Welke impact heeft de GDPR op uw website?

Op 25 mei van dit jaar is het zo ver, dan wordt de veelbesproken en belangrijke ‘General Data Protection Regulation’ van kracht. Er is de voorbije maanden reeds behoorlijk wat over deze nieuwe Europese wetgeving gezegd en geschreven, maar voor veel van onze klanten blijkt het toch nog niet helemaal duidelijk te zijn welke mogelijke aanpassingen ze nu precies aan hun website of webshop dienen aan te brengen. Om een beetje licht in de duisternis te verschaffen zullen wij in de komende periode een reeks van blogartikelen publiceren waarin we aangeven waar u allemaal rekening mee dient te houden om u in regel te stellen met de bepalingen zoals vastgelegd in de GDPR. Beginnen doen we vandaag met dit blogartikel waarin een overzicht wordt geschetst van alle nieuwe vereisten die de GDPR wetgeving met zich meebrengt.

1.) Verplichte installatie van SSL-certificaat

In een recent blogartikel hebben we reeds aangegeven dat gebruikmaken van een SSL-certificaat op uw website tegenwoordig eigenlijk een absolute must is. Doet u dat niet, dan zal dat er namelijk voor zorgen dat Google Chrome uw website of webshop vanaf juli 2018 als onveilig gaat markeren. Dat is echter niet alles. Volgens de GDPR is het installeren van een SSL-certificaat welke zorgt voor een beveiligde HTTPS-verbinding namelijk verplicht vanaf het ogenblik dat er persoonlijke gegevens worden verzameld.

Beschikt uw website of webshop nog niet over een SSL-certificaat en wilt u daar verandering in brengen? In dat geval kunnen wij van Gemnu BVBA u hiermee van dienst zijn. Neem gerust geheel vrijblijvend contact met ons op en we vertellen u graag wat de mogelijkheden zijn en welke kosten hieraan zijn verbonden.

2.) Strengere regels met betrekking tot het gebruik van cookies

Eerder werd er reeds een verplichting ingevoerd voor websites en webshops om hun bezoekers er attent op te maken dat er gebruik wordt gemaakt van cookies. Om de overlast van deze melding tot een minimum te beperken kozen heel wat eigenaars van een website of webwinkel er voor om een eenvoudige regel toe te voegen die stelde dat bezoekers automatisch akkoord gingen met de cookies door het domein te bezoeken. Dit automatisch akkoord wordt door middel van de GDPR uitgesloten.

Denkt u dat uw website of webshop geen gebruik maakt van cookies? Dat kan, maar lijkt weinig waarschijnlijk. Op het ogenblik dat u er bijvoorbeeld voor kiest om data te verzamelen door middel van Google Analytics wordt er reeds gebruik gemaakt van (analytische) cookies. Deze vallen onder de definitie van de persoonsgegevens. Bijgevolg bent u verplicht om actief de bezoekers van uw website akkoord te laten gaan met het gebruik van deze cookies. Bovendien dient het gebruik op transparante wijze te worden omschreven in het privacybeleid dat op uw website is terug te vinden. Hou er daarenboven rekening mee dat er niet meer gegevens mogen worden verzameld dan strikt noodzakelijk is.

Specifiek voor Google Analytics geldt onder meer dat met de invoering van de GDPR niet langer het volledige IP-adres van de bezoeker van uw website of webshop meegedeeld mag worden. Deze dient u dan ook te anonimiseren door een extra stukje code toe te voegen. Alle aanpassingen waar u met betrekking tot het gebruik van Google Analytics rekening mee dient te houden zullen we eerstdaags in een apart blogartikel kenbaar maken.

3.) Let op met het gebruik van formulieren op uw website

Wordt er op uw website de mogelijkheid aangeboden om één of meerdere formulieren in te vullen? In dat geval is het bijzonder belangrijk dat de inhoud van deze formulieren enkel en alleen naar de strikt noodzakelijke (ontvanger)s wordt verzonden. Bovendien dient de persoon die het formulier invult zich bewust te zijn van de inhoud van het privacybeleid evenals de disclaimer van de website of webshop in kwestie. Het wordt ten stelligste aangeraden om hier een aparte checkbox voor te voorzien.

Het is een bijzonder vaak voorkomend fenomeen dat tal van overbodige kopieën levenslang op de webserver worden bijgehouden. Anderzijds kan er ook vaak worden vastgesteld dat er andere ontvangers in CC staan vermeld. Volgens de nieuwe GDPR is het vereist om inkomende vragen, bestellingen of inschrijvingen steeds af te handelen door middel van één specifieke procedure. Gebruik de persoonsgegevens bovendien nooit breder dan voor het specifieke doel waarvoor ze werden verstrekt.

Een ander belangrijk aandachtspunt heeft betrekking tot ‘het recht om vergeten te worden’. Concreet betekent dit dat, op het ogenblik dat iemand bij uw bedrijf het verzoek indient om zijn of haar persoonsgegevens te laten wissen, u hier op een efficiënte manier op in kunt spelen. Tot slot is het eveneens verplicht om de e-mails die u ontvangt standaard te wissen na een redelijke termijn.

