder dan de gegevens die normaal gesproken als persoonlijk identificeerbare informatie worden beschouwd en stelt dat alle informatie “specifiek voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die persoon” onder bescherming valt.
Gezien deze brede parameters, is het veilig om aan te nemen dat alles wat een persoon identificeert kan worden beschouwd als persoonsgegevens. Als je niet zeker weet of het telt, doet het dat waarschijnlijk wel! Sterker nog, de definitie van persoonlijk identificeerbare informatie volgens de GDPR is “alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon.” Dus, daar heb je het.
4. Elke entiteit die deze gegevens controleert en verwerkt, moet zich conformeren.
De werkelijke GDPR-documenten verwijzen naar verzamelaars en verwerkers van persoonsgegevens. Niet zeker of je een beheerder of verwerker bent? Lees verder.
Een gegevensbeheerder is een entiteit — een bedrijf, organisatie, of individu — die beslissingen neemt over welke gegevens worden verzameld en hoe ze worden gebruikt. Een gegevensverwerker verzamelt, slaat op en draagt die gegevens over zodra ze zijn verzameld. Dus als jouw organisatie enige vorm van gegevens van mensen in de EU behandelt, of samenwerkt met een die dat doet, is het tijd om aan boord te komen.
5. De nieuwe wetten vereisen toestemming om gegevens te verzamelen.
Je hebt misschien gemerkt dat veel websites en apps onlangs hun privacybeleid en gebruiksvoorwaarden hebben bijgewerkt. Dat komt allemaal door de GDPR. Als een organisatie verwacht dat iemand uit de EU haar website bezoekt, moet het bedrijf informatie opnemen die om toestemming vraagt om gebruikersgegevens te verzamelen.
Gerelateerd: Je Checklist voor Websiteherontwerp 2020
De bijgewerkte beleidsregels moeten informatie bevatten over welke gegevens worden verzameld, waarom ze worden verzameld, hoe lang ze worden bewaard, evenals hoe ze zullen worden gebruikt en wie toegang heeft tot de gegevens. Dit alles moet duidelijk vermeld staan op de website op een opvallende plaats.
GDPR-naleving vereist actieve toestemming — geen passieve methoden, zoals een vooraf aangevinkt vakje. De GDPR zal weinig tolerantie hebben voor donkere UX-praktijken die mensen misleiden om in te stemmen met of zich aan te melden voor dingen of slecht blogontwerp dat relevante informatie verbergt.
Deze meldingen zijn vereist, zelfs als het meest basale type gegevens wordt verzameld. USA Today heeft een interessante aanpak gekozen voor GDPR-naleving door twee afzonderlijke instanties van hun website te hosten — een voor EU-gebruikers en een andere voor alle anderen. De op de EU gerichte site verzamelt geen informatie anders dan het IP-adres van een gebruiker, zodat ze naar de juiste site kunnen worden geleid — maar USA Today moet nog steeds gebruikers informeren dat het bedrijf die informatie verzamelt.
6. Er zijn strengere eisen voor gegevensbeveiliging onder de AVG.
In vergelijking met de vorige EU-wetgeving inzake privacy van persoonsgegevens (de Data Protection Directive, geïmplementeerd in 1998), heeft de GDPR meer voorschrijvende verantwoordelijkheden voor gegevensbeheerders en verwerkers wat betreft beveiliging.
Als je omgaat met persoonlijk identificeerbare informatie van mensen, moet je je uiterste best doen om te garanderen dat de informatie volledig beschermd is. Er kunnen meerdere oplossingen zijn, afhankelijk van de verzamelde gegevens, de beschikbare technologieën en je budget. Enkele beveiligingsmaatregelen die de GDPR suggereert, zijn het versleutelen van gegevens, ervoor zorgen dat systemen en diensten vertrouwelijkheid mogelijk maken, het bieden van de mogelijkheid om toegang tot persoonlijke gegevens te herstellen, en het onderhouden van een proces voor het evalueren van de systeembeveiliging.
