Terug naar overzicht

Slim omgaan met de persoonsgegevens van je klanten? Laat Lawtree je aanpak doorlichten

20 december 2020

Sinds het uitbreken van de coronacrisis werd de wereld met de dag een stukje digitaler. Als we de deur niet uit mogen om onze levensnoodzakelijke en andere producten en diensten te kopen, zo redeneren steeds meer mensen, dan doen we dat toch gewoon online? Grote én kleine bedrijven worden gedwongen om in te spelen op die trend: ze zetten in ijltempo webshops en andere onlineplatformen op - zo verzekeren ze hun klanten dat ze ook in tijden van lockdowns bij hen terecht kunnen. Begrijpelijk, want wie online niet bestaat, dreigt uit de boot te vallen. Maar houden al die ondernemingen ook voldoende rekening met de privacy van hun klanten? Werken ze wel conform de GDPR?

Informeer je klanten

Sinds 25 mei 2018 garandeert de Algemene Verordening Gegevensbescherming ofte GDPR (General Data Protection Regulation) een minimale bescherming bij de verwerking van persoonsgegevens in landen van de Europese Unie. Vraag je aan de bezoekers van je website of je app om hun gegevens achter te laten, dan moet je ze daarvan niet alleen op de hoogte brengen, je moet ze ook helder uitleggen wat je met die gegevens doet en hoe je ze zult verwerken. Dat heet: een transparantieverplichting.

Bijvoorbeeld: iemand die in jouw restaurant een afhaalmaaltijd bestelt, moet weten wat jij met zijn naam, adres en telefoonnummer van plan bent. Of: iemand die zich in je webshop informeert over het aanbod van tuinartikelen moet weten welke cookies je op zijn computer of smartphone installeert. En niet alleen dat: voor niet-essentiële cookies moet hij zelfs eerst zijn toestemming verlenen.

Welke informatie je verzamelt, hoe je ze opslaat en verwerkt, dat leg je vast in een privacyverklaring. Een cookieverklaring kan daarvan een onderdeel zijn, of een apart document.

Wat met buitenlandse platforms?

Daarnaast is het belangrijk te weten of het digitale platform waarop de persoonsgegevens gehost worden binnen of buiten de Europese Unie ligt. Landen buiten de EU zijn immers niet gebonden door de GDPR, en dat heeft zo zijn gevolgen voor de gegevens van je klanten en gebruikers.

Het voormalige EU-VS Privacy Shield zorgde er wel voor dat Amerikaanse bedrijven toch rechtmatig persoonsgegevens uit de EU konden verwerken - lees: met dezelfde mate van bescherming. Maar die zekerheid werd in juli 2020 onderuit gehaald in de zogenaamde Schrems II-zaak: het Hof van Justitie oordeelde dat het Privacy Shield helemaal niet de nodige bescherming biedt. De Amerikaanse autoriteiten krijgen - onder hun PATRIOT Act en de Foreign Intelligence Surveillance Act – namelijk vlot toegang tot persoonsgegevens vanuit de EU. En dat is onder de GDPR een absolute no-go.

Kijk dus uit als je handige platformen als Amazon Web Services of MailChimp gebruikt: ze omzeilen mogelijk de bescherming die de GDPR wél biedt. Moet je ze dan links laten liggen? Niet noodzakelijk. Maar stel jezelf alvast deze vier vragen:

  • Op welke platformen bewaar en bewerk je de persoonsgegevens?
  • Gebeurt de verwerking van de gegevens op dat platform binnen of buiten de Europese Unie? Kies indien mogelijk steeds voor een server binnen de EU.
  • Heb je niet de keuze? Vraag je dan af of  de verwerking van de gegevens op dit platform essentieel is voor de werking van je bedrijf. Overstappen naar een Europees platform is dan een alternatief.
  • Heb je het platform toch echt nodig? Dan laat je het best een technische audit doen om te checken of je alsnog een bescherming kunt bieden die in lijn ligt met die van de GDPR.

Hiervoor neem je best een juridische specialist onder de arm - neem gerust contact met ons op, onze Data Protection Officer legt je uit hoe het werkt.

De GBA kijkt toe

Mocht je je afvragen of iemand controleert of je in regel bent met de GDPR: zeker en vast. De Belgische Gegevensbeschermingsautoriteit (GBA) zit allerminst passief te wachten tot iemand een klacht indient over dubieuze omgang met persoonsgegevens. Ze speurt bijvoorbeeld proactief naar websites zonder banner of pop-up die bezoekers attent maakt op de privacy- en cookieverklaring. Heb je die inderdaad niet, dan kun je een administratieve boete krijgen - zo’n tik op de vingers kan je veel geld kosten.

Zo ver hoeft het natuurlijk niet te komen. Zorg voor een duidelijke privacyverklaring en een cookieverklaring. Kies voor een register voor de verwerking van persoonsgegevens dat GDPR-conform is. Duid een Data Protection Officer in je bedrijf aan (als dat nodig is) of een Privacy Officer, iemand die er nauw op toekijkt dat de verwerking van persoonsgegevens correct gebeurt. Laat je bijstaan door een specialist. Zo kunnen je klanten en bezoekers van je digitale platformen op twee oren slapen: bij jou zijn hun persoonsgegevens altijd veilig.

Twijfel je nog over wat jouw onderneming nodig heeft? Hulp nodig bij het opstellen van de nodige verklaringen en policies? Audit nodig? Neem contact met ons op, we helpen je er graag bij.