Moeten we bezorgd zijn over onze privacy?
GDPR-naleving is een must voor vrijwel elk bedrijf dat gegevens van EU-ingezetenen verwerkt.
De Algemene Verordening Gegevensbescherming (AVG) is bedoeld om de privacy van EU-ingezetenen te beschermen. De verordening is van toepassing op bedrijven die persoonlijke gegevens verwerken van zelfs al is het maar één klant die in Europa woont. Bedrijven die de verordening overtreden, riskeren boetes tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van wat het hoogst is.
1. U heeft als EU-inwoner het recht om te weten wat er met u gegevens wordt gedaan.
De AVG legt duidelijk vast welke informatie gegevensbeheerders en gegevensverwerkers verplicht zijn te verstrekken op verzoek:
Wie bent u?
Waarom heeft u mijn gegevens?
Waar heeft u ze vandaan?
Hoe lang heeft u ze?
Hoe en waar worden ze verwerkt?
2. Stilte en inactiviteit zijn geen tekenen meer van toestemming voor het verwerken van persoonlijke gegevens
Onder de AVG moet toestemming vrijelijk worden gegeven en specifiek zijn voor elke verwerkingsactiviteit. Het moet een verklaring zijn van duidelijke permissieve actie.
3. Gevoelige persoonlijke informatie moet zorgvuldiger worden behandeld
Volgens de AVG is deze informatie extra gevoelig en mag deze niet vrij worden gebruikt, gedeeld en verwerkt zonder expliciete toestemming van de betrokkene:
Religieuze of filosofische overtuigingen.
Fysieke en mentale gezondheid.
Gegevens over seksleven.
Ras of etnische afkomst.
Vakbondslidmaatschap.
Politieke opvattingen.
Biometrische en genetische gegevens.
3. De termijn voor melding van een datalek is 72 uur
Zo moeten gebruikers binnen 72 uur op de hoogte worden gesteld van elk type datalek. Betrokkenen moeten rechtstreeks geïnformeerd worden als het resultaat van het lek hen aanzienlijke schade kan berokkenen (bijv. openbaarmaking van hun bankrekeninggegevens of gevoelige gegevens met betrekking tot hun kinderen).
4. Recht om vergeten te worden: u moet uit alle back-ups kunnen verdwijnen
De gebruiker kan op elk moment verzoeken om zijn of haar informatie te verwijderen. U moet alle records met persoonlijke gegevens verwijderen en deze nooit meer gebruiken. Dit omvat databaserecords, back-upkopieën, bestanden en alle kopieën die mogelijk naar een archief zijn verplaatst.
Volgens de wet is er minder dan een maand de tijd om dit te doen.
5. U heeft het recht om de gegevens naar een ander verwerkingssysteem over te dragen
Met andere woorden, u als betrokkene heeft het recht om je gegevens naar een concurrent over te dragen. Dit recht geeft individuen meer macht om over te stappen naar een andere gegevensbeheerder/verwerker.
1. IS ER OVERWOGEN OF ECHT ALLE GEGEVENS NODIG ZIJN
Controleer wat voor soort persoonlijke gegevens er over u zijn opgeslagen. Zijn deze gegevens echt nodig? De beste manier voor een privacybewuste toekomst is om alleen het absolute minimum aan persoonlijke gegevens te verzamelen.
2. VERSLEUTEL ALLE PERSOONLIJKE GEGEVENS
Versleuteling versleutelt gegevens op een manier die ze onbegrijpelijk maakt voor degenen die niet over de decoderingssleutels beschikken. Het woord “versleuteling” wordt slechts 4 keer genoemd in de GDPR-tekst:
“…maatregelen implementeren om die risico’s te beperken, zoals versleuteling.” (P51. (83))
“…passende waarborgen, waaronder encryptie” (P121 (4.e))
“…waaronder onder meer, indien van toepassing: (a) de pseudonimisering en encryptie van persoonsgegevens.” (P160 (1a))
“…onbegrijpelijk voor iedereen die niet bevoegd is om er toegang toe te krijgen, zoals encryptie” (P163 (3a))
Maar wat als er een legitieme reden is, zoals kostenefficiëntie of prestatieverlies, dat encryptie niet gebruikt kan worden als onderdeel van gegevensbeschermingsbeleid?
In zo’n geval moet er ofwel voldoende bewijs verzamelen zijn om de beweringen te staven of alternatieve methoden gebruikt zijn, zoals pseudonimisering.
3. BESCHOUW HTTPS ALS EEN ESSENTIEEL ONDERDEEL VAN UW AANVRAAG
“Contactformulieren” bevatten vaak persoonlijke gegevens zoals e-mails, telefoonnummers of huisadressen. Als deze informatie wordt opgeslagen en verstuurd als platte tekst, wordt de deur geopend voor hackers en kwaadwillende.
Is er encryptie gebruikt voor de “contactformulieren”. Informeer hoe u gegevens worden opgeslagen en voor hoe lang.
Controleer of HTTPS is gebruikt, een veilige versie van het HTTP-communicatieprotocol.
Het versleutelt alle gegevens die tussen u en een server worden verzonden met behulp van de SSL/TLS-cryptografische protocollen. Wanneer een gebruiker een HTTPS-verbinding aanvraagt, wordt er een SSL-certificaat naar hem/haar verzonden, dat de sleutel bevat die nodig is om de beveiligde verbinding te starten.
