Voor jou uitgelegd: wat is GDPR (AVG)?

Gelezen? Meta, het moederbedrijf achter onder andere Facebook en Instagram, heeft een miljardenboete gekregen voor jarenlange schending van de GDPR-regels. Hét bewijs dat je heel voorzichtig moet omgaan met de privacy van wie jouw website(s) bezoekt. Maar dan moet je natuurlijk eerst weten wat GDPR (AVG in het Nederlands) betekent.

Wat betekent de afkorting GDPR (AVG)?

Laten we beginnen bij het begin. Op de website van de Europese Commissie lezen we dat de GDPR afkorting staat voor de General Data Protection Regulation. Concreet gaat het om een Europese privacywet die van kracht is sinds 25 mei 2018. Het hoofddoel van de GDPR is het beschermen van de privacy en persoonsgegevens van individuen binnen de Europese Unie.

Dat is namelijk een van onze grondrechten. Het Handvest van de grondrechten van de EU bepaalt dat EU-burgers recht hebben op bescherming van hun persoonsgegevens.

GDPR volgens de Europese Commissie:
"De AVG versterkt de grondrechten van de burgers in het digitale tijdperk en bevordert het handelsverkeer door de regels voor bedrijven in de digitale eengemaakte markt te verduidelijken. Dit gemeenschappelijke stel regels heeft een einde gemaakt aan de versnippering die het gevolg was van uiteenlopende nationale systemen, en voorkomt administratieve rompslomp."

gdpr
GDPR is de Engelstalige afkorting van de Algemene Verordening Gegevensbescherming (AVG).

GDPR en AVG

Het gaat hier heel de tijd over General Data Protection Regulation. Wat dan met AVG? Is dat nog een extra Europese verordening? Gelukkig niet. Oef! 😀

De GDPR (General Data Protection Regulation) en de AVG (Algemene Verordening Gegevensbescherming) zijn eigenlijk dezelfde wet, maar de termen worden vaak door elkaar gebruikt omdat de wet zowel op Europees niveau als op nationaal niveau wordt gebruikt. GDPR is louter de Engelstalige afkorting voor dezelfde wet. Deze term hoor je vaker in Engels sprekende landen en in een internationale context. Al is GDPR in België ook al goed ingeburgerd.

Je website voorzien van een privacy policy en cookiebanner om AVG-proof te zijn, is dus hetzelfde als de GDPR-regels volgen.

iubenda-privacy-policy

GBA en AP

Nog afkortingen? Klopt! We kunnen zelfs niet beloven dat het de laatste zullen zijn in de context van privacybeleid. De Gegevensbeschermingsautoriteit (GBA) is verantwoordelijk voor het toezicht en de handhaving van de AVG in België. De GBA is een onafhankelijke autoriteit die is opgericht om de privacyrechten van individuen te beschermen en de naleving van de privacywetgeving te waarborgen. Als het moet, deelt deze autoriteit dus ook boetes uit. Je leest meer over de werking van de GBA op de officiële website.

De Autoriteit Persoonsgegevens (AP) is de tegenhanger uit Nederland. AP zorgt dus bij onze noorderburen voor het toezicht op de AVG. Deze autoriteit heeft ook een eigen website vol met nuttige informatie.

De Autoriteit Persoonsgegevens heeft net als de Belgische Gegevensbeschermingsautoriteit specifieke taken en bevoegdheden. Europese privacytoezichthouders staan in voor:

  • het behandelen van klachten.
  • het onderzoeken van mogelijke overtredingen van de privacywetgeving.
  • het opleggen van boetes aan zij die de (nieuwe) AVG regels effectief overtreden.
  • het publiceren van richtlijnen en adviezen over de Algemene Verordening Gegevensbescherming.

Kernbegrippen GDPR (AVG) in een notendop

Je hebt ondertussen bijgeleerd over enkele belangrijke afkortingen als het over gegevensbescherming gaat. Maar om met je organisatie de privacywetgeving correct na te leven, persoonsgegevens te beschermen en er over te communiceren in je privacybeleid, moet je nog enkele andere essentiële kernbegrippen en termen leren kennen.

