Het doel van dit dossier is een leidraad en een praktische methode aan te reiken voor de implementatie van de GDPR-naleving op websites. In een eerste deel worden de verschillende principes die rechtstreeks verband houden met de sites onderzocht; vervolgens wordt een methode in de vorm van een lijst van acties gepresenteerd.

Laten we beginnen met de basisprincipes en hun implicaties voor websites.

Toestemming met betrekking tot de verwerking van persoonsgegevens

Alle persoonlijke gegevens moeten vrijelijk worden verstrekt en de vermeldingen moeten specifiek en duidelijk zijn. Gebruikers die geen toestemming geven, mogen niet worden gediscrimineerd. Indien een weigering van toestemming leidt tot de onmogelijkheid om een dienst te verlenen, is het de verantwoordelijkheid van de persoon die een dergelijke verwerking weigert.

Dit betekent dat alle formulieren die gegevens van gebruikers verzamelen (gebruikersprofielen, webformulieren, winkelwagentjes, donatieformulieren, etc.) duidelijke registratievelden met beknopte beschrijvingen moeten hebben, en dat aanbiedingen van toegang tot gratis diensten in ruil voor persoonlijke gegevens niet kunnen worden toegestaan.

Ook moet aan de bezoeker van een website worden uitgelegd hoe zijn of haar persoonlijke gegevens worden gebruikt, door wie, en voor hoe lang. Daarom moet worden verduidelijkt wat er wordt verwerkt en met welk doel, en hoe lang de gegevens worden opgeslagen. Daarnaast moet ook duidelijk worden gemaakt met wie de bezoeker contact kan opnemen over zijn gegevens en over alle verwerkingen. Deze informatie wordt idealiter gepresenteerd in een privacybeleidsdocument.

Ten slotte moet ervoor worden gezorgd dat de persoonsgegevens alleen voor de vastgestelde doeleinden worden gebruikt. Daarom is het zeer belangrijk om vanaf het begin duidelijk te zijn over mogelijke toekomstige verwerkingsintenties. Dit betekent dat men bijvoorbeeld niet automatisch kopers of indieners van webformulieren kan toevoegen aan mailchimplijsten zonder expliciete toestemming. In het privacybeleid moet daarom duidelijk worden vastgelegd hoe de gegevens precies worden verwerkt.

Fout-gegevensminimalisatie en privacy

Voor de ontwikkeling, ontwikkeling, test- en productieomgevingen wordt meestal een omgeving ingericht. Het principe van dataminimalisatie houdt in dat persoonsgegevens uit niet-productieomgevingen moeten worden verwijderd. Dit maakt het testen en ontwikkelen complexer. Als besloten wordt dit niet te doen, moeten gevoelige gegevens op een realistische en consistente manier worden afgeschermd; dit voldoet aan de eisen van de GDPR, terwijl het toch mogelijk is om met een zinvolle set gegevens te testen en te ontwikkelen. In productieomgevingen moeten we de gegevens die we verzamelen in de eerste plaats beperken. Het is nuttig om te vragen of we deze gegevens echt nodig hebben.

Bij het analyseren van de gegevens moeten we ook nagaan welke gegevens verouderd zijn en inschatten of we de oude gegevens nog nodig hebben. In de praktijk zal het dan nuttig zijn om te overwegen de gegevens te verbergen of te wissen. Dataminimalisatie is een van de moeilijkste elementen om te beheren, vooral in een ontwikkelings-, test- en productieomgeving. Het simpelweg slepen van databases uit de productie zal niet langer een aanvaardbare workflow zijn.

Pseudonimization, encryptie en SSL

De GDPR verwijst naar pseudonimisering. Het is een middel om gegevens te transformeren zodat ze niet gemakkelijk aan een individu kunnen worden gekoppeld. Zo kan men bijvoorbeeld een identificator gebruiken die gekoppeld is aan niet-persoonlijke gegevens (commercieel product, bedragen, verzendkosten, enz.) en de persoonlijk identificeerbare gegevens in een aparte database bewaren. Dit betekent dat in het geval van een gegevensinbreuk in onze hoofddatabank geen persoonlijke gegevens verloren gaan. Het is duidelijk dat dit niet altijd mogelijk is bij gebruik van CMS of soortgelijke tools op dit moment. Vaak zal een grote herschrijving van vele applicatiemodules nodig zijn. Het is daarom nuttig om regelmatig te verwijzen naar de kennisbasis van de aanvragen om de ontwikkelingen met betrekking tot de BBPR te volgen.