4.) Wat met opt-ins?

Het is nog steeds toegestaan om de bezoekers van uw website of webwinkel de kans te bieden om zich in te schrijven voor een nieuwsbrief door een bepaald formulier in te vullen. Wel is het belangrijk om er rekening mee te houden dat u voor dit extra verwerkingsdoel een checkbox moet voorzien. Op deze manier is het voor u namelijk aantoonbaar dat er op voorhand door de persoon in kwestie duidelijk een concrete toestemming werd gegeven voor de opt-in. Vroeger mocht deze checkbox bovendien standaard aangevinkt staan, maar dat is tegenwoordig niet langer toegestaan. Bovendien spreekt het voor zich dat deze checkbox voor uw nieuwsbrief ook niet mag worden opgenomen als verplicht veld in uw offerteformulier.

Het doel van bovenstaande wijzigingen is terug te vinden in het feit dat gebruikers bewust moeten aangeven dat ze akkoord gaan met de verwerking van hun persoonsgegevens voor bijvoorbeeld marketing gerelateerde doeleinden. Heerst er twijfel? In dat geval wordt het aangeraden om een e-mail te versturen naar de gebruiker waarin een bevestigingsvraag is opgenomen. Op deze manier beschikt u over een aantoonbare opt-in op het ogenblik dat hij of zij de e-mail beantwoord. Hou er bij het gebruik van een nieuwsbrief ook rekening mee dat deze in regel moet zijn met de GDPR-wetgeving. Bovendien is er tevens een opt-in vereist die verwijst naar de inhoud van uw privacyverklaring.

5.) Inzage in persoonsgegevens

De bepalingen die zijn opgenomen in de GDPR-wetgeving stellen duidelijk dat gebruikers ten allen tijde over de mogelijkheid moeten beschikken om hun gegevens in te kunnen kijken, te verbeteren en / of te (laten) verwijderen. Dit kan op verschillende manieren worden aangeboden. Het mag hierbij bijvoorbeeld gaan om een manueel proces, maar anderzijds is het ook mogelijk dat u een soort van online self-service systeem opzet. Dit laatste gaat in eerste instantie dan wel gepaard met een bepaalde investering, maar kan op termijn een zeer tijdbesparende oplossing blijken te zijn.

Naast bovenstaande is er uiteraard ook nog ’the right to be forgotten’ of in het Nederlands, het recht om vergeten te worden. Dit recht zorgt er in de praktijk voor dat u van een bepaalde persoon de vraag kunt krijgen om zijn of haar persoonlijke gegevens te wissen. Dit is uitsluitend mogelijk op het ogenblik dat deze niet vereist voor bijvoorbeeld het uitvoeren van een overeenkomst. Indien een gebruiker waarvan diens gegevens niet langer zijn vereist hierom vraagt bent u verplicht om hier als bedrijf aan te voldoen. Dit bovendien binnen een redelijke termijn.

6.) Extra aandachtspunt voor gebruikers van opensource systemen

Het merendeel van onze klanten maken gebruik van WordPress. Wanneer dit eveneens geldt voor u is de kans bijzonder groot dat u eveneens plugins of extensies van externe ontwikkelaars heeft geïnstalleerd. In dat geval bent u verplicht om er voor te zorgen dat alle partijen waarmee u samenwerkt GDPR compliant zijn. Dit betekent dat zij niet zomaar ongevraagd persoonsgegevens mogen verwerken.

7.) Samenwerking met externe partijen

Last but not least, heeft u er voor gekozen om samen te werken met externe partijen zoals met name MailChimp, Google en Facebook? In dat geval dient u er zich van bewust te zijn dat dit stuk voor stuk gegevensverwerkers zijn. Niet zelden betreft het hier bovendien bedrijven die niet in Europa zijn gevestigd en voor hun gegevensopslag gebruikmaken van niet in Europa draaiende servers. Daarnaast kan er vaak worden vastgesteld dat in de overeenkomsten wordt aangegeven dat deze partijen steeds de mogelijkheid hebben om de gegevens te delen met andere subverwerkers. Hou er wel rekening mee dat u in deze situatie verantwoordelijk bent voor het doorgeven en exporteren. Het afsluiten van een (nieuwe) GDPR-conforme overeenkomst met deze externe bedrijven is dan ook erg belangrijk.

Afbeeldingen in dit blogartikel: © Shutterstock


In het verleden werden mogelijke inbreuken op de privacywetgeving veelal blauw-blauw gelaten. Daar komt met de invoering van de GDPR definitief verandering in. Op het ogenblik dat u niet voldoet aan de vastgestelde bepalingen in deze wetgeving is het mogelijk dat u geconfronteerd zult worden met torenhoge boetes. De boete kan in theorie oplopen tot 2 procent van de jaarlijkse omzet. Bij ernstige misstappen is het zelfs mogelijk dat dit bedrag stijgt tot 4 procent van de jaaromzet of een maximum van 20 miljoen euro. Komt u er zelf niet helemaal uit, wenst u een SSL-certificaat te bestellen of heeft u nog andere vragen? Aarzel dan in geen geval om contact met ons op te nemen!