  • Persoonsgegevens: informatie die direct of indirect kan worden gebruikt om een individu te identificeren, zoals namen, adressen, e-mailadressen, telefoonnummers, ID-nummers ...
  • Verwerking persoonsgegevens: elke handeling of actie die je doet om persoonsgegevens te verzamelen, op te slaan, te wijzigen, te raadplegen, te delen en/of verwijderen.
  • Verwerkingsverantwoordelijke: een organisatie of entiteit die beslissingen neemt over het doel en de middelen van de verwerking van persoonsgegevens, en de verantwoordelijkheid draagt voor de naleving van de privacywetgeving. Met andere woorden: jij als ondernemer of eigenaar van een applicatie die personendata verwerkt.
  • Verwerker: een bedrijf of organisatie dat persoonlijke informatie verwerkt namens een ander bedrijf of organisatie, de verwerkingsverantwoordelijke. Denk aan een Payment Service Provider (PSP). De verwerker heeft de verantwoordelijkheid om de gegevens veilig en volgens de instructies van de verwerkingsverantwoordelijke te verwerken.
  • Verantwoording: betekent dat een organisatie de verantwoordelijkheid neemt voor wat zij doet met persoonsgegevens en kan laten zien dat zij volgens de regels handelt, door open en duidelijk te zijn over haar acties en beslissingen. Dat laatste doe je door een gedetailleerd privacybeleid op te stellen.
  • Toestemming: ermee instemmen dat je persoonlijke gegevens worden gebruikt voor een specifiek doel. Het is belangrijk dat die persoon goed op de hoogte is en op elk moment kan beslissen om die toestemming weer in te trekken. Daarvoor dient bijvoorbeeld een cookiebanner.

De Belgische Gegevensbeschermingsautoriteit doet nog andere kernbegrippen en termen uit de doeken.

GDPR (AVG): betekenis van deze strenge wet

De GDPR is van toepassing op alle organisaties, zowel binnen als buiten de EU, die persoonsgegevens verwerken van EU-burgers. Het is een wettelijk kader dat regels en voorschriften vaststelt voor de verzameling, verwerking en opslag van persoonsgegevens.

Laat jij bij de bakker je persoonsgegevens achter om te kunnen meedoen aan de jaarlijkse tombola? Dan valt die verwerking onder de regels van de Algemene Verordening Gegevensbescherming. Al hoor je natuurlijk veel meer over AVG of GDPR als het gaat om websites en webshops. Want in de online wereld moet je heel vaak je persoonlijke gegevens achter laten.

Waarom is GDPR (AVG) belangrijk?

Deze wet is van groot belang omdat het gewone stervelingen meer controle en bescherming geeft over hun persoonsgegevens. Dat was vroeger helemaal niet het geval. De GDPR (AVG) bepaalt dat organisaties transparant moeten zijn over hoe ze persoonsgegevens verzamelen en gebruiken, en dat ze alleen persoonsgegevens mogen verwerken als ze hiervoor een geldige reden hebben.

Ben je een ondernemer, heb je een eigen website? Dan verplicht deze wet jou om passende beveiligingsmaatregelen te nemen om persoonsgegevens te beschermen tegen verlies, diefstal of onrechtmatige toegang.

Tip

Plaats een SSL-certificaat op je website. Zo geef je gebruikers de zekerheid dat alle communicatie tussen jouw website en hun verbinding onder versleutelde vorm verloopt. Die beveiligde HTTPS-verbinding houdt gegevens uit de handen van internetfraudeurs. Opgelet: GDPR maakt het SSL-certificaat verplicht als je klantendata verwerkt!

ssl-connection-https

Belangrijkste doelstellingen GDPR (AVG)

Deze Europese privacywet heeft enkele belangrijke doelstellingen. Universiteit Antwerpen (UA) spreekt over basisprincipes (grondslagen GDPR). Deze basisprincipes bevatten de rechten en verantwoordelijkheden van de verwerkingsverantwoordelijke, de verwerker en de betrokken individu.

De doelstellingen of basisprincipes van de GDPR (AVG) verordening focussen voornamelijk op transparantie, juistheid, inzage-, correctie- en verwijderrecht van persoonsgegevens, beveiliging en verantwoordelijkheid. De doelstellingen staan helder uitgelegd op deze webpagina van UA.

