okt 3, 2016 / door Jan-Willem Ligtelijn / In Piwik, Privacy, Webstatistieken

GDPR – Wat hebben de nieuwe Europese privacy regels voor invloed op uw organisatie?

Dit is een gastblog door Ewa Agata Balazinska van Piwik PRO, de enterprise analytics en tag management suite.

Over een krappe twee jaar dienen alle lidstaten van de Europese Unie een nieuw pakket van privacy reglementen te implementeren. Deze reglementen zijn vormgegeven binnen de General Data Protection Regulation (GDPR). Deze nieuwe wetgeving reflecteert de behoefte aan een klantgedreven aanpak en het herzien van de enigszins gedateerde privacy wetgeving. GDRP is een reactie op deze behoefte. Deze reglementen zullen een behoorlijke impact hebben met betrekking tot het omgaan met klanten binnen de Europese Unie.

GDPRWat voor impact heeft GDPR specifiek voor uw website? Hoe kunt u uw bedrijf of instelling voorbereiden om te voldoen aan deze strengere wetgeving? Deze nieuwe wetgeving zal de uit 1995 stammende “European Data Protection Directive (95/46EC)” vervangen. De oud- vice presidente van de Europese Commisie Viviane Reding omschreef de noodzaak voor deze wijziging als volgt: “Citizens do not always feel in full control of their personal data”, ofwel “Burgers hebben regelmatig het gevoel niet in controle te zijn over hun persoonlijke gegevens”. GDPR is dan ook met name gericht op de privacy van individuele gebruikers en hun gevoelige persoonlijke data.

Volgens verschillende onderzoeken, zoals dit onderzoek door Forrester, begint het respecteren van de privacy van gebruikers een steeds breder gedragen prioriteit te worden binnen de zakelijke markt. Bedrijven moeten het respecteren van de privacy van hun klanten serieus gaan nemen om het consumentenvertrouwen te blijven houden. Dit onderwerp wordt dan ook duidelijk aanhankelijk gemaakt binnen de context van het afkeuren van het Safe Harbor verdrag en het nieuwe Privacy Shield verdrag tussen de VS en de EU van begin dit jaar.

GDPR wordt actief in de lente van 2018. Dit betekent dat bedrijven en instellingen nu moeten gaan starten met de transitie om te voldoen aan de nieuwe regelgeving. Wat moet u weten om te starten met deze transitie?

Ten eerste, wie krijgt er te maken met de nieuwe GDPR regelgeving?

GDPR is gemaakt om website-bezoekers, potentiële- en bestaande klanten beter te beschermen. GDPR zal daarom ook impact hebben op diegenen die verantwoordelijk zijn voor de privacy en veiligheid van de door uw bedrijf opgeslagen en gebruikte data, maar ook voor zogenaamde “data processors” zoals verkopers van clouddiensten.

GDPR heeft impact op alle bedrijven die data verzamelen van personen binnen de Europese Unie. De locatie van deze bedrijven is niet relevant. Dus ook bedrijven die buiten de EU opereren dienen zich aan GDPR te houden als ze data verzamelen van Europese burgers.

De zeven belangrijkste punten uit de General Data Protection Regulation (GDPR):

  1. Gebruikers dienen informatie te krijgen over het soort data wat over hen verzameld en verwerkt wordt en waarom. Er is een expliciete toestemming nodig als het gaat om het verwerken van gevoelige persoonlijke informatie zoals politieke meningen, ras, data met betrekking tot de gezondheid etc. De expliciete toestemming dient gepresenteerd te worden in een duidelijk en eenvoudig vindbaar formulier met begrijpelijke tekst.
  2. Het recht om vergeten te worden. Alle gebruikers hebben het recht om hun informatie te laten verwijderen uit een database als zij dat willen.
  3. Boetes. De boetes op het schenden van GDPR zijn fors. Het kan leiden tot boetes tot € 20 miljoen of 4% van de omzet.
  4. Notificatie bij datalekken. Het bedrijf of instelling dient binnen 72 uur alle gebruikers te notificeren als de data is gelekt of dat er een hack is geweest.
  5. Toestemming van ouders. Bedrijven en instellingen mogen geen data verzamelen van kinderen onder de 16 zonder bewijsbare ouderlijke toestemming.
  6. Compliancy voor iedereen. Alle verkopers van clouddiensten richting bedrijven binnen de EU of bedrijven die data verwerken van bedrijven binnen de EU dienen ook compliant te zijn met GDRP.
  7. Security officer: Als een bedrijf een grote hoeveelheid data beheerd, is dit bedrijf verplicht om een security officer aan te stellen.

