GDPR en de meldplicht: eerste hulp bij datalekken

De Europese Unie ziet streng toe op de veilige omgang met persoonsgegevens in het bedrijfsleven. Zo stelt de GDPR dat bedrijven niet alleen een verplicht register van hun verwerkingen van persoonsgegevens moeten bijhouden, ze dienen ook hun data breaches te registreren in een ‘register van datalekken’ en hebben een meldplicht omtrent datalekken te vervullen. Wat de meldplicht inhoudt, kom je te weten in deze blog.

Snel lezen? Klik door op de inhoudstabel:

  1. Wat is een datalek?
  2. Waarom is de meldplicht datalekken nodig?
  3. Wat houdt de nieuwe wetgeving in?
  4. Hoe verloopt een melding van een datalek aan de Privacycommissie?
  5. Wanneer moet je een datalek melden aan de betrokkene?
  6. Heeft de verwerker van mijn gegevens ook meldplicht?
  7. Wat zijn de gevolgen van een datalek?
  8. Hoe kan je je beveiliging verbeteren?

Wat is een datalek?

De GDPR definieert een datalek als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.

We spreken van een datalek wanneer persoonsgegevens in handen kunnen vallen van derden die geen toegang tot die gegevens mogen hebben. Een datalek kan bijvoorbeeld het gevolg zijn van een beveiligingsprobleem. Het kan gaan over uitgelekte computerbestanden, een cyberaanval, een gestolen laptop, verloren USB-sticks, een papieren lijst met klantengegevens of zelfs een bedrijfstelefoon die verloren gaat.

Een voorbeeld dat enkele maanden geleden in het nieuws kwam, is dat van de gehackte digitale wachtkamer. Meer dan 550.000 patiëntengegevens werden gelekt dankzij gebreken in de beveiliging van de webapplicatie en het gebruik van verouderde code. Het platform voor huisartsboekingen kreeg felle kritiek omdat het de getroffen consumenten niet zelf inlichtte, maar het datalek negeerde. Dit bevestigt het belang van encryptie of versleuteling van kritieke gegevens in webapplicaties en een degelijke onderhoudsroutine voor het updaten van broncode van websites en webapplicaties. Bovendien volg je best de Europese richtlijnen omtrent de verwerking van persoonsgegevens via online diensten en mobiele applicaties. Twijfel je of de software die jij hebt laten ontwikkelen of waar jij mee werkt voldoet aan de minimale technische standaarden? Neem gerust contact op voor een technische audit ervan.

Waarom is de meldplicht datalekken nuttig?

In 2015 onderzocht Beltug, de grootste Belgische vereniging van technologiebedrijven, hoe goed Belgische bedrijven op de hoogte waren van de wetgeving rond data-inbreuken. Het confronterende resultaat was dat minder dan de helft van de Belgische bedrijven hier kennis van hadden. Het feit dat de privacywetgeving uit 1995 dateerde, en er in de praktijk maar weinig sancties aan verbonden waren, heeft hier wellicht veel mee te maken. En toch wilde Europa bereiken dat de privacy en gegevens van haar inwoners zo goed mogelijk beschermd worden.

Om er dus ondermeer voor te zorgen dat de rechten van betrokkenen streng bewaakt worden, en dat gegevensbescherming hoog op de agenda terecht komt van onze grote én kleine bedrijven, legt de GDPR een meldplicht datalekken op.

Wat zegt de GDPR over datalekken?

Wanneer je bedrijf te maken krijgt met een datalek moet je hier correct mee omgaan. Er zijn drie mogelijke acties die je dient te ondernemen na een inbreuk op de gegevensbeveiliging, namelijk:

Registratie van het datalek in het intern register

Als verwerkingsverantwoordelijke dien je een register aan te leggen waarin alle inbreuken, met inbegrip van de feiten, gevolgen en genomen corrigerende maatregelen, worden geregistreerd. Ook wanneer er al passende beveiligingsmaatregelen aanwezig waren en het risico van de inbreuk nihil was, maak je hier nota van in het register. Denk bijvoorbeeld aan een smartphone die je vergeten bent in een ander filiaal waar pushberichten op ingeschakeld staan.

Notificatie van de DPA

De Belgische Gegevensbeschermingsautoriteit dient in kennis gesteld te worden van ieder gegevenslek, uiterlijk binnen de 72u, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Dit dient beoordeeld te worden per uniek geval. Ondermeer de gevoeligheid van de gegevens spelen hier mee. Een DPO of Data Protection Officer kan je helpen om te beoordelen of de GBA moet ingelicht worden of niet.

Communicatie met de betrokkenen

Wanneer de inbreuk in verband met de bescherming van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, dienen zij hiervan rechtstreeks op de hoogte gesteld te worden door de verwerkingsverantwoordelijke. In de praktijk is het terug de DPO van jouw kmo of de verantwoordelijke omtrent gegevensverwerking die deze rol op zich neemt.

Op inbreuken omtrent datalekken staan sancties. Daarom kan je maar best zélf het initiatief nemen om snel te handelen. Twijfel je of een bepaald gegevenslek dient gemeld te worden? Dan kan je je richten tot de Belgische Gegevensbeschermingsautoriteit of je DPO.

Hoe verloopt de melding van een datalek aan de Gegevensbeschermingsautoriteit?

Zoals hierboven aangehaald hoef je dus niet ieder datalek kenbaar te maken aan de Gegevensbeschermingsautoriteit. Houdt het lek een ernstig risico in voor de rechten en vrijheden van de betrokkenen? Dan moet de melding van het datalek binnen de 72 uur plaatsvinden nadat je als verwerkingsverantwoordelijke het lek vastgesteld hebt. De melding aan de GBA kan online gebeuren en moet verplicht een aantal gegevens bevatten, waaronder:

  • De aard van de inbreuk die te maken heeft met persoonsgegevens;
  • (waar mogelijk) de categorieën van de betrokken en het aantal persoonsgegevens;
  • de naam en de contactinformatie van de Data Protection Officer (DPO) of een ander contactpunt waar de autoriteit meer informatie kan verkrijgen;
  • de waarschijnlijke gevolgen van de inbreuk;
  • de maatregelen die de verwerkingsverantwoordelijke heeft genomen of voorgesteld om de inbreuk aan te pakken zoals de beperking van de eventuele nadelige gevolgen.

TIP! Om aan de strakke deadline te voldoen, kan je maar beter proactief de benodigde datalekprocedures uitwerken én passende technische en organisatorische beveiligingsmaatregelen invoeren.

Wanneer moet je een datalek melden aan de betrokkenen?

In bepaalde gevallen moet je naast de GBA ook de betrokkenen op de hoogte brengen van een datalek. Dit is het geval indien de inbreuk een realistisch hoog risico inhoudt voor de rechten en vrijheden van de betrokken natuurlijke personen. Deze melding moet ook verplicht een aantal gegevens bevatten én moet in klare en begrijpbare taal geformuleerd worden. De contactgegevens van de privacycontactpersoon of DPO moeten ook aan de betrokkene bezorgd worden alsook informatie over de gevolgen van het datalek en de maatregelen die genomen werden.

Let op! Er bestaan situaties waarin je op het moment dat deze blog geschreven wordt niet verplicht bent om datalekken te melden aan de betrokkenen wanneer bijvoorbeeld:

  • de gegevens door encryptie of versleuteling onleesbaar werden gemaakt;
  • onmiddellijk maatregelen werden genomen die de impact beperken;
  • de melding onevenredige inspanningen vergt en de onderneming daarom beslist heeft om één algemeen openbaar bericht over het lek te verspreiden.

Heeft de verwerker van mijn gegevens ook een meldplicht?

Ja! De verwerker is verplicht om ieder datalek te melden aan de verwerkingsverantwoordelijke (jouw contactpersoon of DPO). Dit moet bovendien zo snel mogelijk gebeuren na het ontdekken van het datalek. We raden daarom aan om in de verwerkersovereenkomsten tussen jouw onderneming en haar gegevensverwerkers een procedure vast te leggen die de verwerker moet volgen wanneer er een datalek vastgesteld wordt. Hierin wordt ook een kortere termijn voor de meldplicht afgesproken dan de 72u waaraan jouw kmo zich moet houden. Leg concreet vast welke informatie de verwerkers moeten bezorgen en binnen welke termijn.

Wat zijn de gevolgen van een datalek?

De Gegevensbeschermingsautoriteit kan boetes opleggen wanneer ondernemingen de privacy van betrokkenen schaden of hun gegevens gebrekkig beveiligen. Deze boetes kunnen worden opgelegd samen met of in de plaats van de te nemen maatregelen en zijn afhankelijk van de aard, intentie, genomen maatregelen, verantwoordelijkheden, eerdere inbreuken, mate van samenwerking, mate van naleven van certificaties e.d.

Hoe kan je de beveiliging van gegevens verbeteren?

Het is duidelijk dat de Europese Unie serieus wilt inzetten om cybercriminaliteit de kop in te drukken en inwoners hun privacy te beschermen. Zorg er daarom voor dat je bedrijf voldoet aan de vooropgestelde eisen van de GDPR en de meldplicht datalekken. Ik sluit graag af met 4 tips waarmee je onmiddellijk aan de slag kan:

Stel een IT veiligheidsbeleid op

Een intern IT veiligheidsbeleid is een echte must. Wist je dat het interne IT veiligheidsbeleid van Datalink zo’n twintig artikels bevat en dit een dynamisch document is? Uniformiteit in de werking van je bedrijf is nog nooit zo belangrijk geweest en door structuren aan te reiken en het gebruik van Shadow IT te ontmoedigen perk je het risico op een lek al drastisch in. Formuleer in dit beleid ook duidelijk wie wat wanneer moet doen als je toch met een datalek of cyberaanval geconfronteerd wordt.

Breng gegevensstromen in kaart en beperk de hoeveelheid gegevens

Bekijk de data en persoonsgegevens waar je onderneming nu mee werkt. Zijn al deze gegevens noodzakelijk? Verzamel en bewaar enkel die gegevens die je echt nodig hebt. Zorg er voor dat je periodiek je databanken opkuist en onnodige gegevens verwijdert en zo het overzicht bewaart.