Opgepast voor GDPR (AVG) boetes en sancties

Je volgt de GDPR (AVG) regelgeving maar beter strikt op. Zo niet, riskeer je stevige boetes. Want als je denkt dat enkel Mark Zuckerberg in het verre Amerika zware boetes moet betalen, dan heb je het mis. Dichter bij huis kregen NMBS en DPG Media ook al geldboetes opgelegd. GDPR is namelijk een wettelijke verplichting.

Om je een idee te geven: de GDPR (AVG) boetes in België lopen gemiddeld op tot 25.000 euro. Ze hebben allemaal te maken met schending van de Algemene Verordening Gegevensbescherming (AVG). Op Europees niveau spreken we over ruim 1,5 miljard euro aan AVG boetes!

gdpr-fine
Hou je aan de GDPR en voorkom strafrechtelijke veroordelingen.

Boetes op twee niveaus

De bevoegde gegevensbeschermingsautoriteit in elk land kan effectieve geldboetes uitdelen op twee niveaus. Dat niveau wordt bepaald op basis van de specifieke overtreding.

Onder niveau één vallen overtredingen zoals het verwerken van persoonsgegevens van minderjarigen zonder toestemming van de ouders, niet melden van een datalek, samenwerken met een verwerker die onvoldoende garanties geeft op vlak van vereiste databeveiliging ...

Hier kunnen de boetes oplopen tot wel 10 miljoen euro of, in geval van een onderneming, tot 2% van je totale wereldwijde jaaromzet van het voorgaande boekjaar.

Niveau twee is van toepassing als je fundamentele overtredingen begaat. Bijvoorbeeld het niet naleven van de beginselen voor gegevensverwerking of als een organisatie niet kan aantonen dat de betrokkene (bv. je klant) daadwerkelijk toestemming heeft gegeven voor de gegevensverwerking.

Loop je tegen de lamp, dan riskeer je een maximum boete van - wow - 20 miljoen euro. Of tot 4% van de wereldwijze omzet van je bedrijf.

Andere sancties

Naast boetes kan de nationale gegevensbeschermingsautoriteit ook andere sancties opleggen. Dat kan gaan van waarschuwingen en berispingen tot de tijdelijke (en soms zelfs definitieve) stopzetting van gegevensverwerking.

In dat geval mag je tijdelijk of permanent geen persoonsgegevens meer verwerken via je organisatie. Bijvoorbeeld omdat je herhaaldelijk strafbare feiten gepleegd hebt. Een andere mogelijke GDPR ( AVG) sanctie is het uitbetalen van schadevergoedingen aan gebruikers die een gegronde klacht neerlegden.

Voldoet jouw site of shop aan de GDPR (AVG) regels? Doe de test!

Toon je video's van YouTube op je eigen website? Verwerk je sociale media op je webshop? Dan ben je volgens de AVG (België) verplicht om toestemmingen aan je gebruikers te vragen. Net zoals je een privacy en cookie policy moet hebben.

Doe de iubenda privacy scan en ontdek meteen of je website aan de juiste GDPR regels voldoet.

iubenda-scan

Ken de rechten van je gebruikers

Laten we er dus alles, maar dan ook écht alles, aan doen om die boetes te vermijden. Daarom dat het belangrijk is om de rechten van je klanten en gebruikers te kennen. Bovendien zijn die regels ook van toepassing op jou, beste lezer. Het gaat hier om kennis die hoe dan ook goed van pas komt. We gaan er dus dieper op in.

Het is zo dat de GDPR een aantal belangrijke rechten voor individuen geïntroduceerd heeft. Zoals het recht op inzage in hun persoonsgegevens, het recht om gegevens te laten corrigeren of verwijderen, en het recht om bezwaar te maken tegen de verwerking van hun gegevens.

Wat houdt de GDPR (AVG) wet in op vlak van rechten van betrokkenen?

  • Het recht op inzage

Het recht op inzage houdt in dat je het recht hebt om de persoonsgegevens die over je worden verwerkt te bekijken en te raadplegen.

  • Het recht op rectificatie

Rectificatie is een synoniem voor corrigeren. Het recht op rectificatie geeft jou dus het recht om wijzigingen en aanvullingen aan te brengen in de persoonsgegevens die een organisatie over je verwerkt, om ervoor te zorgen dat deze gegevens correct worden verwerkt.