Dit zijn slechts enkele van de strategieën die organisaties kunnen gebruiken om aan te tonen dat ze voldoen aan de GDPR. Je hebt ze misschien al overwogen, of je moet misschien enkele onderdelen aan je beveiligingsplan toevoegen.
Met deze nieuwe normen kun je je zorgen maken over de kosten voor je bedrijf om te voldoen. Beveiliging hoeft echter niet duur te zijn. Meerdere aanbieders — waaronder DreamHost — leveren SSL/TLS-certificaten gratis om webverkeer naar klantensites te versleutelen.
7. Datalekken moeten worden gemeld aan mensen van wie de gegevens zijn gecompromitteerd.
Een ander nieuw aspect van privacywetten zoals voorgeschreven door de GDPR is de verplichting om gebruikers te informeren wanneer er een gegevenslek heeft plaatsgevonden dat hun persoonlijke informatie kan hebben beïnvloed. De GDPR definieert een inbreuk op persoonsgegevens als een gebeurtenis die leidt tot “de onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van, of toegang tot, persoonsgegevens die zijn verzonden, opgeslagen of op andere wijze verwerkt.” Dit beschermt ruimschoots verder dan het risico op fraude of identiteitsdiefstal (die zou voortvloeien uit toegang tot financiële gegevens) en omvat ook ongeautoriseerde toegang tot alles wat is gedefinieerd als persoonlijk identificeerbare informatie.
Als er een inbreuk op persoonsgegevens plaatsvindt die “waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van individuen”, hebben gegevensbeheerders de verplichting om de getroffen personen snel op de hoogte te stellen. Er zijn enkele uitzonderingen op deze regel, zoals wanneer versleutelde gegevens onbegrijpelijk zouden zijn voor onbevoegde gebruikers of wanneer de beheerder acties onderneemt na de inbreuk om risico te voorkomen. De bijzonderheden van deze regel kunnen openstaan voor interpretatie en discussie, maar bij twijfel neemt de GDPR een sterke, uitgebreide houding aan ter bescherming van gebruikersgegevens.
Als de gegevensbeheerder een hoofdkantoor in de EU heeft, moeten ze ook de toezichthoudende autoriteit in de EU-lidstaat waar de organisatie zich bevindt, op de hoogte stellen. Deze communicatie moet binnen 72 uur na het vaststellen van de inbreuk plaatsvinden.
Het hosten van de website van je organisatie op een veilige en stabiele server helpt persoonlijke gegevenslekken te voorkomen. Alle plannen van DreamHost beschikken over topbeveiliging door middel van Let’s Encrypt SSL/TLS-certificaten, die gegevens die via een DreamHost-site reizen veilig versleutelen.
Als je kiezen tussen Shared Hosting en VPS Hosting kun je er zeker van zijn dat persoonlijk identificeerbare informatie beveiligd is. Onze Dedicated Hosting plannen houden persoonlijke gegevens nog strikter afgeschermd.
8. Gegevensbeheerders moeten gebruikers toegang tot hun gegevens geven wanneer hierom wordt gevraagd.
De betekenis van dit aspect van de AVG is eenvoudig: als een gebruiker de gegevens die je over hen hebt verzameld wil zien, moet je deze binnen een redelijke termijn overhandigen. Het pad om dit te bereiken kan echter wat meer omwegen hebben, afhankelijk van je huidige omstandigheden.
Om deze verzoeken te verlenen, heb je een systeem nodig waarmee klanten verzoeken kunnen indienen en personeel dat ze kan vervullen. Technologie die de export van persoonlijke gegevens mogelijk maakt, is ook noodzakelijk. In Artikel 15, worden door de GDPR verschillende andere gerelateerde rechten tot informatie uiteengezet, zoals wie toegang heeft tot de gegevens en hoe lang ze bewaard worden.