Beperk de toegang tot gegevens

Niet alle medewerkers binnen je bedrijf hebben toegang nodig tot alle (persoons)gegevens. Zorg er daarom voor dat werknemers uitsluitend toegang kunnen nemen tot die gegevens die zij nodig hebben voor de uitoefening van hun job, en laat gebruikers in geen geval met een administratoraccount werken.

Zorg voor adequate beveiliging

Laat je beveiligingsmaatregelen periodiek evalueren of auditen en bekijk wat er aangepast moet worden om mee te blijven met de hedendaagse standaarden. Maak van IT veiligheid een prioriteit. Ben je niet zeker of je bedrijf voldoende beveiligd is? Check eerst en vooral de paswoordendatabank van Haveibeenpwned om na te gaan of er paswoorden van jouw zakelijke e-mailaccounts op het internet rondslingeren. Nodig vervolgens een IT security specialist uit die zwakke punten kan identificeren en verbeteren.

Wist je dat we bij Datalink een IT Audit aanbieden? Deze audit die bestaat uit een situatieanalyse, vraagstelling, onderzoek, advies en implementatieplan is voor 40% subsidieerbaar via de kmo-portefeuille!

Heeft jouw organisatie voldoende IT-technische maatregelen tegen datalekken genomen? Volstaan de aanwezige procedures om de wetgeving te kunnen naleven?

Neem contact op met onze databeveiligingsexperts. We lokaliseren de ‘weak spots’ in de beveiliging van jouw bedrijf, en nog veel belangrijker… we helpen ze oplossen!

GDPR conform e-mailverkeer

Ongestructureerde e-mail: alternatieven voor kmo’s

E-mailverkeer is een van de meest belangrijke oorzaken van datalekken in kmo’s. Iedereen kent wel een situatie waarbij een e-mail per ongeluk bij de verkeerde ontvanger terecht is gekomen. Dit is meestal het gevolg van een onoplettendheid. Wat meestal maar een kleine fout lijkt, kan echter grote gevolgen hebben voor de veiligheid van je data én jouw kmo wanneer een e-mail in de verkeerde handen terechtkomt. Een degelijk e-mailbeleid en voldoende technische en organisatorische maatregelen zijn absoluut geen overbodige luxe om het veiligheidsniveau te verhogen en GDPR conform mailverkeer te garanderen.

Waarom is e-mailverkeer zo risicovol?

E-mailberichten behoren tot de ‘ongestructureerde data’ van een organisatie. Dit houdt in dat deze gegevens vaak ongesorteerd bewaard blijven en niet in een vast register of vaste structuur staan waardoor ze minder beheersbaar zijn dan gestructureerde data waarover je onderneming wel een duidelijk zicht heeft.

Bovendien worden e-mails vaak via de webbrowser bekeken en is deze toegang niet altijd optimaal beveiligd. Ten derde is het ook erg moeilijk om de impact te meten in het geval van een gelekte of gehackte mailbox. Waren alle inkomende CV’s van potentiële medewerkers en stagiairs wel netjes uit de mailbox gewist? Stonden er nog offertes in van prospecten? Werden er in het verleden mogelijk gevoelige gegevens of documenten via e-mail uitgewisseld?

Wanneer er een Data Access Request plaatsvindt oftewel een aanvraag van een betrokkene om zijn of haar gegevens in te zien, aan te passen of te vergeten, wordt het dankzij de vele bijgehouden e-mails en e-mailbijlages bovendien erg moeilijk om efficiënt aan deze rechten te voldoen. Hoewel de GDPR hier thans een plicht voor oplegt.

Een laatste risicofactor van e-mailverkeer is het feit dat veel medewerkers hun mailbox ook via hun mobiele apparaat zoals tablet of smartphone gebruiken. Hier loop je dus ook weer een risico op datalekken indien zo’n toestel gestolen wordt of verloren gaat.

Hoe kan je je e-mailverkeer optimaal beveiligen tegen datalekken?

E-mail is echter niet weg te denken in de communicatie binnen én tussen kmo’s. Daarom start je best met een optimale beveiliging tegen datalekken. In samenwerking met onze juridische partner bespraken we in de blog: GDPR en e-mails: grootste oorzaak van datalekken bij kmo’s al een aantal effectieve maatregelen die je kan implementeren om het e-mailverkeer van jouw kmo te beschermen tegen datalekken:

  • voorzie een streng en afdwingbaar e-mailbeleid via een uitgeschreven beleid en duidelijke procedures;
  • kies door middel van UTM (Unified Threat Management) voor proactieve afwering van bedreigingen zoals malware;
  • zet e-mails met gevoelige informatie in quarantaine dankzij Data Loss Prevention;
  • beveilig bestanden en mailboxen door Two Factor Identification in te schakelen;
  • kies voor kwalitatieve versleuteling of encryptie van de gegevens, en dit zowel voor je mailbox als de gebruikerstoestellen.

Indien je bovenstaande maatregelen geïmplementeerd hebt, ben je alvast op de goede weg ????Maar je kan nog een stap verder gaan om de kostbare data van jouw bedrijf én jouw contacten te beschermen. Zo kan je ook kiezen voor alternatieven voor zakelijk e-mailverkeer.

Welke alternatieven bestaan er voor e-mails?

Medewerkers wisselen constant gegevens uit. E-mails met persoonsgegevens of gevoelige data worden al snel van de ene naar de andere collega doorgestuurd terwijl dit in principe niet nodig is. Met de Europese GDPR-regelgeving is het extreem belangrijk dat het overzicht over alle data die persoonsgegevens bevat, behouden wordt. Wenst een betrokkene gebruik te maken van zijn recht op inzage of zijn recht om vergeten te worden? Dan is het niet handig om op dat moment alle mailboxen van je medewerkers uit te moeten pluizen en op zoek te gaan naar de informatie die voorgelegd of vergeten moet worden.

Daarom stel ik twee alternatieven voor waardoor intern mailverkeer én het risico op datalekken tot een minimum herleid kunnen worden: digitale platformen en een cloud opslag- en synchronisatieoplossing zoals Datasync.

Centraliseer data in een digitaal platform

Het eerste alternatief voor mailverkeer is een digitaal platform of webapplicatie op maat. Een eigen intranet of documentenplatform heeft verschillende voordelen waaronder de mogelijkheid voor klanten om zelf hun gegevens in te sturen, te bekijken en te bewerken. Denk bijvoorbeeld aan “My Telenet”, waar gebruikers hun persoonsgegevens, hun telefonie- of internetpakket alsook hun facturen kunnen bekijken. Je voorziet ineens de mogelijkheid om gegevens zelf te laten corrigeren door gebruikers én je bespaart je medewerkers tijd. Duimpje omhoog voor transparantie!

Een digitaal platform kan ook intern ingezet worden om de werking van het team te ondersteunen. Zo kan je bijvoorbeeld gebruik maken van een planningstool of intranet waarin je met verschillende medewerkers samen kan werken en dus onnodig mailverkeer uit de weg kan gaan. Ook procedures, afspraken en belangrijke informatie kan je zo op één centrale plek opslaan zodat uitsluitend de hiertoe gemachtigde personen deze kunnen consulteren. Let er wel op dat je de privacy by default en privacy by design principes correct toepast die de GDPR verlangt van nieuwe software-platformen.

Centraliseer je data in de cloud

Ook kan je kiezen voor een cloudmap om data in te centraliseren en uit te wisselen. In een cloudmap kunnen verschillende gebruikers, al dan niet met aangepaste toegangsrechten, hun bestanden delen. Het grote voordeel? Je hebt steeds de meest recente versie van je bestanden voor handen en je vermijdt dat er al snel vijf verschillende versies circuleren over vijf verschillende mailboxen. Hoe minder e-mails je intern moet versturen, hoe veiliger! Daarom is een cloud-synchronisatiedienst het ideale alternatief voor e-mails bij in-company gebruik tussen medewerkers alsook extern met bijvoorbeeld freelancers.

Wil je gebruik maken van een clouddienst? Dan adviseer ik je om je cloud partner zorgvuldig uit te kiezen. Je blijft namelijk steeds verantwoordelijk voor de veiligheid van je gegevens. Stel je daarom steeds de volgende vragen:

  • Waar bevindt de cloud zich?
  • Wie beheert de cloud?
  • Wordt mijn data nog met andere verwerkers gedeeld? Zoja, met wie?
  • Exporteert de cloudleverancier mijn data naar niet-Europese servers?
  • Welke beveiligingsmaatregelen worden er toegepast? Zijn deze voldoende?

Veel ondernemers maken gebruik van cloudoplossingen van niet-Europese aanbieders. Helaas kunnen deze giganten meestal geen of onvoldoende garanties bieden op GDPR-conformiteit. Dit hhoewel zij volop communiceren over de privacywetgeving die jij als ‘verwerkingsverantwoordelijke’ correct moet toepassen. Bovendien schuiven zij via de gebruikersvoorwaarden alle verantwoordelijkheid van zich af.

Verwerk je gegevens met een gevoelig karakter of wil je op safe spelen, dan kan je best overschakelen op een oplossing die gehost wordt binnen Europa, met transparante overeenkomsten die evenwichtig zijn en zowel de verwerker als de verwerkingsverantwoordelijke garanties bieden.

Wist je dat onze eigen dienst Datasync volledig ontwikkeld is om in regel te zijn met de GDPR-wetgeving? Bestanden worden gecentraliseerd én geëncrypteerd in de Benelux opgeslagen. Hiernaast kan je ze gemakkelijk delen met collega’s en apparaten, op kantoor én onderweg. Met Datasync:

  • wordt je data geëncrypteerd en gecentraliseerd in de cloud;
  • staat je data in een fysiek en softwarematig beveiligd datancenter in de Benelux;
  • worden er minimaal 10 versies van je cloud-bestanden bewaard;
  • kan flexibel documenten uitwisselen met collega’s zonder ze heen en weer te mailen;
  • zijn toegangsrechten aanpasbaar naargelang de noodzaak.

