Maandenlang stond maar één thema bovenaan je agenda: GDPR, de belangrijke regelgeving over de bescherming en beveiliging van persoonlijke data die ongetwijfeld een impact heeft (gehad) op de activiteiten van je bedrijf. Ben jij vandaag, de dag dat deze privacywetgeving in werking is, helemaal in orde met de GDPR?
Vind het antwoord in onze ultieme checklist:
- Contactformulieren
De GDPR-regelgeving eist volledige transparantie als het gaat over de bescherming van persoonsgegevens. Niet alleen de gegevens die je vanaf nu verzamelt, maar ook je bestaande databestand moet vanaf die datum GDPR-compliant zijn. Maak je gebruik van een contactformulier voor bijkomende vragen of om bijvoorbeeld op de hoogte te blijven van nieuwe projecten, dan moet je nadrukkelijk toestemming vragen aan de gebruiker. Dat doe je voor elk verzoek afzonderlijk. De aanvinkvakjes moeten initieel leeg zijn, het is aan de gebruiker om deze actief aan te vinken en z’n toestemming te geven.
- Privacy policy
Het is belangrijk dat de privacy policy in je algemene voorwaarden of op de website voldoet aan de richtlijnen van de GDPR: ze is transparant, toegankelijk, beknopt en begrijpelijk voor iedereen. De lezer vindt hier dus duidelijke informatie, en die is ondubbelzinnig gecommuniceerd.
De privacyverklaring verduidelijkt ook welke informatie de betrokkenen krijgen. Daarin is te lezen welke gegevenstypes je online verzamelt (via cookies of contactformulieren), wat je ermee doet, met wie ze gedeeld worden en hoe lang je deze informatie bewaart. Beschrijf ook de verschillende toepassingen die je hanteert om de gebruikservaring van je website te analyseren en te verhogen.
- Gegevens updaten en deleten
Iedereen moet zijn verstrekte persoonlijke gegevens kunnen aanpassen of wissen. Een adreswijziging, de gekozen contactmogelijkheden aan- of uitvinken, een account deleten … zijn maar een paar voorbeelden. Hoe je dit realiseerde, maakt niet veel uit. Het belangrijkste is dat de gebruiker dit makkelijk kan aanpassen.
TIP
Dit geldt niet voor de gegevens die je verplicht bent te bewaren voor de uitvoering van je taak, zoals een kopie van de identiteitskaart.
- Software van derden
Gebruik je software of applicaties van derden, dan informeer je vanaf nu de bezoekers van je website via de privacyvoorwaarden of de contactformulieren over deze derde partijen. Denk hierbij aan softwarepakketten Mailchimp, Omnicasa en Maximmo. Noem ze bij naam, zeg waarvoor ze je persoonsgegevens gebruiken en vraag toestemming om die met hen te delen.
- Business partners
Van websitebouwer tot boekhouder, hoe zit het met je business partners die in jouw naam de persoonsgegevens van leads, klanten en medewerkers verwerken? Jij bent de eindverantwoordelijke voor je klantendata, is je partner niet in orde met de GDPR-wetgeving, dan ligt de aansprakelijkheid bij jou.
- Auditrapporten en beleidsdocument
Als onderdeel van de documentatie- en verantwoordingsplicht die geldt bij het verwerken van persoonsgegevens, moet elk bedrijf een auditrapport of dataregister hebben. Dit rapport brengt alle datastromen van persoonsgegevens, van geprinte sollicitatiebrieven tot koopovereenkomsten, in kaart en moet je voorleggen in geval van een datalek om te bewijzen dat je je wel degelijk aan de regels hebt gehouden. Je houdt het om die reden altijd up-to-date.
Je moet niet alleen je persoonlijke data in kaart brengen, je moet ook verklaren dat je alle regels respecteert in de vorm van een beleidsdocument. Vermeld welke maatregelen je neemt om alle data te beveiligen, op technisch (IT) niveau en organisatieniveau (intern).
- Data protection officer
Stelde je al een Data Protection Officer (DPO) aan? Dat kan een extern adviseur of iemand van binnen het bedrijf zijn. De DPO controleert of het dataregister accuraat blijft en of alle persoonsgegevens correct worden bewaard, gebruikt en gedeeld.
- SSL-certificaat
Je bent verplicht een SSL-certificaat te gebruiken als je online via webformulieren persoonsgegevens verwerkt. Een SSL-certificaat zorgt voor een optimale beveiliging van gegevens tussen de server van je website en een internetbrowser zoals Chrome of Explorer. Cybercriminelen kunnen deze gegevens niet onderscheppen. Verschijnt er geen hangslotje wanneer je de url van je website intikt in de zoekbalk van de browser? Dan maakt je website geen gebruik van een beveiligde https-verbinding. Neem in dat geval contact op met je webhost.
- Wat als … je de deadline van 25 mei niet hebt gehaald?
Is je zaak nog niet conform met de GDPR-regelgeving, dan riskeer je een boete die kan oplopen tot twintig miljoen euro of vier procent van de globale jaarlijkse omzet. Daarnaast kan je als bedrijf ook aansprakelijk gesteld worden in geval van een datalek dat schade veroorzaakt aan derden. Maar geen paniek: er wordt geen heksenjacht ontketend door de Belgische privacy autoriteit, je kunt dus nog altijd op jouw tempo de nodige aanpassingen (laten) uitvoeren.
TIP:
Als je jouw klanten de garantie kan geven dat hun persoonsgegevens veilig zijn, dan versterkt hun vertrouwen in je bedrijf en heb je een stapje voor. Tal van bedrijven bieden diensten aan die je kunnen helpen om je website en digitale kanalen GDPR-compliant te maken. Living Stone, expert in (digitale) marketingstrategieën, helpt je om van de GDPR een opportuniteit te maken om je klanten beter te leren kennen en je communicatie te personaliseren.
