top of page
wit vlak
wit vlak
logo

GENERAL DATA PROTECTION REGULATION (GDPR)

De General Data Protection Regulation (Algemene Verordening Gegevensbescherming) is op 25 mei 2018 in werking getreden. Deze wetgevingsinitiatief was bedoeld om de informatieveiligheid en transparantie over de verwerking van persoonsgegevens in de Europese lidstaten te bevorderen. De nieuwe regels brengen dus vooral privacy-gerelateerde verplichtingen met zich mee.

Elke onderneming die de persoonsgegevens verzamelt of verwerkt moet dit voortaan GDPR-conform doen. Met ‘persoonsgegevens’ worden alle persoonlijke gegevens waarmee natuurlijke personen geïdentificeerd kunnen worden aangeduid. Denk bijvoorbeeld aan een naam, e-mailadres, IP adres of telefoonnummer.

Meer over wat volgens de GDPR wetgeving onder het begrip ‘verwerking’ valt vind je in deze blogpost van Mr. Franklin.

rood vlak
icoon xwing

WEBSITE / WEBSHOP
GDPR CONFORM

Sinds de nieuwe privacywetgeving zijn er redelijk wat juridische details waarmee een onderneming rekening moet houden bij het uitbaten van een website of een webshop om die GDPR conform te maken. De GDPR-experts van Mr. Franklin leggen uit wat GDPR voor websites betekent en hoe je een GDPR compliant website of webshop uitbouwt, rekening houdende met de wetgeving.

COOKIE BANNER EN COOKIE BELEID

De verplichtingen van een cookiebanner en cookiebeleid volgens de GDPR en ePrivacy-richtlijn

 

Het correct implementeren van een cookiebeleid en cookiebanner is essentieel voor iedere website die cookies gebruikt. Zowel de GDPR (General Data Protection Regulation) als de ePrivacy-richtlijn leggen strenge eisen op aan het gebruik van cookies en trackingtechnologieën. In dit artikel zetten we de belangrijkste verplichtingen op een rij en leggen we uit hoe uw organisatie kan voldoen aan de wetgeving.

 

Verplichtingen voor een cookiebanner

 

Een cookiebanner is het eerste contactpunt tussen uw website en de gebruiker met betrekking tot cookies. De banner moet duidelijk, transparant en volledig voldoen aan de volgende eisen:

 

1. Toestemming vooraf vragen voor niet-noodzakelijke cookies

 

• Cookies mogen pas geplaatst worden na expliciete toestemming van de gebruiker.

• Dit geldt voor alle cookies die niet noodzakelijk zijn voor de werking van de website, zoals analytische, marketing- en trackingcookies.

• Gebruikers moeten expliciet toestemming geven via een duidelijke actie, zoals het aanklikken van een knop.

 

2. Specifieke toestemming

 

• Gebruikers moeten afzonderlijk toestemming kunnen geven voor verschillende categorieën cookies, zoals analytische of marketingcookies.

• Een alles-of-niets aanpak is niet toegestaan.

 

3. Duidelijke en begrijpelijke informatie

 

De cookiebanner moet de gebruiker informeren over:

• De soorten cookies die worden gebruikt (functioneel, analytisch, marketing).

• Het doel van de cookies (bijvoorbeeld gebruikersvoorkeuren opslaan of advertenties personaliseren).

• Wie de gegevens verwerkt (de organisatie zelf of derden).

 

4. Toestemming intrekken of wijzigen

 

• Gebruikers moeten eenvoudig hun toestemming kunnen intrekken of aanpassen.

• Dit kan via een knop in de cookiebanner of een link naar cookie-instellingen in het cookiebeleid.

 

5. Geen vooraf aangevinkte vakjes

 

• Toestemming mag niet impliciet worden gegeven door middel van vooraf aangevinkte vakjes.

• Gebruikers moeten actief een keuze maken.

 

6. Toestemming registreren en bewaren

 

• U moet kunnen aantonen dat u toestemming heeft gekregen, bijvoorbeeld door het bijhouden van een logbestand met de keuzes van de gebruiker.