Encryptie kan een gedeeltelijke oplossing bieden voor het probleem. Aan de andere kant is SSL ook zeer belangrijk: gegevens moeten via beveiligde kanalen worden verzonden. De meeste toepassingen moeten zich ontwikkelen om aan dit niveau van eisen te voldoen, maar er worden momenteel steeds meer GDPR-georiënteerde modules gepubliceerd om de scheiding van gegevens te waarborgen. Gegevensinbreuk In het geval van een vermoedelijke gegevensinbreuk moeten de gegevensbeschermingsautoriteiten binnen 72 uur na ontdekking op de hoogte worden gebracht. Er moet een audit worden uitgevoerd van elk vermoeden van gegevensverlies en uiteraard moet de inbreuk worden verholpen en aangepakt. Het is een goede praktijk voor de diensten en webapplicaties die we gebruiken om al onze codes en modules veilig en up-to-date te houden. De gegevens moeten daarom worden opgeslagen op beveiligde hostingplatforms, idealiter met behulp van gecodeerde databases.

Recht om te worden vergeten

Een persoon heeft het recht om te worden vergeten, wat betekent dat hij of zij kan vragen om zijn of haar gegevens te verwijderen van een website, al dan niet op basis van een CMS. Bezoekersgegevens worden meestal opgeslagen in gebruikersprofielen, inzendingen van webformulieren, gegevens van bestellingen die via de site zijn geplaatst en alle andere gegevens van modules die bezoekersinformatie kunnen verzamelen. Gebruikersprofielen zijn relatief eenvoudig te beheren; men kan eenvoudig een account verwijderen en de inhoud ervan laten behoren tot een anonieme gebruiker. Inzendingen van webformulieren kunnen worden verwijderd. E-commerce gerelateerde gegevens zijn anders. Financiële transacties kunnen wettelijk verplicht worden gecontroleerd, wat in strijd is met het recht op vergetelheid. In dit geval prevaleert echter de wettelijke verplichting boven het recht op vergetelheid.

Een ander belangrijk aspect is het delen van gegevens. Indien u gegevens doorgeeft aan een dienst van derden (mailchimp, betalingsverwerkers, enz.), moeten verzoeken betreffende het recht om te worden vergeten ook aan derden worden doorgegeven.

 

Laten we nu eens kijken hoe deze principes kunnen worden toegepast bij de implementatie van een website.

Praktische acties voor de implementatie van GDPR in websites Communiceer uw privacybeleid

  • Schrijf een duidelijk privacybeleid waarin het gebruik van de code van derden en de gegevensverzameling wordt uitgelegd.
  • Post een banner die verwijst naar uw beleid op de homepage of verwijs daarnaar op een zichtbare manier.
  • Zorg voor interne training van uw medewerkers, zodat iedereen op de hoogte is van dit privacybeleid.
  1. Voorzie een eenvoudig te gebruiken opt-in / opt-out mechanisme.
  • Verklaar de noodzaak van tracking en hoe cookies de digitale werking sturen.
  • Deel links naar het individuele privacybeleid van alle aanbieders op uw site.
  1. Begrijp de manier waarop de gegevens die door de website/applicatie worden gegenereerd, worden verkregen, gebruikt en opgeslagen.
  • Identificeer de gegevens: registratie, cookies, IP-adres en identificatoren.
  • De wettelijke basis voor het verzamelen van de gegevens beoordelen en bepalen of toestemming nodig is.
  • De noodzaak van een specifiek beleid met betrekking tot persoonsgegevens van een minderjarige (16 jaar in de GDPR, jonger dan 13 jaar in het Verenigd Koninkrijk en de VS).
  1. ondersteun de gegevensdraagbaarheid.
  • Voorzie een mechanisme om gemakkelijk te kunnen voldoen aan de vraag van een individu naar gegevens in een algemeen gebruikt formaat.
  • Integreer een rapportageproces voor data-inbreuken in de website.

 

Conclusies

Hoewel het handig is dat een module probeert te voldoen aan een aantal eisen van de GDPR, is het heel duidelijk dat elke website zal moeten worden aangepast om een aanvaardbare oplossing te bieden voor de GDPR-eisen. Het is onwaarschijnlijk dat hier één enkele oplossing voor is. Daarom moeten eigenaren van locaties al hun gegevensverzamelings- en opslagfunctionaliteit zorgvuldig onderzoeken en ervoor zorgen dat hun locaties voldoen aan de nieuwe regelgeving. In sommige gevallen kan dit leiden tot grote veranderingen in de workflow en de database. Het is van cruciaal belang om met een professional over deze implicaties te praten, omdat de boetes voor niet-naleving hoog zijn. Dit zal ongetwijfeld veel werk met zich meebrengen om de naleving te waarborgen, maar het is absoluut noodzakelijk.

    X
    Bienvenue au Chat de Nath
    Une question ? La réponse ici !
    wpChatIcon