Even samenvatten?

  • E-mailverkeer is de grootste oorzaak van datalekken in kmo’s.
  • E-mailberichten zijn ongestructureerde data waarover een kmo vaak geen duidelijk overzicht heeft. Bovendien betekenen mobiele apparaten van medewerkers een bijkomend veiligheidsrisico.
  • Er bestaan maatregelen om het mailverkeer van je kmo te beveiligen zoals een streng e-mailbeleid, two factor verification en een UTM-firewall.
  • Hiernaast bestaan er ook alternatieven voor e-mailverkeer in kmo’s zoals digitale platformen en cloudoplossingen.
  • Een digitaal platform is te gebruiken voor externe communicatie tussen onderneming en klant alsook voor interne communicatie tussen medewerkers.

Minimaliseer overbodig mailverkeer

en structureer zo de werking van jouw kmo!

Verloopt de uitwisseling van gegevens in jouw organisatie al optimaal? Of is de kans op datalekken reëel? Contacteer onze IT experts voor een kennismaking en eerste advies.

Contacteer Team Datalink

wachtwoord gehackt

Is je wachtwoord gehackt na een datalek? Check “haveibeenpwned”

Is je wachtwoord gehackt?

Het aantal gehackte websites stijgt enorm, met alle desastreuse gevolgen van dien. Veel gebruikers hebben echter een “dat overkomt mij toch niet” -mentaliteit. Hierdoor beseffen ze niet dat hun gegevens, net zoals die van miljoenen andere gebruikers, mogelijk nu al op het internet te raadplegen zijn. Via een online zoekmachine check je zelf of je paswoord voorkomt in een databank met gelekte accountgegevens. Deze zoekmotor is al een goede start om awareness te creëren. Maar natuurlijk is deze databank niet volledig en spreekt het voor zich dat je ook voor toekomstige risico’s vandaag proactief moet handelen om je gegevens te beschermen.

Snel lezen?

  1. Have I Been Pwned
  2. Waar komen deze gehackte gegevens vandaan?
  3. Wat is het gevaar van een datalek?
  4. Hoe kan ik mezelf beschermen tegen datalekken?

Have I Been Pwned

Haveibeenpwned.com” is een website, gelanceerd door beveiligingsspecialist Troy Hunt, waarop je als surfer zelf kan testen of je e-mailadres en wachtwoord achterhaald zijn uit één van de opgespoorde databanken met gehackte gegevens. De verzameling telt al enkele miljarden gebruikersaccounts en is vrij te raadplegen op het internet.

Hunt, Regional Director bij Microsoft, maakt het via deze website mogelijk om je username of e-mailadres in te vullen en onmiddellijk te zien of jouw gegevens tot de gehackte data behoren. Wanneer er een “red alert” tevoorschijn komt met de melding: “Oh no – pwned!”, is het raadzaam om je inloggegevens onmiddellijk te veranderen op de desbetreffende website alsook op andere websites waar je dit wachtwoord gebruikt.

Misschien een kleine fun fact? De term “pwned” komt oorspronkelijk uit de gamingwereld waarbij in het spel Warcraft een Map Designer een spelfout schreef in het woord “owned”. Wanneer de computer een speler versloeg in het spel, kwam de melding “you have been pwned”. Al snel kwam er een eigen betekenis aan vast te hangen, namelijk het “gedomineerd worden” of “verslagen worden door een computer of externe kracht”.

Waar komen deze gehackte gegevens vandaan?

De logingegevens die in de online databank zijn verzameld, zwerven al enige tijd rond op het internet. Websites en webapplicaties worden al jaren geteisterd door hackers die uit zijn op het bemachtigen van gebruikersgegevens voor criminele doeleinden. Zo werd Dropbox in 2012 gehackt en maakten cybercriminelen gebruikersnamen én wachtwoorden van 69 miljoen gebruikers buit. De grootte van de hack kwam echter pas in 2016 aan het licht, vier jaar na de feiten.

Zo werd ook LinkedIn gehackt in 2012 en werd er destijds bekend gemaakt dat 6 miljoen onversleutelde (!) e-mailadressen en wachtwoorden werden gelekt. Helaas was er veel meer aan de hand. Zo ontdekte Motherboard dat in 2012 niet 6 miljoen maar 117 miljoen gegevens gestolen werden. Dit werd later ook officieel door LinkedIn bevestigd.

In februari 2018 werd zelfs applicatie MyFitnessPal gehackt waarbij data zoals e-mailadressen, wachtwoorden en gebruikersnamen van 150 miljoen gebruikers gelekt werden wat dit het grootste datalek van 2018 maakt (tot nu toe). Ook giganten zoals Ebay, Adobe en Uber werden al gehackt.

Wat is het gevaar van een datalek?

Je denkt nu misschien dat het niet zo’n drama is dat de gegevens van je oude e-mailadres of je slechts zelden gebruikte Twitter-account gelekt werden. Maar dat is het wel degelijk! Hackers bieden zulke info namelijk vaak aan op het “dark web”, de onderwereld van het internet, waardoor persoonsgegevens van miljoenen mensen voor het grijpen liggen. Vaak gebruiken surfers ook nog eens hetzelfde wachtwoord voor verschillende toepassingen waardoor de hacker toegang heeft tot een gigantische hoeveelheid van data. Beter vermijden dan genezen dus.

Ben je ondernemer? Dan heeft jouw organisatie verantwoordelijkheden als verwerkingsverantwoordelijke van persoonsgegevens. Je bedrijf is niet alleen verantwoordelijk voor eigen data maar ook voor de data die verzameld en verwerkt wordt van (potentiële) klanten, leveranciers en medewerkers. Om de persoonsgegevens van Europese betrokkenen te beschermen is de GDPR van kracht. Eén van de plichten die je dient te vervullen, is de meldplicht datalekken. Deze meldplicht houdt in dat je een datalek in bepaalde gevallen binnen de 72 uur moet melden bij de Gegevensbeschermingsautoriteit. Dit is verplicht wanneer er een gevaar is dat het lek aan persoonsgegevens een risico met zich mee brengt voor de vrijheden en de rechten van natuurlijke personen. Gebruik je een externe app of tool om gegevens van je klanten te delen met je collega’s en wordt deze dienst gehackt? Dan blijft jouw bedrijf verantwoordelijk en moet je dit lek ook zelf melden. Afhankelijk van de ernst is dit aan de Gegevensbeschermingsautoriteit en/of de betrokkene.

Hoe kan ik mijn organisatie beschermen tegen datalekken?

Eerst en vooral wil ik je adviseren om gebruik te maken van sterke wachtwoorden, en deze geregeld te veranderen om zo de kans op diefstal te verkleinen. Gebruik bij voorkeur voor ieder account een uniek wachtwoord. Zo voorkom je dat met één hack ook andere accountgegevens kunnen buitgemaakt worden.

Bij Datalink hebben een uitgebreide checklist van maatregelen opgesteld die je kan nemen om je organisatie te beschermen tegen datalekken. Natuurlijk zijn niet alle maatregelen in de praktijk toepasbaar of noodzakelijk. Dit hangt volledig af van je bedrijfsprocessen, je IT infrastructuur en je digitale tools.

Vele softwarediensten bieden Two Factor Authentication (2FA) aan, encrypteren (versleutelen) standaard alle opgeslagen data en voorzien een geautomatiseerd update-, patch-, en monitoringbeleid. Via 2FA krijg je pas toegang tot je account na het doorlopen van twee stappen: de eerste keer door je pincode of wachtwoord in te geven en de tweede keer door bijvoorbeeld een code aan te vragen via een mobiele app zoals Google Authenticator. Bij encryptie bestaat de kans dat een buitgemaakte databank onleesbaar is doordat de gegevens zijn veranderd in random tekst. Door middel van een strikt update-, patch en monitoringbeleid worden apparaten zeer snel bijgewerkt waardoor het risico op cybercrime afneemt.

Kortom: een audit op maat is nodig om alle risico’s nauwgezet in kaart te brengen en gerichte IT securitymaatregelen te implementeren.

Wil je hiermee begeleid worden door IT security-experts?

Dan helpen we je heel graag verder met een IT Audit. In deze audit:

  • Bevragen we je huidige digitale werking;
  • peilen we naar je toekomstambities;
  • inventariseren we je IT-apparatuur, software en clouddiensten;
  • onderzoeken we de sterktes, zwaktes, opportuniteiten en bedreigingen;
  • lijsten we concrete actiepunten op;
  • vullen we aan met ontbrekende beveiligingsmaatregelen;
  • formuleren we een strategisch toekomstadvies.

Kwam jouw domeinnaam of e-mailadres gelukkig heelhuids uit de opzoeking op de website haveibeenpwned.com en wil je dit graag zo houden? Of is het nodig om de informatieveiligheid in je organisatie dringend aan te scherpen? Start een livechat met onze Data Protection Officer, Ethical Hacker of een andere adviseur uit ons IT-team en minimaliseer het risico op datalekken in jouw kmo.

Team Datalink to the rescue

SEO copywriting: scoor met je website in Google

SEO copywriting: optimaliseer en behaal meer… in Google

Hoog scoren in Google en veel conversies binnenhalen zijn twee van de belangrijkste digitale focuspunten van vele ondernemers. Surfers zijn dan weer gericht op zoek naar een product, een dienst, of gewoonweg naar het antwoord op hun vraag. Hoeveel pagina’s doorzoek jij vooraleer een link aan te klikken? Juist, je bekijkt enkel en alleen de eerste pagina. Met SEO copywriting match je het antwoord dat jouw website biedt met de zoekvraag van je doelgroep. Omdat Google websites beoordeelt op zeer uiteenlopende criteria, vat ik in dit artikel graag mijn tips samen!

Met SEO copywriting match je het antwoord dat jouw website biedt met de zoekvraag van je doelgroep.