  • Het recht op vergetelheid

"Don't you forget about me" ... Jawel! Het recht op vergetelheid is het recht om ‘vergeten’ te worden. Een organisatie is dan verplicht om de persoonsgegevens te wissen. Als er wettelijke verplichtingen in het spel zijn, kan je geen beroep doen op dit recht.

  • Het recht op beperking van de verwerking

Dit recht geeft je als betrokkene de mogelijkheid om de verwerking van je persoonsgegevens te beperken, wat betekent dat je mag vragen om minder gegevens te laten verwerken.

  • Het recht op dataportabiliteit

Ook wel gegevensoverdraagbaarheid genoemd. Dit recht houdt in dat je het recht hebt om je persoonsgegevens over te dragen aan een andere organisatie.

  • Het recht van bezwaar

Het recht op bezwaar houdt in dat je het recht hebt om bezwaar te maken tegen de verwerking van je persoonsgegevens, bijvoorbeeld wanneer je gegevens worden gebruikt voor marketingdoeleinden. Je kan dit recht uitoefenen omwille van specifieke persoonlijke redenen.

  • Het recht om niet aan geautomatiseerde besluitvorming onderworpen te worden

Je hebt het recht om niet te worden onderworpen aan volledig geautomatiseerde besluitvorming die aanzienlijke gevolgen voor jou kan hebben of juridische gevolgen met zich mee kan brengen, zonder menselijke tussenkomst. Een voorbeeld van geautomatiseerde verwerking is een kredietbeoordelingssysteem dat volledig automatisch gaat bepalen of je in aanmerking komt voor een lening.

  • Het recht op informatie

Dit wil zeggen dat een organisatie jou heldere informatie moet geven over het verzamelen en verwerken van je persoonlijke gegevens. Een organisatie moet kunnen aangeven welke gegevens ze verwerken en waarom (AVG grondslagen).

Tip

Om te voldoen aan het recht op informatie kan je de persoonsgegevens die je verwerkt en de reden waarom, opnemen in je privacybeleid. We leggen je uit waarom jouw website of webshop een privacy policy nodig heeft.

Hoe voldoen aan GDPR (AVG)?

Toegegeven, er komt heel wat kijken bij het naleven van de GDPR (AVG) regels. Het is dan ook een complexe wetgeving. Gelukkig zijn er verschillende stappen die je kan volgen om er zeker van te zijn dat je de regels respecteert. Wij raden je aan om deze twaalf stappen te nemen:

1. Maak van online privacy een topprioriteit

Verdiep je als ondernemer in de GDPR (AVG) regels of win advies in bij juridische experts. Op die manier kom je te weten aan welke regels jouw bedrijf moet voldoen. Gelukkig helpen de Belgische en Nederlandse autoriteiten je op weg. Zo ontwikkelde de GBA (verantwoordelijk voor Algemene Verordening Gegevensbescherming België) een toolbox met hulpmiddelen in verband met GDPR.

2. Breng in kaart welke persoonsgegevens je verwerkt

Leg een verwerkingsregister aan waarin je opsomt welke gegevens je bijhoudt, waar ze vandaan komen en met welke partijen je deze informatie deelt. Hou ook rekening met de bewaartermijnen. AVG (GDPR) stelt dat je ook daar transparant over moet zijn.

3. Evalueer je huidige privacy policy

Het is belangrijk dat je helder communiceert over de privacy van je bezoekers. Dat doe je door een privacy policy online te zetten. Daarin beschrijf je hoe en waarom je gegevens verwerkt. Het is dé manier om het vertrouwen te winnen van je potentiële klanten.

Dat beleid kan je ook intern verspreiden om aan bewustmaking bij je medewerkers te doen. Dit is een voorbeeld van een privacyverklaring van de Vlaamse overheid.

4. Check de rechten van de betrokkene

Controleer of de huidige procedures in je organisatie alle rechten respecteren waarop een betrokkene zich kan beroepen. Ga zorgvuldig na hoe persoonsgegevens kunnen worden verwijderd of hoe gegevens elektronisch zullen worden meegedeeld.

5. Identificeer de wettelijke grondslag voor het verwerken van persoonsgegevens

Documenteer in detail (bijvoorbeeld in je privacybeleid) de verschillende types van gegevensverwerkingen die je doet en identificeer de wettelijke grondslag voor elk van hen.