9. Gebruikers in de EU hebben “het recht om vergeten te worden”.
Een andere bepaling met betrekking tot gegevens toegang is wat de AVG omschrijft als “het recht om vergeten te worden.” In Artikel 17 krijgen burgers het recht om te verzoeken dat hun gegevens uit het systeem van een verantwoordelijke worden verwijderd. Ze kunnen dit om verschillende redenen doen, waaronder het intrekken van toestemming voor gegevensverwerking.
De wet lijkt aan te geven dat er een legitieme reden kan zijn voor het verzoek tot verwijdering van persoonsgegevens. Het geeft echter wel richtlijnen wanneer een organisatie zo’n verzoek kan weigeren. Als de verwerking van de gegevens noodzakelijk wordt geacht voor “het uitoefenen van het recht op vrijheid van meningsuiting en informatie”, het voldoen aan wettelijke verplichtingen of het vaststellen van juridische claims, of het dienen van het algemeen belang op bepaalde manieren, hoeft een organisatie niet te voldoen.
10. Brexit sluit het VK niet uit van de GDPR — nog niet.
De AVG is nog steeds van toepassing op bedrijven in het VK, ondanks het aanstaande vertrek van het land uit de EU. Zodra Brexit formeel plaatsvindt, zal de AVG niet langer de Britse gegevensbeveiliging reguleren. Echter, de Wet Bescherming Persoonsgegevens van het land is bijna identiek aan de AVG — tot aan dezelfde startdatum van 25 mei. Als je AVG-compliant bent, zou je ook gedekt moeten zijn met de Britse wet.
11. Het overtreden van de voorwaarden van de GDPR komt met een hoge prijs.
Probeer niet te ontkomen aan het ontwijken of negeren van de GDPR — het zal je duur komen te staan. De hoogste straffen voor niet-naleving omvatten boetes tot €20 miljoen (meer dan $23 miljoen) of 4 procent van de wereldwijde omzet, afhankelijk van wat groter is. Dit niveau van straf zou voorbehouden zijn aan de ergste overtreders, maar het is niet de moeite waard om te ontdekken hoe lichte misstappen zullen worden afgehandeld.
Naast het innemen van je geld, kunnen de gegevensbeschermingsautoriteiten van de EU ook enkele privileges voor gegevensverzameling van je bedrijf afnemen — of je zelfs helemaal verbieden om gegevens te verzamelen. Doe gewoon het juiste!
12. De nadruk van de nieuwe regels ligt op rechtmatig gebruik en eerlijke handel.
De GDPR is bedoeld om de gegevensregelgeving van alle EU-lidstaten te verenigen. Met de nieuwe wetten zijn de regels duidelijker en is het speelveld meer gelijkgetrokken in hoe EU-bedrijven de verzameling en het gebruik van persoonsgegevens afhandelen. Tegelijkertijd legt het een druk op bedrijven in andere landen om compliant te zijn.
Echter, de nadruk op veiligheid en transparantie kan op de lange termijn goed zijn voor het bedrijfsleven, en dit heeft alles te maken met de perceptie van de klant. In de afgelopen jaren is er een toename van datalekken op het gebied van beveiliging geweest, evenals meer publiciteit rondom de verzameling en het gebruik van gegevens van mensen.
In dit tijdperk van gegevensuitwisseling is de GDPR ook bedoeld om het vertrouwen van burgers in bedrijven te vergroten door hen meer bescherming te bieden. De regelgeving wordt algemeen beschouwd als een overwinning voor individuele privacyrechten. Maar hoewel het pijnlijk kan zijn om privacyverklaringen bij te werken – en mogelijk het beleid voor gegevensgebruik in je bedrijf te wijzigen – heeft de GDPR het potentieel om klanten meer vertrouwen in de handel te geven. De filosofie, in een notendop, is dat wat goed is voor de klant, goed is voor het bedrijfsleven.