 

Verplichtingen voor een cookiebeleid

 

Het cookiebeleid is een uitgebreid document dat uitleg geeft over het gebruik van cookies op uw website. Het moet voldoen aan de volgende verplichtingen:

 

1. Soorten cookies en doeleinden

 

• Geef een gedetailleerde beschrijving van de soorten cookies die uw website gebruikt, zoals:

• Functionele cookies: Noodzakelijk voor de werking van de website.

• Analytische cookies: Voor statistieken en verbeteringen.

• Marketingcookies: Voor gepersonaliseerde advertenties en tracking.

• Vermeld voor elke soort cookie het specifieke doel, bijvoorbeeld:

• Het onthouden van inloggegevens.

• Het bijhouden van surfgedrag voor marketingdoeleinden.

 

2. Wie plaatst de cookies?

 

• Vermeld of de cookies door uw organisatie (first-party cookies) of door derden (third-party cookies) worden geplaatst.

• Geef bij third-party cookies een lijst van deze partijen en link naar hun privacy- en cookiebeleid.

 

3. Bewaartermijnen

 

• Geef aan hoe lang de cookies worden bewaard. Bijvoorbeeld:

• Sessiecookies: worden verwijderd na het sluiten van de browser.

• Permanente cookies: worden gedurende een bepaalde periode opgeslagen.

 

4. Toestemming en beheer

 

• Beschrijf hoe gebruikers hun toestemming kunnen geven, aanpassen of intrekken.

• Bied een link naar een cookie-instellingenpagina waar gebruikers hun voorkeuren kunnen beheren.

 

5. Rechtsgrond voor het gebruik van cookies

 

• Vermeld op welke rechtsgrond u cookies plaatst, zoals toestemming of gerechtvaardigd belang.

 

6. Rechten van betrokkenen

 

• Informeer gebruikers over hun rechten, zoals het recht op toegang, correctie, verwijdering, en bezwaar tegen de verwerking van hun gegevens.

• Geef duidelijke instructies over hoe zij contact kunnen opnemen met uw organisatie om deze rechten uit te oefenen.

 

7. Contactgegevens

 

• Vermeld de contactgegevens van uw organisatie, zodat gebruikers vragen kunnen stellen over het gebruik van cookies.

 

8. Technische en organisatorische maatregelen

 

• Beschrijf hoe u de gegevens die via cookies worden verzameld, beschermt tegen misbruik of ongeautoriseerde toegang.

WEBSITE GDPR CONFORM

GDPR geldt ook voor de websites die persoonlijke gegevens verwerken (of zelfs louter verzamelen). Tegenwoordig verzamelt bijna iedere website (soms onbewust) persoonsgegevens. Een klantenkaart waarbij de klanten gegevens moeten invullen, een contactformulier waar klanten de e-mailadressen kunnen achterlaten of andere manieren waarop contactinformatie van de gebruiker verzameld wordt - dit allemaal zorgt ervoor dat de GDPR-normen van toepassing zijn.

Bijgevolg moeten ook webshops en websites GDPR conform (GDPR compliant in het Engels) opereren. 


Privacy verklaring

 
Wanneer een website persoonsgegevens verzamelt, mag de informatieverplichting niet uit het oog verloren gaan. Een privacy verklaring of privacy policy moet aan de bezoekers van jouw website uitleggen hoe, waarom en welke persoonlijke gegevens je verzamelt.

Elk webshop is trouwens in elk geval verplicht om een privacy statement te gebruiken.

Contactgegevens
 
De GDPR-regelgeving bepaalt welke informatie in jouw privacy verklaring beschikbaar moet zijn. Zo moeten er de contactgegevens van de entiteit die de persoonsgegevens verzamelt in staan, evenals de contactgegevens van de Data Protection Officer van de organisatie.

Heeft de gegevensverwerkende onderneming meerdere afdelingen, dan vermeld je best ook welke office verantwoordelijk is voor de verwerking van persoonsgegevens.


Verwerkingsgrond, doel van de verwerking en bewaartermijn van de gegevens
 
Ook moet de onderneming de verwerkingsgrond vermelden waarop de gegevensverwerking is gebaseerd, samen met de reden waarom de persoonsgegevens verzameld en verwerkt worden. Daarbij moet de privacyverklaring de bewaartermijn kenbaar maken waarna de persoonsgegevens gewist worden (of de criteria die gebruikt worden om deze termijn te bepalen).