6. Werk het proces uit rond toestemming vragen

Heb je geen cookiebanner noch beleid? Maak er werk van! Evalueer terwijl de huidige wijze waarop je toestemming vraagt, verkrijgt en registreert.

cookie-banner-consent-iubenda

7. Vraag toestemming voor de gegevensverwerking van minderjarigen

Is je webshop bijvoorbeeld gericht op kinderen? Implementeer dan een tool die de leeftijd van de betrokkene nagaat en die de ouder(s) of voogd(en) om toestemming vragen voor de gegevensverwerking van kinderen. Verschillende bedrijven vergeten dit weleens.

8. Wees voorbereid op datalekken

Werk waterdichte procedures uit om datalekken te voorkomen, op te sporen, te rapporteren en te onderzoeken. Niet vergeten: je bent verplicht om een datalek te melden bij de bevoegde autoriteit.

9. Check het internationale plaatje

Ga na onder welke toezichthoudende autoriteit je valt als jouw bedrijf of organisatie internationaal actief is.

10. Neem bestaande contracten onder de loep

Weet je nog dat we het over een 'verwerker' hebben gehad? Een bedrijf of organisatie dat persoonlijke informatie verwerkt namens jou. Neem je huidige samenwerkingen onder de loep en ga na of die partners wel voldoen aan de privacyregels die jij én de GDPR (AVG) vooropstellen!

11. Werk het proces uit rond verzoeken tot toegang

Wil iemand zijn gegevens inkijken of laten aanpassen? Val niet uit de lucht en werk op voorhand een procedure uit over het behandelen van zulke verzoeken. Zo moet je in de meeste gevallen gratis en binnen de 30 dagen de betrokkene informeren over zijn verzoek tot toegang.

12. Duid indien nodig een Functionaris Gegevensbescherming (FG) aan

Een Functionaris Gegevensbescherming (FG) houdt binnen je organisatie toezicht op de naleving van de GDPR. Het aanduiden van een FG - ook wel Data Protection Officer (DPO) genoemd - is in sommige gevallen verplicht. Bijvoorbeeld voor overheden en publieke organisaties en als je op grote schaal "bijzondere persoonsgegevens" verwerkt. Je FG kan bijvoorbeeld advies geven over een Data Protection Impact Assessment. De Europese Commissie geeft hierover aanvullende informatie.

Deze superhandige tool maakt jouw site GDPR (AVG) proof

Het mag duidelijk zijn dat GDPR heel wat wetten en regels met zich meebrengt. Al die documenten en voorwaarden zelf opstellen is geen walk in the park. De kans is zelfs groot dat je er verloren in loopt. 😉

Misschien overweeg je om die (digitale) papiermolen uit te besteden. Da's geen slecht idee! Verschillende gespecialiseerde juristen of advocatenkantoren staan voor je klaar. Dat kost natuurlijk behoorlijk wat.

Denk daarom eens na over het gebruik van online GDPR-privacy software zoals iubenda. Het zou best kunnen dat de tool helemaal is wat jij nodig hebt!

Iubenda

Zo maakt iubenda jouw website GDPR-proof:

  • iubenda genereert voor jou alle nodige documenten en tools, én ze blijven automatisch in lijn met alles wat met GDPR (AVG) te maken heeft.
  • Met iubenda maak je een cookiebanner (verplicht volgens regels AVG) in je eigen stijl om toestemming te vragen aan je bezoekers.
  • Met iubenda bewaar en beheer je toestemmingen in je eigen soort verwerkingsregister. Dankzij de integratie met je formulieren, synchronisatie met je juridische documenten en een handig dashboard met een volledig overzicht van de verschillende toestemmingen.
  • Het juristenteam van iubenda zorgt ervoor dat je documenten in lijn blijven met (AVG) wetswijzigingen.

Tip

Iubenda is deel van onze hostinggroep. Combell zorgt voor een vlekkeloze integratie met de rest van je diensten. Dat wil dus zeggen dat je op dezelfde service kan rekenen.

iubenda-plugins

Je kan klein beginnen en later uitbreiden naar handige extra's. Dankzij de handige plugins installeer je iubenda in enkele minuten op jouw website. We hebben plugins voor WordPress, Joomla en Magento. Je kan het ook eenvoudig toevoegen aan SiteBuilder, door makkelijk een simpele code (te vinden in de iuebenda tool) te embedden in de website.

Veelgestelde vragen over GDPR (AVG)