Sinds 2016 is de General Data Protection Regulation (GDPR) van kracht. Dit is de Europese verordening die privacyrechten versterkt en uitbreidt. De impact voor organisaties is groot. Zeker als zij gebruikmaken van online platformen waarin veel persoonsgegevens omgaan. De gevolgen kunnen verstrekkend zijn. Daarom moet je in actie komen! Maar... hoe maak je jouw online platform GDPR-proof? Je leest het in deze blog.
Ben jij eigenaar van een website of webshop? Een app? Of een chatbot? Dan ben je vrijwel altijd verwerker van persoonsgegevens - misschien wel meer dan je zelf denkt. Ga maar eens na of jouw klanten, leveranciers of medewerkers gegevens in moeten vullen. Gerede kans dat er functionaliteiten op jouw online platform staan - aanmelden voor nieuwsbrief, invullen van bestelformulier, communiceren via een chatbot - waarbij er persoonsgegevens aan te pas komen. En al die data moet op een veilige manier opgeslagen worden.
De GDPR is een uitgebreid onderwerp en de opvolger van de meldplicht datalekken. In deze blog lichten we in hoofdlijnen uit hoe je als bedrijf zorgvuldig met data om kan gaan. Wees als eigenaar van een online platform bewust van privacy, dataveiligheid en wat de Algemene verordening gegevensbescherming (AVG) vereist. Hieronder staat kort toegelicht welke rechten bezoekers van jouw webshop hebben:
Relevantie: verzamel alleen informatie wat je écht nodig hebt.
Bezwaar (opt-in/opt-out): er kan bezwaar gemaakt worden tegen het gebruik van bepaalde gegevens.
Inzage: er is recht op inzage in eigen gegevens die mogen worden gerectificeerd.
Bewaren: voldoe aan de bewaarplicht en verwijder bestanden die niet meer van belang zijn.
Overdraagbaarheid (dataportabiliteit): er kan gevraagd worden om gegevens over te dragen aan andere organisaties.
Welke technische implicaties heeft dit voor jouw online platform? Hoe maak je dat AVG-proof? In elk geval door privacy by design toe te passen: al tijdens de ontwikkeling van producten en diensten houd je rekening met privacy van gebruikers. Bijvoorbeeld door (technische) maatregelen te nemen die persoonsgegevens beschermen.
Draait jouw online platform al? Ook dan helpen deze AVG verplichte maatregelen, waaronder een aantal quick wins, je goed op weg:
Dataminimalisatie: vraag jezelf af welke gegevens je werkelijk nodig hebt. Wat is relevant en wat niet? En voor hoe lang? Verwijder al het overbodige. Dat kan al door kritisch naar de formulieren te kijken. Is het vragen van een geboortedatum of geslacht echt nodig?
Pseudonimiseren: ontdoe gegevens van direct identificerende kenmerken. Stel beleid op voor het gescheiden houden van identificerende data en overige gegevens. Ben je marketeer of onderzoeker en maak je gebruik van tools als Google Analytics of Hotjar? Houd hier dan rekening mee.
Encryptie (versleuteling): sla gevoelige gegevens versleuteld op, bijvoorbeeld over medische aandoeningen.
Toegangscontrole: zorg voor juiste autorisatie en authenticatie. Alleen degene die de gegevens beroepsmatig werkelijk nodig heeft, krijgt er toegang tot. Richt daarnaast een systeem in dat bijhoudt wie wanneer de gegevens inziet.
Privacy by default: richt het online platform zo in, dat privacy op de eerste plaats komt. Neem privacyvriendelijke instellingen als uitgangspunt (inschrijven op een nieuwsbrief is niet inschrijven op andere communicatie-uitingen). Pas een transparante user-interface en permission management toe, op basis van opt-in of opt-out. Ga uit van het minimum dat je aan gegevens nodig hebt. En houd bij wie en waarvoor iemand zich heeft ingeschreven of uitgeschreven.
Verwijderen/bewaartermijnen: vernietig gegevens na het verstrijken van de bewaartermijn. Verwijder ook de gegevens die geen nut hebben of die je niet gebruikt. Mensen hebben het recht hun gegevens te laten verwijderen. Als zij zeggen: ik wil uit de lijst, dan moet die mogelijkheid er zijn.
Faciliteren van rechten: informeer mensen duidelijk over welke gegevens je verzamelt, hoe je dat doet en hoe je ze gebruikt. Maak dus een helder privacy statement: een beleid dat zegt hoe te handelen bij verzoeken tot inzage, correctie en verwijdering van gegevens.
AVG-proof ondernemen met een online platform komt hoofdzakelijk neer op: minimaliseren, openheid van zaken bieden, privacy en bijbehorende rechten faciliteren. Axendo helpt bedrijven daarbij. In samenwerking met experts voeren we inventarisaties uit en geven we advies.
Axendo maakt quickscans van online platformen om te zien waar de knelpunten zitten op privacy gebied. Axendo upgrade en werkt onderliggende systemen bij. Dat doen ze met Umbraco en Sitecore, maar het kan ook zijn dat aan de voorkant formulieren, privacyverklaringen en chatbot-instellingen aangepast moeten worden.
De verantwoordelijkheid om te voldoen aan de AVG wet- en regelgeving ligt bij jou. Wacht dus niet af. Bereid je organisatie voor. Neem maatregelen. Zodat jouw online platform AVG-proof is.
Wil je meer weten? Lees dan deze blog met meer informatie over Umbraco en de GDPR.