SEO copywriting: zo werkt het:

  1. Begrijp de denkwijze van Google
  2. Optimaliseer je websitecontent

De denkwijze van Google

Constante evolutie

Door de constante verfijning en aanpassing van rankingalgoritmes, veranderen de rankingfactoren constant. Google is doorheen de tijd steeds geavanceerder geworden en is vandaag de dag zelfs in staat om websites te lezen én te begrijpen. Waar het vroeger mogelijk was je keyword 100 keer (soms zelfs onzichtbaar) te vermelden in een slecht geschreven, irrelevante tekst op je pagina en zo hoog te scoren, zal Google zich hier nu niet meer door laten vangen. Google verwacht vandaag de dag veel meer van webschrijvers en baseert zich hiervoor steeds op evoluerende technologieën en aangepast gebruikersgedrag. Rankingfactoren die vroeger van cruciaal belang waren, verdwijnen nu natuurlijk niet zomaar uit beeld, integendeel, ze blijven belangrijk. Ze moeten enkel de voorgrond geven aan nieuwere meetstaten zoals mobielvriendelijkheid, SSL-certificaten en de intentie van de surfer.

Ranking is industrie- en nichespecifiek

Google kwam tot the conclusie dat zich enkel baseren op één set algemene rankingfactoren niet ideaal is. Iedere sector is anders en heeft zijn eigen specialiteit. Dit is ook zo op het vlak van SEO en online marketing. Zo gebruiken reiswebsites bijvoorbeeld veel meer opsommingen en is de inhoudsrelevantie van dit soort websites op de eerste pagina van Google hoger dan gemiddeld, vergeleken met andere sectoren. Mediawebsites hebben dan weer gemiddeld 30,7 procent meer links naar externe websites en in de Google top 20 heeft ruim de helft van de e-commerce-pagina’s de webshop boven de “paginavouw”. Een reiswebsite vergelijken met een e-commerce-pagina wordt dan appelen vergelijken met peren. Wil je hier graag meer over lezen? Dat kan op de website van Search Metrics.

Intentie van de surfer staat centraal

Vroeger kon Google de intentie van surfers enkel interpreteren aan de hand van keywords maar dit is vandaag de dag achterhaald. Om de bezoeker nu nog sneller en van meer relevante antwoorden te voorzien, maakt Google gebruik van Rankbrain. Met behulp van artificial intelligence (AI) traint het Google algoritme zichzelf om patronen te herkennen. Als Rankbrain een onbekende zoekopdracht ziet, kan het sneller inschatten welke woorden of zinnen een gelijkaardige betekenis of relatie hebben. Hierdoor kan het zoekopdrachten beter interpreteren en zelfs gaan rangschikken. Meer lezen over rankbrain? Dat kan hier.

Optimaliseer je websitecontent

Zie jij door de algoritmische bomen het SEO-copywriting bos niet meer? Dan leid ik je hieronder graag opnieuw naar het juiste pad. Ik verzamelde namelijk de belangrijkste copywriting gerelateerde elementen waarmee je kan scoren in de zoekmachines.

Creëer relevante teksten en beelden

Content is key en zoekmachines verkiezen steevast kwaliteit boven kwantiteit. Voor Google is relevante inhoud van websites één van de belangrijkste elementen geworden. Surfers gaan op zoek naar een product, een dienst of informatie en willen het antwoord op hun vragen vinden. Als jouw pagina relevant is en het antwoord biedt, herkent Google dit aan een aantal signalen. De ideale manier om jouw website zichtbaar te maken.

Check de dwell time van je bezoekers

Hoelang een surfer op jouw website blijft, is ook bepalend voor je ranking in Google. Dit hangt vanzelfsprekend ook af van de kwaliteit van de inhoud op je webpagina’s. Hoelang een surfer zoet is met lezen en navigeren in jouw website, hoe beter. Dit betekent namelijk dat er relevante informatie te vinden is en dat de bezoeker jouw pagina-informatie zorgvuldig aan het doornemen is.  Heeft je website een erg korte dwell time? Optimaliseer dan de gebruikerservaring, voorzie interessante artikels en blogs en zorg voor kwalitatieve interne en externe links om surfers van relevante informatie te voorzien. Hieronder zie je een voorbeeld uit Google Analytics. Bij “Gemiddelde tijd op pagina” zie je dat de surfer gemiddeld zo’n 4 minuten en 47 seconden spendeert op de pagina GDPR voor kmo’s. De gemiddelde weergavetijd per pagina voor de gehele website bedraagt zo’n 2 minuten en 18 seconden. Niet slecht hé 😀

Zorg voor kwalitatieve teksten

Naast wat je aan bezoekers te zeggen hebt op je website is het ook van belang hoe je deze boodschap overbrengt. Teksten schrijven die je surfers aanspreken is geen koud kunstje. Er kruipt vaak veel tijd en moeite in én veel oefening. Mensen zeggen vaak: “Ik kan niet schrijven!” maar met wat tijd en inspanning kan je heel wat skills aanleren. Heb je hier geen zin in? Dan kan je nog altijd een hulplijn inroepen: de copywriter of één van je medewerkers met schrijftalent.

Schrijf je wel zelf je teksten? Super! Maar zorg er in dat geval ook voor dat alles taalkundig en stilistisch goed zit. Niets jaagt surfers sneller weg dan een website vol typo’s en dt-fouten. Mijn haren gaan hier ook spontaan van overeind staan! ?

Misschien minder belangrijk voor Google maar wel cruciaal voor de surfer is de tone of voice die je gebruikt. Zorg ervoor dat je consequent bent en ga je klanten niet met “u” en “je” door elkaar aanspreken. Dit komt onprofessioneel over en schept verwarring. Je taalgebruik heeft ongelofelijk veel invloed op de kwaliteit van je teksten, de relevantie van je content én alweer die dwell time van de surfer. Blijf dus gewoon jezelf, bepaal hoe jij de surfer wilt aanspreken en trek de lijn door van offline naar online zodat surfers je steeds onmiddellijk herkennen. Dit schept een vertrouwensband tussen je onderneming en je (potentiële) klant.

Een laatste tip: zorg steeds voor kwalitatieve SEO-gegevens voor elke pagina van je website alsook voor de afbeeldingen, video’s, en andere media die je gebruikt. Google houdt van meta-gegevens en zal je belonen wanneer je geoptimaliseerde titels en omschrijvingen voorziet. Ohja, SEO-titels mogen zo’n 70 karakters bevatten, SEO-omschrijvingen rond de 300 à 350 karakters.

Benadruk je expertise via een blog

Eén manier om je surfers aan te trekken is door te bloggen. Je kan bijvoorbeeld inspelen op de actualiteit en de meest recente trends binnen jouw domein. Heb je net een super interessant project afgerond? Schrijf erover en laat de surfer weten wat er net zo speciaal was. Of geef je liever tips zoals die van ons over hoe je je website GDPR-compliant kan maken? Of misschien wil je je bezoekers net waarschuwen zoals wij geregeld doen wanneer er een nieuwe vorm van ransomware doorbreekt? Het kan allemaal. Door te delen wat jij belangrijk vindt, toon je al snel je expertise. Hierdoor wordt je een referentie en bouw je vertrouwen op binnen jouw domein. Bovendien kan je door te bloggen perfect inspelen op SEO. Door je per blog op één focuszoekwoord te concentreren, zorg je ervoor dat je voor deze term goed zal scoren in de zoekmachines. Door interne links te voorzien in je website kan bloggen bovendien een positief effect hebben voor je gehele website. Deel gerust kennis over je passie maar houd kwalitatieve copy, relevantie en variatie van content steeds in de gaten. Alles is onherroepelijk met elkaar verbonden en zal mee bepalen of je blog een succes wordt! ?

Varieer met content

Om je website interessant en relevant te maken voor je bezoeker,  is het belangrijk te werken met verschillende soorten content. Veel surfers skippen je pagina als ze enkel reusachtige blokken tekst tegenkomen. Zo kies je er best voor om video’s, foto’s of infographics te integreren. Beelden brengen de boodschap vaak beter over, of zetten hem kracht bij, en maken bovendien je tekst aantrekkelijker waardoor de webpagina gemakkelijker gedeeld zal worden. Je kan ook je afbeeldingen optimaliseren door rekening te houden met de volgende tips:

  • Geef je afbeeldingen een duidelijke bestandsnaam en beschrijvende Alt-tag met relevante zoekwoorden.
  • Zorg ook voor een optimaal formaat voor je afbeeldingen door de resolutie (pixels) niet groter te maken dan nodig.
  • Comprimeer je afbeeldingen voor online gebruik en gebruik steeds het geschikte formaat: .png voor afbeeldingen met een transparante achtergrond, .jpeg voor foto’s en .gif of .svg voor logo’s en lijnafbeeldingen.

Zo beschik je al over een goede basis om voor dit ijkpunt te scoren.

Pas linkbuilding toe

Interne links zorgen ervoor dat je de bezoeker wegwijs maakt en hem doorverwijst naar andere content op je eigen website die relevant kan zijn voor zijn zoekopdracht. Externe links kunnen linken naar betrouwbare bronnen op het internet die mogelijk ook interessant zijn voor de surfer. Linken andere websites naar jouw pagina? Super! Want dan groeit jouw betrouwbaarheid en autoriteit binnen jouw domein.

Voer technische optimalisatie uit

Het is ondertussen wel duidelijk; copy en content zijn cruciale elementen waar je tijd en moeite in moet investeren, maar daar stopt het helaas niet. Er zijn nog een hele reeks andere, technische elementen waar je rekening mee moet houden om onze vriend Google tevreden te stellen.