Bescherming van verzamelde data


De onderneming moet ook aantonen hoe de website of de webshop de verzamelde gegevens beschermt. Als entiteit die persoonsgegevens verwerkt moet je ervoor zorgen dat de integriteit van deze persoonsgegevens beschermd wordt. Dit wil zeggen dat de verzamelde gegevens niet zomaar gewijzigd mogen worden.

De persoonsgegevens mogen niet openbaar worden bekendgemaakt of zomaar naar andere entiteiten getransfereerd worden. Het is jouw plicht als gegevensverzamelende entiteit om een datalek te voorkomen. Het kan nuttig zijn om de maatregelen die jouw onderneming neemt om een datalek te vermijden kort in de privacyverklaring toe te lichten.


De territoriale omvang van de verwerking

 
Zoals eerder gezegd is de Algemene Verordening Gegevensbescherming (GDPR) een Europeesrechtelijke initiatief. Dit wil zeggen dat er buiten de EU andere privacyregels gelden. Daarom moet de privacyverklaring van jouw webshop of website de gebruikers informeren over of je de persoonsgegevens ook buiten de Europese Unie zal verwerken (bijvoorbeeld door de samenwerking met entiteiten uit derde landen).

Is dit wel het geval, dan moet de privacy statement uitleggen welke bescherming de persoonsgegevens in deze niet-EU landen genieten.


Eventuele geautomatiseerde verwerkingen

Maakt jouw website of webshop gebruik van geautomatiseerde besluitvorming, dan vermeld je dit ook best in de privacy statement.


Rechten van de personen wiens gegevens verwerkt worden
 
De GDPR-Verordening voorziet ook in een aantal rechten voor de personen wiens gegevens verwerkt worden: onder andere het recht op inzage van de verzamelde persoonsgegevens of het recht om volledig uit alle databanken van jouw onderneming gewist te worden.

Het is aan de entiteit die persoonsgegevens verwerkt of verzamelt om de gebruiker van een website of een webshop over het bestaan van deze rechten in te lichten. De eenvoudigste manier om dit te doen is dan weer de vermelding in de privacyverklaring.


En nog meer…
 
Zoals je zelf al hebt gemerkt, is de regeling rond privacy statement zeer gedetailleerd uitgewerkt. Deze vaak juridisch technische details zorgen ervoor dat het opstellen van een correcte privacy statement een lastige en vooral een tijdrovende zaak wordt.

Tevens blijft het opmaken van een GDPR-conforme privacy statement voor jouw website of webshop enorm belangrijk. De boete die je riskeert indien je online platform niet in overeenstemming met de nieuwe privacyregels functioneert, kan tot 4% van de omzet oplopen.

Veel ondernemingen kiezen er dan ook voor om een privacyverklaring voor een webshop of een website door de juridisch adviseur te laten opmaken. Zo weet je zeker dat jouw onderneming op GDPR-vlak juridisch in orde is - en dat ook blijft.

WELKE GEGEVENS MOET EEN PRIVACY VERKLARING BEVATTEN?

Het niet naleven van de eisen rondom een cookiebanner en cookiebeleid kan leiden tot boetes door toezichthouders zoals de Gegevensbeschermingsautoriteit (GBA) of Autoriteit Persoonsgegevens (AP). Naast financiële risico’s kan ook reputatieschade ontstaan als gebruikers merken dat hun privacy niet wordt gerespecteerd.

 

Bij Mr. Franklin bieden wij uitgebreide ondersteuning bij het implementeren van een correcte cookiebanner en het opstellen van een compliant privacybeleid en cookiebeleid. Onze diensten omvatten:

• Juridische analyse van uw huidige cookiebanner en beleid.

• Opstellen en aanpassen van documenten volgens de GDPR en ePrivacy-richtlijn.

• Advies over de correcte cookiebanner

• Nakijken van uw website/webshop om deze volledig privacyproof te maken.

 

Neem vrijblijvend contact op met Mr. Franklin voor advies op maat en zorg ervoor dat uw website voldoet aan alle wettelijke vereisten.

HOE KAN MR. FRANKLIN JE HIERIN BIJSTAAN?

VOLGENDE ORGANISATIES VERTROUWEN OP MR. FRANKLIN

bottom of page