Web Analytics en GDPR

Het gebruik van web analytics is een primaire bezigheid geworden voor iedereen die zich met marketing en het bedrijfsleven bezig houdt. Juist daarom bevat uw web analytics pakket een grote hoeveelheid gevoelige informatie over uw bezoekers, klanten en/of medewerkers. U wilt ten alle tijden datalekken voorkomen gezien een datalek of hack leidt tot een crisis in consumentenvertrouwen en ook beboet kan worden. Ook zou u uw gevoelige data niet moeten willen delen met derden.

Er bestaat een sterke behoefte voor de ontwikkeling van werkbare privacy functionaliteiten binnen web analytics tools die u kunnen verzekeren dat u voldoet aan de aanstaande privacy wet- en regelgeving. Er bestaat echter geen uniforme lijst met deze functionaliteiten.

Het is daarom slim om tools te gaan overwegen die gebaseerd zijn op open-source technologieën voor meer flexibiliteit en betere beveiliging. Web analytics tools die u zelf kunt hosten zoals Piwik geven u meer controle over uw data en de data van uw bezoekers. Piwik wordt geprezen door diverse privacy waakhonden zoals het Franse CNIL en het Duitse ULD vanwege de privacy compliancy.

Naast 100% data ownership, heeft Piwik de volgende functies die u ervan verzekeren dat uw web analytics tool compliant is:

  • Expliciete cookie toestemming (opt-in) ingebouwd
  • Automatisch anonimiseren van het gebruikers ID
  • Respecteren van geplaatste “Volg me niet” voorkeuren in de browsers
  • Een opt-out widget die u eenvoudig op uw pagina’s kunt publiceren
  • Premium beveiligingsopties, ontwikkeld door Piwik PRO. Piwik PRO ondersteunt u ook met advies.

Hoe nu verder?

De activering van GDPR lijkt met nog twee jaar te gaan nog ver weg. Toch raden wij aan om te beginnen met de voorbereidingen. Het aanpassen van interne processen en het beter bekijken van uw web analytics tool (en eventueel het overstappen naar een andere) is een hoop werk. Vaak meer werk dat initieel wordt gedacht.

Naast hoge boetes ligt de reputatie van uw bedrijf en het bijbehorende consumentenvertrouwen in de weegschaal. Sommige bedrijven zullen hun volledige beleid moeten heroverwegen met betrekking tot privacy en data beveiliging. Organisaties die dagelijks werken met gevoelige data zullen waarschijnlijk wat kleinere aanpassingen kunnen doen.

Weet u niet waar u moet beginnen? Blancco Technology Group heeft een handig en praktisch 12-stappenplan in het leven geroepen:

  • Voer een intern onderzoek uit
  • Documenteer de uitkomsten
  • Verwijder huidige databeveiliging en data die niet goed is opgeslagen
  • Lever bewijs aan van het verwijderen van data
  • Documenteer hoe u klant-communicatie oppakt
  • Incorporeer beheer voor mobiele apparaten
  • Verzamel data op een verantwoorde wijze
  • Zorg ervoor dat uw afdelingen eenduidig met elkaar samenwerken op het gebied van dataveiligheid
  • Leid uw personeel goed op
  • Wijs een security officer aan
  • Implementeer risicomanagement
  • Ontwikkel een calamiteitenplan ivm datalekken of hacks

Het is tijd om te beginnen! Begin eerst met een intern onderzoek naar hoe u er op dit moment voor staat. Controleer of uw huidige web tracking software de privacy respecteren van uw bezoekers of in ieder geval de mogelijkheid tot uw beschikking stellen. Sta stil bij wat er gewijzigd of aangepast moet worden om uw software meer privacy-compliant te maken. En als u het niet zeker weet raden wij u aan om juridisch advies in te winnen. Beter voorkomen dan genezen!

Meer lezen? Dit artikel is ook interessant!

How will the new privacy regulations affect your digital setup?

 

 

 

 

 

 

 

Ewa Balazinska is content & communicatiemanger bij Piwik PRO, dé enterprise analytics en tag management suite