Zo hecht Google veel belang aan de veiligheid van je website en zorg je best voor een SSL-certificaat dat de communicatie via je website veilig stelt. Ook draagt Google mobielvriendelijkheid hoog in het vaandel. Sinds 2015 krijgen mobielvriendelijke sites zelfs voorrang in de zoekresultaten ten opzichte van websites die dat niet zijn. Daarom kan je er maar beter voor zorgen dat je gebruik maakt van Accelerated Mobile Pages (AMP). Als laatst is kwalitatieve broncode onmisbaar aangezien Google de broncode gebruikt om je website te scannen. Een website kan enkel gezond zijn wanneer de broncode kwalitatief en op orde is. Zorg er daarom o.a. voor dat je stijlen zoals lettertypes en kleuren altijd in een CSS bestand verwerkt en dat je steeds gebruik maakt van de juiste h1-h2-h3 structuur. Voorzie ook steeds een duidelijke XML-sitemap zodat Google je website kan indexeren.

Is jouw website al voorzien van kwalitatieve inhoud? Of zoek je nog naar ondersteunend schrijftalent?

Neem contact met mij op en samen met Team Datalink zorg ik voor meer digitale zichtbaarheid!

Out of sight, out of mind: de gevaren van Shadow IT

Het is snel gebeurd, een bestand delen met een collega via WeTransfer. Heel wat cloud storage services en file sharing applicaties worden tijdens een onbewaakt moment gebruikt om bestanden op te slaan of te delen. Maar zijn deze tools wel goedgekeurd door het management of de IT-verantwoordelijke? Wist je dat de GDPR specifieke voorwaarden voorziet voor de export van data naar niet-Europese providers en servers? Daarnaast worden er tegenwoordig heel wat apps in gebruik genomen om processen te vereenvoudigen. Denk maar aan ‘to-do-list’-apps op de smartphone. Op zich niet fout bedoeld, maar wanneer persoonsgegevens worden opgeslagen in deze apps (en dus gedeeld worden met derden) is het gebruik van de apps niet meer zo onschuldig.

Uit een onderzoek van Trend Micro blijkt dat maar liefst 61 procent van de ondervraagde Belgische werknemers toegeeft dat ze niet-werkgerelateerde software gebruiken op bedrijfstoestellen. 74 procent van de ondervraagden geeft zelfs aan al bedrijfsgegevens via zulke niet-toegestane tools verzonden te hebben. Zijn het management en de IT-afdeling van jouw organisatie op de hoogte van alle software die er op de werkvloer circuleert? Of zou er wel eens Shadow IT aanwezig kunnen zijn?

Wat is Shadow IT?

Onder Shadow IT verstaan we alle hardware, software en tools in een organisatie die niet officieel deel uitmaken van het IT-beleid. Wat valt hier zoal onder? Apparaten die van thuis meegebracht worden en aan het netwerk gekoppeld worden zoals usb sticks, wifi-versterkers of tablets. Maar ook applicaties die op eigen initiatief van de werknemer gebruikt worden zoals notitie-apps, websites waar bestanden worden geüpload en cloudsoftware. Het zijn tools en app’jes die zonder medeweten van de IT-afdeling geïnstalleerd en gebruikt worden.

Wat is het gevaar van Shadow IT?

Gemiddeld ziet zo’n 75 procent van de medewerkers er geen graten in om Shadow IT te gebruiken. Ze worden onvoldoende gesensibiliseerd waardoor ze zich niet realiseren wat de gevaren zijn die hieraan vasthangen. Daarnaast heeft een bijna even grote groep van managers of IT-verantwoordelijken er geen helder zicht op in welke mate Shadow IT binnen het bedrijf gebruikt wordt. Dit houdt natuurlijk ernstige risico’s in voor de informatieveiligheid.

Bedreiging voor GDPR-compliancy

Shadow IT vormt een groot probleem voor bedrijven als het gaat om GDPR compliancy. Werknemers staan er namelijk amper bij stil waar de ingevoerde informatie (die persoonsgegevens kan bevatten) in hun mobiele apps of websites werkelijk naartoe gaat. Daarnaast hebben ze bij het eerste gebruik ervan gebruiksvoorwaarden geaccepteerd die de organisatie niet juridisch heeft kunnen aftoetsen. Staan de gegevens op servers buiten de EU? Dan bestaat de kans dat de dienst onvoldoende garanties biedt om op een vertrouwelijke manier met de data om te gaan. Ook zou het kunnen dat er verschillende sub-verwerkers inzage krijgen in de data. Indien de afgesloten overeenkomst ontbreekt in het bedrijf, en de verwerking niet in het dataregister staat ingevuld, spreken we van inbreuken. Bij onwetendheid kunnen plichten ten opzichte van betrokkenen (wanneer er bijvoorbeeld persoonsgegevens worden opgeslagen van prospecten, klanten of medewerkers) niet nagekomen worden. Shadow IT vormt dus een grote uitdaging voor iedere kmo die persoonsgegevens verwerkt van Europese burgers.

Bedreiging voor de meldplicht datalekken

Vanaf 25 mei 2018 bestaat er ook een meldplicht datalekken. Dit wilt zeggen dat je binnen de 72 uur melding moet maken wanneer er een datalek heeft plaatsgevonden in jouw bedrijf. Die melding moet je mogelijk registreren in een register, melden aan de betrokkenen en/of aan de Gegevensbeschermingsautoriteit.

Ook hier vormt Shadow IT een groot gevaar. Als je niet weet waar je verwerkte persoonsgegevens zich bevinden, is het moeilijk om de veiligheid van deze gegevens te garanderen en volledig correcte dataregisters op te stellen. Snel en efficiënt ingrijpen wanneer er wat misloopt of wanneer iemand beroep doet op “het recht om vergeten te worden” is dan al helemaal onmogelijk.

Bedreiging voor de veiligheid van jouw KMO

Daarnaast bestaat ook het gevaar dat de gebruikte Shadow Apps of software van slechte kwaliteit zijn en je medewerkers onbewust malware of andere virussen het bedrijf binnensluizen. De rol van mobiele apparaten is in dit opzicht ook niet te onderschatten. Niet iedereen zal bijvoorbeeld de benodigde beveiligingssoftware op zijn telefoon geînstalleerd hebben.

Hoe kan je Shadow IT vermijden?

Met deze praktische tips kan je Shadow IT binnen je kmo vermijden en kan je werknemers bewust maken van de gevaren die het met zich meebrengt.

  • voorzie een sluitend IT veiligheidsbeleid met alle afspraken omtrent de omgang met data, hardware, software en websites;
  • formaliseer afspraken omtrent de omgang met data in de overeenkomsten met je medewerkers;
  • voorzie een duidelijk omkaderd thuiswerkbeleid en BYOD (bring your own device) beleid;
  • introduceer als organisatie zelf een beveiligde cloudomgeving zodat je team doeltreffend kan (samen)werken;
  • registreer alle tools en verwerkingsactiviteiten in je dataregister;
  • verzorg periodieke interne sensibilisering;
  • voorzie een procedure voor medewerkers die toestemming willen vragen om een niet-goedgekeurde tool te gebruiken en voor medewerkers die een nieuwe tool willen introduceren.

Wil je het IT veiligheidsbeleid formaliseren waardoor shadow IT geen kans krijgt? Of je bedrijf laten auditen om de pain points op te sporen?

Stel je vraag via ons webformulier

Is my website GDPR ready

Hoe maak ik mijn website GDPR compliant?

Met de komst van de GDPR heeft jouw kmo er een aantal plichten bij gekregen, en dat geldt uiteraard ook voor jouw website en/of digitale applicaties. Het wordt nog belangrijker om transparant te zijn over de verwerkingen van persoonsgegevens via je digitale kanalen. Zo dien je bezoekers en gebruikers van je websites proactief te informeren over welke data er ingezameld wordt, waar ze exact voor gebruikt wordt, door wie en hoe lang ze bewaard wordt. Betrokkenen moeten geïnformeerd worden over hun rechten, én voor verschillende verwerkingsactiviteiten heb je een actieve toestemming nodig.

Je mag bijvoorbeeld personen die je een e-mail hebben gestuurd via de website, niet automatisch aan je marketinglijst toevoegen. Acht stappen die wij alvast aanbevelen vind je hieronder in mijn blog! Ready…. Set…. Action !

Privacy by design

Vooraleer je een nieuwe website of applicatie bouwt, moet je rekening houden met de bescherming van de persoonsgegevens van toekomstige gebruikers. Dit principe wordt privacy by design genoemd. Privacy by design stelt dat je enkel de absoluut noodzakelijke informatie mag verwerken, dat standaard de privacy-instellingen maximaal ten voordele van de betrokkene moeten staan (privacy by default) en dat je uiteraard de nodige technische maatregelen moet nemen om de persoonsgegevens passend te beveiligen.

Cookies

Vervolgens starten we met de verwelkoming van je websitebezoekers. Nog voordat zij actief hun persoonsgegevens meedelen via bijvoorbeeld een formulier, begin je vaak al met het verzamelen ervan. Google Analytics maakt bijvoorbeeld gebruik van analytische cookies en zij vallen onder de definitie van persoonsgegevens. Hoe kan je dit oplossen? Door actief te laten bevestigen dat websitebezoekers akkoord gaan met het gebruik van cookies dat transparant en duidelijk beschreven staat in je privacybeleid, door niet meer gegevens te verzamelen dan nodig (je verantwoordingsplicht), en uiteraard door voldoende technische maatregelen te nemen om de persoonsgegevens te beveiligen en waar mogelijk te pseudonimiseren of anonimiseren. Ook dien je ervoor te zorgen dat het doel waarvoor de gegevens verwerkt worden, absoluut beperkt blijft tot datgene je vooropstelt (denk aan benchmarking en doorgifte aan Google of andere partijen).

Formulieren

Kunnen websitebezoekers een digitaal formulier invullen? Zorg ervoor dat de inhoud ervan enkel naar de strikt noodzakelijke ontvanger(s) verzonden worden en zorg ervoor dat je websitebezoeker kennis heeft van het privacybeleid en de disclaimer. We komen tijdens onze website audits vaak tegen dat er overbodige kopieën (levenslang) op de webserver bewaard worden, of dat er andere ontvangers in CC staan. Behandel inkomende vragen of inschrijvingen steeds via één bepaalde procedure (via een portaal of via een mailbox) en gebruik de persoonsgegevens nooit breder dan voor de opgegeven doeleinden. Als iemand verzoekt om zijn of haar persoonsgegevens te wissen, moet je daar op een snelle en eenvoudige manier aan kunnen voldoen en niet op vijf verschillende plaatsen kopieën en back-ups gaan aanspreken. Bovendien is het je plicht om de e-mails standaard te wissen na een verantwoordbare termijn.