Daarom is het belangrijk om een SSL-certificaat van een betrouwbare certificeringsinstantie te ontvangen en dat deze correct geïnstalleerd is. En het certificaat niet vatbaar is voor de kwetsbaarheden van het protocol.
4. ZIJN TOESTEMMINGSFORMULIEREN OP ORDE
Vergeet alle vooraf aangevinkte vakjes. Men kan niet langer wegkomen met impliciete, opt-out toestemming. De AVG vereist “een verklaring van duidelijke bevestigende actie” of “een vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige toestemming van de gebruiker”.
Toestemmingsformulieren moeten standaard op “nee” staan of leeg zijn. Op die manier dwingt u gebruikers niet om zich actief af te melden.
5. VRAAG SPECIFIEK NAAR DE DERDE PARTIJEN
Als persoonlijke gegevens wordt doorgegeven aan derden, dan moeten deze geïdentificeerd zijn en benoem worden in de toestemmingsformulieren.
6. ZIJN DE ALGEMENE VOORWAARDENOVEREENKOMST GESCHEIDEN VAN ANDERE TOESTEMMINGSFORMULIEREN
De Algemene Voorwaardenovereenkomst staan apart en heeft geen binding met enige vorm van verwerking van persoonlijke gegevens.
7. ZIJN DE ALGEMENE VOORWAARDENSECTIE ZEER ZICHTBAAR
Onder de AVG mogen de Algemene Voorwaarden niet langer verborgen of begraven zijn in de kleine lettertjes.
U moeten immers erkennen dat u de Algemene Voorwaarden hebt gelezen en ermee akkoord gaat voordat u toegang krijgt.
8. KIJK OF UW TOESTEMMING EENVOUDIG IN TE TREKKEN IS
Vanwege het nieuwe AVG-principe – heeft u het recht om vergeten te worden – en moet u zich op elk moment kunnen afmelden en u toestemming kunnen intrekken.
9. LET OP HET COOKIEBELEID
Het officiële AVG-document vermeldt cookies in de volgende context (overweging 30):
Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren […] zoals internetprotocoladressen, cookie-identificatoren of andere identificatoren […]. Dit kan sporen achterlaten die, met name in combinatie met unieke identificatoren en andere informatie die door de servers wordt ontvangen, kunnen worden gebruikt om profielen van de natuurlijke personen te maken en hen te identificeren.
Simpel gezegd, de cookies waarmee u wordt geïdentificeerd via je apparaten (advertentie-, analyse- en functionele cookies) vallen onder de AVG. Het gebruik van dergelijke cookies moet worden vermeden of er moet een wettelijke basis zijn voor het verzamelen en verwerken van persoonsgegevens:
Wettelijke verplichtingen.
Legitieme belangen (zolang ze geen inbreuk maken op individuele rechten).
Vereisten voor de uitvoering van een contract (d.w.z. het verzamelen van betalingsgegevens van contractanten).
Expliciete toestemming.
Volgens de AVG geeft het voor het eerst bezoeken van een website niet automatisch toestemming voor het verwerken van persoonsgegevens. Het weergeven van berichten als “Als u deze website gebruikt, accepteert u cookies” wordt niet beschouwd als een “vrijwillig gegeven toestemming” (Overweging 42).
Gedetailleerde toestemming is nog steeds van toepassing. Dus als men u gedrag wil volgen en u gegevens voor advertenties worden gebruikt , moet u toestemming geven voor elke activiteit.
Volgens de best practices van de AVG moet men u toestaan u toestemming eenvoudig in te trekken. En de toegang voor gebruikers die hun toestemming onthouden, kunnen niet worden geblokkeerd. En nadat u bent uitgelogd, moeten de cookies en sessies vernietigen zijn/worden.
10. INFORMEER OVER LOGBOEKEN MET U IP-ADRESSEN
Controleer of systeem IP-adressen of locatiegegevens gebruikt zijn bij authenticatie. Als logboeken dergelijke gegevens bevatten, informeer dan naar de manier waarop ze opgeslagen zijn en hoe lang ze bewaard blijven. Vraag om versleuteling van de logs en zorg ervoor dat ze geen bijzonder gevoelige gegevens bevatten, zoals wachtwoorden.
11. ZIJN ALLE PERSOONLIJKE GEGEVENS VERWIJDERD NADAT ZE NAAR BETALINGSGATEWAYS ZIJN DOORGEGEVEN
Het gebruik van betalingsgateways betekent vaak dat er persoonlijke gegevens worden verzameld.
In de meeste gevallen blijven deze gegevens in systemen staan, wat illegaal is volgens de AVG. Een applicatie moet alle persoonlijke gegevens binnen een bepaalde periode verwijderen (bijv. 60 dagen).
12. ZIJN U GEBRUIKERSGEGEVENS VERWIJDERD TOEN U UITGESCHREVEN BENT
Volgens het recht om vergeten te worden van de AVG, ben u als gebruiker vrij om account te laten verwijderen, samen met al u persoonlijke gegevens. De taak van bedrijven is om duidelijk te laten zien dat deze gegevens inderdaad worden verwijderd en ook uit al de back-ups worden gewist.