HTTPS

Gebruik maken van een SSL-certificaat is vandaag de standaard. Hierdoor zorg je ervoor dat ingevoerde data in geëncrypteerd wordt verzonden en tijdens het transport van de gegevens de kans op onderschepping nihil is. Bovendien kan de websitebezoeker er zeker van zijn dat de tentoongestelde website de juiste is. Het correct installeren van een SSL-certificaat is één van de technische maatregelen die je kan aanhalen in je verwerkingsregister of GDPR-documentatie.

Opt-ins

Je mag websitebezoekers nog steeds de kans geven om zich in te schrijven op je nieuwsbrief wanneer zij een formulier invullen. Let wel dat je voor dit extra verwerkingsdoel een aankruisvakje voorziet waardoor je kan aantonen dat er uitdrukkelijk voorafgaandelijke toestemming werd gegeven via een opt-in. Let wel: dit vakje mag standaard niet aan staan, en het mag natuurlijk ook geen vereist veld zijn aan een offerteformulier. Gebruikers moeten bewust aangeven dat ze de verwerking van hun persoonsgegevens voor bijvoorbeeld marketingdoeleinden goedkeuren. Stuur bij twijfel een e-mail naar de gebruiker met een bevestigingsvraag. Zo heb je een aantoonbare opt-in wanneer hij of zij antwoordt. Let er op dat je nieuwsbrief in regel is met de GDPR-wetgeving en er bij de opt-in ook een verwijzing staat naar je privacyverklaring.

Recht op toegang, verbetering en wissing

De GDPR legt op dat gebruikers hun gegevens moeten kunnen bekijken en verbeteren. Een klantvriendelijke oplossing kan een online self-service system zijn waarbij betrokkenen zelf de gewenste aanpassingen kunnen doen. Dit is geen verplichting (het mag ook een manueel proces zijn) maar kan wel tijdbesparend zijn voor je kmo.

Daarnaast hebben betrokkenen the right to be forgotten. Dit recht om vergeten te worden betekent dat individuen jou als bedrijf kunnen vragen om al hun persoonsgegevens te wissen indien er geen reden is waarvoor je ze zou nodig hebben (zoals bijvoorbeeld het kunnen uitvoeren van een overeenkomst).

Samenwerking met externe dienstverleners

MailChimp, Google, Salesforce, Sendgrid, Facebook, HotJar,…. allemaal externe gegevensverwerkers waar je mogelijk mee samenwerkt. Vaak zijn deze bedrijven buiten Europa gevestigd en maken ze gebruik van niet-Europese servers voor gegevensopslag. Ook merken we dat in hun gebruikersovereenkomsten vaak staat opgenomen dat ze de gegevens nog met subverwerkers delen. In dit geval ben je als verantwoordelijke gegevens aan het doorgeven en exporteren. Het is belangrijk dat je – wanneer er export van persoonsgegevens plaatsvindt – de nodige GDPR-conforme overeenkomsten afsluit met deze bedrijven, en aan alle overige GDPR-verplichtingen voldoet.

Plugins

Is je website gebaseerd op een CMS (content management system) zoals WordPress of Drupal? Dan heb je mogelijk plugins of extensies van externe ontwikkelaars in de website zitten. Het is je plicht om ervoor te zorgen dat alle partijen waar je mee samenwerkt, GDPR compliant zijn en niet ongevraagd persoonsgegevens verwerken. Stel: je website wordt gehackt doordat je gebruik maakt van een onbetrouwbare plugin. Ben jij daar dan van op de hoogte en kan je alle betrokkenen die hun gegevens via deze weg verzonden hebben nog bereiken? Jij wordt immers wel als verantwoordelijke aangeduid.

Website audit

Wist je dat de bovenstaande acht stappen slechts de tip van de sluier zijn? In onze privacy audit gaan we nog veel verder in onze technische analyse. Mijn advies? Trek je interne GDPR-audit zeker ook door naar je website en stel jezelf kritisch de vraag:

  • welke persoonsgegevens er verzameld worden
  • door wie deze persoonsgegevens verwerkt worden
  • waar deze persoonsgegevens opgeslagen worden
  • of de verwerking van deze persoonsgegevens strikt noodzakelijk is
  • hoelang deze persoonsgegevens bijgehouden worden
  • of met eventuele derden de nodige overeenkomsten bestaan, én zij voldoende technische en organisatorische maatregelen hebben genomen om de gegevens te beschermen

Onthoud dat het jouw plicht en verantwoordelijkheid is om op eigen initiatief te controleren of je externe verwerkers in orde zijn. Ook dient alle informatie op een transparante manier in je privacybeleid te staan. Zijn je partners niet in orde met de regelgeving? Dan is het belangrijk dat je hen begeleidt om dat voor jouw data in orde te brengen voor 25 mei 2018. Gebeurt dat niet? Dan adviseer ik je om op zoek te gaan naar alternatieve dienstverleners.

Website monitoring

Tot slot wordt website monitoring eens zo belangrijk. Bij een datalek is het immers je plicht om het lek kenbaar te maken. Website monitoring voer je best op serverniveau uit om de website niet onnodig te belasten. Daarnaast is het superbelangrijk om de broncode en het eventuele CMS met haar uitbreidingen goed up-to-date te houden.

Is jouw website klaar voor de GDPR regelgeving?

Vergeet je websites en applicaties niet onder de loep te nemen in je voorbereiding op de GDPR-regelgeving. Of stel gerust je vraag aan onze privacy experts! Bij Datalink hebben we gecertificeerde DPO’s (Data Protection Officers) in het team én hebben we een GDPR Traject ontwikkeld dat ook je applicaties doorgrondt.

Vraag hier meer informatie aan

GDPR en e-mailmarketing

GDPR en e-mailmarketing: mag ik nog nieuwsbrieven sturen?

E-mailmarketing is een bijzonder effectieve communicatiemethode om potentiële leads warm te maken voor je producten en diensten, of om bestaande klanten te heractiveren. In je website heb je mogelijk whitepapers aangeboden die gratis verkrijgbaar zijn in ruil voor het e-mailadres van de bezoeker. Misschien heb je in de loop van de jaren ook handmatig contacten toegevoegd aan de adreslijsten voor je nieuwsbrief en kan je niet meer exact thuisbrengen van waar ze precies komen. Mag je deze lijsten nog wel gebruiken of loop je het risico om beboet te worden onder de nieuwe Europese privacyregelgeving GDPR? Ik leg je graag uit wat de nieuwe wetgeving betekent voor je e-mailmarketing campagnes.

Heb je een specifieke vraag? Klik gerust door op de inhoudstabel:

  1. Wat is de Europese GDPR-wetgeving?
  2. Wat zegt de GDPR over nieuwsbrieven en e-mailmarketingcampagnes?
  3. Heb ik toestemming nodig om betrokkenen te mogen mailen?
  4. Moet ik de betrokkenen informeren over hun rechten?
  5. Wat moet ik doen met mijn bestaande e-maillijst?
  6. Welke invloed heeft de GDPR op mailings naar mijn klanten?
  7. Wat doe ik volgens de GDPR met naamkaartjes die ik ontvang op netwerkevenementen?
  8. Welke gegevens moet ik van een opt-in bewaren in mijn e-maildatabase?
  9. Wat zegt de GDPR over e-mailverkeer m.b.t. offertes, transacties of facturen?
  10. E-mailmarketing voor mijn kmo: ja of nee?

Wat is de Europese GDPR-wetgeving?

GDPR staat voor General Data Protection Regulation, oftewel Algemene Verordening Gegevensbescherming (AVG). Het betreft een Europese verordening die automatisch ook geldt als wet in alle Europese lidstaten en de bescherming. Ze staat in voor de bescherming van de privacy en persoonsgegevens van Europese betrokkenen. In dit artikel zoom ik in op de effecten van de GDPR op e-mailmarketing. Maar de verordening sijpelt door tot in alle afdelingen van je kmo. Ben je op zoek naar informatie over hoe je je bedrijfswebsite GDPR-proof kan maken? Lees dan dit blogartikel.

Wat zegt de GDPR over nieuwsbrieven en e-mailmarketing?

  • Je mag pas persoonsgegevens verwerken als je daar een geldige rechtsgrond voor hebt.
  • Deze rechtsgrond kan toestemming zijn, maar in geval van e-mailmarketing ook gerechtvaardigd belang.
  • Je bent verplicht om contacten transparant te informeren over de verwerkingsactiviteiten van hun persoonsgegevens.
  • E-mail opt-ins moeten steeds een duidelijke en bevestigende actie zijn die van de gebruiker zelf uit gaat. Opt-in checkboxen mogen nooit automatisch aangevinkt staan!
  • Gegeven toestemmingen moeten aantoonbaar zijn via bijvoorbeeld een beveiligde online databank.
  • Betrokkenen kunnen altijd weigeren om hun persoonsgegevens te laten gebruiken voor Direct Marketingdoeleinden.
  • Je moet contacten duidelijk laten weten hoe ze zich kunnen uitschrijven voor je nieuwsbrief. De GDPR geeft Europese burgers het recht om vergeten te worden alsook het recht om een gegeven toestemming terug in te trekken.
  • Wens je de verkregen persoonsgegevens te verwerken voor verschillende doeleinden? Dan moet je voor ieder doel een aparte opt-in of andere rechtsgrond voorzien. Dit is bijvoorbeeld zo wanneer je na het inschrijven op je nieuwsbrief de persoonsgegevens ook nog eens gaat delen met een derde partij voor marketingdoeleinden.

Klinkt overweldigend? Ik doe de belangrijkste GDPR-vereisten voor je e-mailmarketingcampagnes hieronder voor je uit de doeken én ik beantwoord een aantal vragen waar veel ondernemers mee worstelen.

Heb ik toestemming nodig om betrokkenen te mogen mailen?

Het antwoord is eenvoudig: om commerciële e-mails en nieuwsbrieven te mogen versturen, heb je de actieve toestemming nodig van de ontvanger. Dit wordt een opt-in genoemd. Met actieve toestemming bedoel ik dat de ontvanger door middel van een eigen actie zijn of haar goedkeuring moet geven (bijvoorbeeld het aanklikken van een aankruisvakje). De toestemming moet bovendien voorafgaand, specifiek en vrij zijn. Dit betekent dat weigering mogelijk moet blijven en geen nadelige gevolgen mag hebben. Bovendien mag het ook niet zo zijn dat een toestemming automatisch wordt geplaatst. Het blijft steeds de keuze van de surfer of hij/zij toestemming wil geven, en wanneer hij/zij deze terug wil intrekken.

Moet ik de betrokkenen informeren over hun rechten?

Ja! Belangrijk is dat je de betrokkenen duidelijk informeert over het doel van de verwerking van hun gegevens. Dit valt onder de transparantieplicht die de GDPR aan organisaties oplegt. Je informeert -bijvoorbeeld via een privacybeleid dat je opneemt aan het aankruisvakje- welke e-mails hij of zij mag verwachten en op welke rechten de betrokkene zich kan beroepen. Belangrijk om te weten is dat je voor ieder apart verwerkingsdoeleinde een aparte toestemming nodig hebt.

Wat moet ik doen met mijn bestaande e-maillijst?

Je had bij de inwerkingtreding van de GDPR waarschijnlijk al verschillende lijsten aan abonnees verzameld die geregeld een nieuwsbrief van je in hun mailbox ontvangen. Hoewel je deze contacten al eerder verzameld hebt, zal ook deze lijst aan de GDPR moeten voldoen. Dikwijls is het moeilijk te achterhalen of de huidige abonnees in je e-maillijst in het verleden wel een actieve toestemming hebben verleend. Je raadt het misschien al… maar in dat geval zit er niets anders op dan de contacten om een nieuwe toestemming te verzoeken. Zonder deze opt-in mag je hen namelijk geen e-mails meer versturen en dien je deze gegevens te wissen. Je hebt ook een bewijsplicht onder de GDPR. Kan je niet bewijzen dat er toestemming is gegeven? Dan heb je er geen!

TIP: Om je bestaande e-maillijst te behouden, kan je tot 25 mei een aparte mailing uitsturen naar deze subscribers met de vraag of ze nog geabonneerd willen blijven op jouw nieuwsbrief. Voorzie een knop waar ze op “Ja” of “Nee” kunnen klikken. Je kan deze klikken registreren en de nodige acties uitvoeren; klikken ze “Ja”, dan blijven ze je nieuwsbrief ontvangen. Klikken ze “Nee”, dan schrijf je ze uit. Krijg je geen antwoord? Dan moet je deze subscribers helaas ook uitschrijven. Het volstaat immers niet om een e-mail te sturen met de ‘mededeling’ dat je hem of haar op de e-maillijst zal laten staan.

Welke invloed heeft de GDPR op mailings naar mijn klanten?

Voor klanten die een actieve contractuele relatie genieten met je bedrijf bestaat er gelukkig een alternatieve oplossing: het gerechtvaardigd belang. Het is immers goed mogelijk dat zij baat hebben bij het ontvangen van de mails die jouw kmo uitstuurt omdat die hen helpen om meer uit hun aangekochte product of dienst te halen, of omdat het waardevol kan zijn om jouw soortgelijke aanbod te bekijken.

Wanneer we als rechtsgrond het ‘gerechtvaardigd belang’ verdedigen, wegen we de belangen van de betrokkene af tegenover het commerciële belang van jouw bedrijf. Actieve klanten mogen dan rustig in je e-maillijst blijven zitten, zolang zij transparant en duidelijk geïnformeerd worden over hun rechten, én je verzonden e-mails tot een gelijkaardig aanbod behoren als datgene waar ze klant voor zijn. Maak het wel mogelijk om op een eenvoudige manier uit te schrijven van de mailing (opt-out).

Voor wie er graag de officiële wettekst op naleest, dit staat er in vermeld:

De gerechtvaardigde belangen van een verwerkingsverantwoordelijke, waaronder die van een verwerkingsverantwoordelijke aan wie de persoonsgegevens kunnen worden verstrekt, of van een derde, kan een rechtsgrond bieden voor verwerking, mits de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene niet zwaarder wegen, rekening houdend met de redelijke verwachtingen van de betrokkene op basis van zijn verhouding met de verwerkingsverantwoordelijke. Een dergelijk gerechtvaardigd belang kan bijvoorbeeld aanwezig zijn wanneer sprake is van een relevante en passende verhouding tussen de betrokkene en de verwerkingsverantwoordelijke, in situaties waarin de betrokkene een klant is of in dienst is van de verwerkingsverantwoordelijke. In elk geval is een zorgvuldige beoordeling geboden om te bepalen of sprake is van een gerechtvaardigd belang, alsook om te bepalen of een betrokkene op het tijdstip en in het kader van de verzameling van de persoonsgegevens redelijkerwijs mag verwachten dat verwerking met dat doel kan plaatsvinden. De belangen en de grondrechten van de betrokkene kunnen met name zwaarder wegen dan het belang van de verwerkingsverantwoordelijke wanneer persoonsgegevens worden verwerkt in omstandigheden waarin de betrokkenen redelijkerwijs geen verdere verwerking verwachten. Aangezien het aan de wetgever staat om de rechtsgrond voor persoonsgegevensverwerking door overheidsinstanties te creëren, mag die rechtsgrond niet van toepassing zijn op de verwerking door overheidsinstanties in het kader van de uitvoering van hun taken. De verwerking van persoonsgegevens die strikt noodzakelijk is voor fraudevoorkoming is ook een gerechtvaardigd belang van de verwerkingsverantwoordelijke in kwestie. De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.

Deze visie is eigenlijk niet nieuw. In 2013 publiceerde de Belgische gegevensbeschermingsautoriteit (toen nog de Commissie voor de bescherming van de persoonlijke levenssfeer) aanbeveling 02/2013 van 30 januari 2013 m.b.t. direct marketing en bescherming van persoonsgegevens (CO-AR-2012-007). We kunnen stellen dat deze visie doorgetrokken wordt in de GDPR. Het desbetreffende artikel nummer 48 quoteren we als volgt:

De Commissie aanvaardt dat artikel 5, f) WVP in beginsel een grondslag kan bieden voor customer relationship management ten aanzien van eigen klanten/prospecten. Het kan hier gaan om

  • een tevredenheidsonderzoek uit te voeren bij eigen klanten specifiek over producten en diensten die zij afnemen;
  • een uitnodiging aan eigen (voormalige) klanten te sturen om hun contract te verlengen of te hernieuwen, zogenaamde retentiemarketing;
  • eigen klanten op de hoogte te brengen van nieuwe promoties op producten en/of diensten die zij in het verleden hebben afgenomen;
  • prospecten op de hoogte te brengen van nieuwe promoties op producten en/of diensten indien zij hieromtrent in het recente verleden reeds contact hadden met de onderneming;
  • de aanleg en het gebruik van persoonsprofielen voor het eigen klantenbeheer door de verantwoordelijke die een directe contractuele relatie heeft met de betrokkene.

Wat doe ik met naamkaartjes die ik krijg op een netwerkevent?

Je kent het wel; je gaat naar een netwerkevent waar je kennis maakt met andere interessante ondernemers of contacten. Er wordt gepraat, gelachen én er worden visitekaartjes uitgewisseld. Allemaal goed en wel maar hou er rekening mee dat je deze personen volgens de GDPR niet zomaar mag toevoegen aan je e-maillijst. Actieve toestemming is hier dus -helaas ;-)- opnieuw vereist.

TIP: Contacteer jouw nieuwe contacten naar aanleiding van jullie kennismaking op het netwerkevent en leg hen uit wat jouw kmo voor hen kan betekenen. Verzoek hen ook om zich in te schrijven voor de nieuwsbrief van jouw onderneming omdat je van mening bent dat hij of zij er een interessant voordeel uit kan halen, of vraag hun bevestiging via een mailtje terug.

Welke gegevens moet ik van een opt-in bewaren in mijn e-maildatabase?

Stel, je krijgt controleurs over de vloer en je moet kunnen bewijzen dat je verantwoordelijk en GDPR-compliant omgaat met de opt-ingegevens van je contacten. Dan is het wel handig als je deze informatie al netjes op orde hebt. Een database opstellen waarin de herkomst van de gegevens duidelijk staat aangegeven is dus zeker geen overbodige luxe. Zo sta je altijd sterk in je schoenen en voorkom je monsterboetes die kunnen oplopen tot 4 procent van de jaarlijkse wereldwijde omzet of 20 miljoen euro.

TIP:  je opt-in database bevat best de volgende informatie:

  • De persoonsgegevens van je contactpersoon die je verwerkt in het kader van e-mailings (e-mailadres en eventueel voornaam/naam)
  • De status van de opt-in (aangemeld/afgemeld)
  • De herkomst van de opt-in (bv. webformulier op contactpagina van de website)
  • Wanneer de opt-in werd verkregen (datum)

Wat zegt de GDPR over e-mailverkeer m.b.t. offertes, transacties of facturen?

Een potentiële klant contacteert je om gebruik te maken van jouw diensten of een nieuwe bezoeker vraagt een offerte aan op je website. Wat doe je in zo’n situatie? Gewoon communiceren met je (potentiële) klant uiteraard! De opt-in regels zijn enkel van toepassing op commerciële e-mails. Correspondentie via mail over offertes, facturen of bestelbevestigingen zijn transactionele e-mails. Deze mag je gewoon verzenden.

Positief bekijken!

Eigenlijk biedt de regelgeving ook wel een mooie kans. Een e-maillijst die volledig beantwoordt aan de standaarden van de GDPR zal ongetwijfeld een zeer waardevolle lijst zijn met een lagere bounce rate en meer kans op conversies door relevante ontvangers 😉

Een tweede lichtpuntje is het feit dat de GDPR enkel betrekking heeft tot persoonsgegevens van Europese burgers. Onpersoonlijke e-mailadressen zoals info@ of contact@ vallen hier niet onder omdat ze niet leiden tot de mogelijke identificatie van een natuurlijke persoon. Oef, die mogen er dus zeker in blijven zitten!

E-mailmarketing voor mijn kmo: ja of nee?

E-mailmarketing kan immers een bijzonder effectieve methode zijn om (potentiële) klanten te bereiken, een duurzame relatie met hen op te bouwen en zo meer conversies te bekomen.

Belangrijk is wel dat je de privacywetgeving correct toepast. Daarom adviseren we om je e-mailmarketingkanalen zeker niet te vergeten tijdens de privacy check-up of audit in je kmo. Als je hier vragen over hebt, mag je ons trouwens gerust contacteren. In het Datalink-team staan privacy experts én een gecertificeerde DPO (Data Protection Officer) voor je klaar met GDPR workshops en GDPR trajecten op maat van jouw kmo.

Laat je assisteren door Team Datalink

GDPR voor KMO's

GDPR, wat betekent het voor je KMO?

GDPR staat voor General Data Protection Regulation, oftewel Algemene Verordening Gegevensbescherming (AVG). Deze verordening heeft de verouderde Europese databeschermingsrichtlijn uit 1995 vervangen omdat ze niet meer was afgestemd op de digitale technologieën van vandaag. Omdat de GDPR impact heeft op zowat iedere kmo, deel ik graag het antwoord op een aantal veel gestelde vragen.

Waarom bestaat er een wettelijk kader rond gegevensbescherming?

Er worden vandaag in het bedrijfsleven heel wat persoonsgegevens verzameld. Denk maar aan gegevens die in websiteformulieren worden ingevuld, databanken met klantgegevens, e-maillijsten, ticketingsystemen enzovoort. Om een goede bescherming van deze gegevens te verzekeren, legt Europa verplichtingen op aan bedrijven die gegevens verzamelen en verwerken, en geeft het rechten aan natuurlijke personen die hun persoonsgegevens met deze bedrijven delen. Europese burgers dienen immers de controle te kunnen behouden over hoe en aan wie hun gegevens verstrekt worden en waarvoor ze gebruikt worden. De GDPR heeft als doel om één overkoepelende wetgeving over gegevensbescherming te verstrekken die automatisch geldt in alle Europese lidstaten.

Is de GDPR ook voor mijn bedrijf van toepassing?

De General Data Protection Regulation (GDPR) is een officiële Europese wetgeving die van toepassing is op alle organisaties die gegevens van Europese burgers verzamelen en verwerken. Ook indien je een éénmanszaak of vereniging hebt dus.

Wat valt er onder persoonsgegevens?

Met persoonsgegevens wordt alle informatie bedoeld waarmee een natuurlijke persoon geïdentificeerd kan worden. Hieronder vallen onder andere namen, adressen, telefoonnummers, e-mailadressen, foto’s, klantennummers, IP-adressen, maar ook genetische en biologische gegevens.

Wat als mijn beleid niet GDPR compliant is?

Heb je je bedrijfsvoering niet afgestemd op de Europese regelgeving, en komt er een klacht of vindt er een ernstige datalek plaats? Dan riskeer je boetes en sancties die kunnen oplopen tot 20 miljoen euro of 4% van je jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is. De Belgische Gegevensbeschermingsautoriteit is bevoegd om controles uit te voeren en sancties uit te delen.

Wat houdt de GDPR in?

Veel van de basisprincipes van de GDPR kennen we uit de vroegere Belgische privacywetgeving. Onderstaande pijlers zijn belangrijke aspecten die de nieuwe Europese regels kenmerken:

Transparantie

Het is de plicht van je bedrijf om personen duidelijk te informeren over welke gegevens er verzameld en verwerkt worden, en waarvoor je ze gebruikt. Dit alles moet op een begrijpelijke, transparante manier gebeuren.

Verantwoording

Het is noodzakelijk dat je kan verantwoorden voor welk vooropgesteld doel je de verwerkte persoonsgegevens nodig hebt, anders mag je ze niet langer bijhouden (purpose limitation). Ook is het belangrijk dat er een rechtsgrond of actieve toestemming is toegekend aan de verwerkingsactiviteit. Anders mag er geen verwerking plaatsvinden.

Dataportabiliteit

Europese burgers moeten persoonsgegevens die ze aan je bedrijf hebben gegeven, kunnen overdragen naar een andere dienstverlener. Bijvoorbeeld bij een verandering van telecomprovider. Deze pijler is een aanvulling op het reeds bestaande inzagerecht waarbij personen een verzoek kunnen indienen om opgeslagen informatie te bekijken. Personen hebben trouwens ook het recht op hun persoonsgegevens te laten wissen, ook indien hun data gedeeld is met derde partijen.

Data Protection by Design

Maak een Data Protection Impact Assessment (DPIA) op wanneer je een nieuwe tool laat bouwen. Nog voordat je website of webapplicatie daadwerkelijk ontwikkeld wordt, maak je een risicoanalyse op met betrekking tot de privacy en bescherming van persoonsgegevens.

Databeveiliging

het is je plicht om persoonsgegevens veilig op te slaan en te beveiligen via gepaste technische en organisatorische maatregelen. Indien er toch een datalek plaatsvindt (bijvoorbeeld via een gestolen laptop of smartphone, virus of hacking) ben je in bepaalde gevallen verplicht om dit datalek kenbaar te maken. Afhankelijk van de ernst moet dat in je logboek, aan de Gegevensbeschermingsautoriteit en/of aan de betrokkenen. Voorzie nu al een Data Disaster Plan waarin staat beschreven welke procedure je zal toepassen wanneer het fout loopt met je gegevensbescherming.

Wat moet ik ondernemen om ervoor te zorgen dat mijn bedrijf GDPR compliant is?

Er bestaat helaas geen standaard stappenplan of checklist die je kan afvinken waarbij je zeker bent dat je gegevensverwerking in overeenstemming met de GDPR plaatsvindt. Meer nog, wat voor andere ondernemingen te verantwoorden is, is dat mogelijk niet voor jou.

We delen graag het GDPR compliancy traject dat we bij Datalink hebben doorgevoerd omdat het een handige richtlijn is om zelf te volgen:

1. Training

Netwerkarchitect Danny Daniëls is een opleiding gaan volgen tot DPO en mag zich vandaag gecertificeerd Data Protection Officer noemen. Vervolgens hebben er interne GDPR-opleidingen en sensibiliseringstrainingen plaatsgevonden.

2. GDPR audit

Door middel van een doorgedreven audit zijn we een analyse gaan opmaken van de mate waarin de GDPR-principes reeds correct werden toegepast in onze kmo. In deze audit zijn we alle verwerkingen van persoonsgegevens van websitebezoekers, fysieke bezoekers, prospects, klanten, leveranciers, (freelance) partners en medewerkers gaan analyseren. Het resultaat werd een helder adviesrapport, opgesteld door onze DPO, gevolgd door een actieplan.

3. Opstellen van het dataregister

Het dataregister is een nieuwe wettelijke verplichting die de vroegere aangifteplicht bij de Privacycommissie heeft veranderd naar een documentatieplicht. Het register met de verwerkingsactiviteiten van persoonsgegevens moet je bij een eventuele controle kunnen tonen. Omdat wij bij Datalink zowel een rol als verantwoordelijke als een rol als verwerker vervullen, hebben we meerdere registers opgesteld.

4. Doelbinding

Iedere verwerking van persoonsgegevens moet met een rechtmatig doel verbonden zijn. Voor iedere verwerkingsactiviteit hebben we het doel bepaald én daarbij het principe van dataminimalisatie in het achterhoofd gehouden. Je mag immers niet méér persoonsgegevens bijhouden dan nodig voor het beoogde doel.

5. Controle van de rechtsgrond en/of toestemming

Voor iedere verwerkingsactiviteit is een rechtsgrond of actieve toestemming vereist. Toestemming van de betrokkenen moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Bij verwerking van persoonsgegevens van minderjarigen is bovendien de toestemming van een ouder of voogd nodig. Bij iedere verwerkingsactiviteit vulden we de rechtsgrond aan in het register.

6. Communicatie over privacy

Door ons privacybeleid en onze overeenkomsten kritisch te evalueren zijn we gaan kijken of we steeds op een beknopte, begrijpbare en duidelijke manier informeerden over de verwerkingsactiviteiten. Zo herschreven we onze privacy policy.

7. Opstellen van overeenkomsten, clausules en procedures

We hebben overeenkomsten, werkwijzen en procedures opgesteld met betrekking tot de rechten van de betrokkenen, de bescherming van de gegevens die we bij Datalink verwerken en de plichten die we als verantwoordelijke en als verwerker te vervullen hebben.

8. Evaluatie van de technische en organisatorische maatregelen

Omdat de beveiliging van de persoonsgegevens die wij verwerken als verantwoordelijke, én als verwerker voor de klant aantoonbaar moet zijn, en omdat we van security een top priority maken, werken we bij Datalink zowel met geautomatiseerde als met manuele controles van de beveiliging. We zetten alles op alles om een datalek te voorkomen en dat moet de standaard zijn.

9. Sensibilisering van het team

We blijven de medewerkers in ons bedrijf bewustmaken over de GDPR. Vandaag bieden wij zelf ook in-company GDPR workshops aan op maat.

10. Opvolgingsaudits

Door middel van periodieke opvolgingsaudits plannen we onze kritische denkoefening jaarlijks opnieuw in en blijft ook in de toekomst duidelijk in welke mate de veilige omgang met data nog steeds correct wordt toegepast. Zo blijft onze organisatie, maar ook ons team scherp!

Conclusie

Het is enorm belangrijk dat je een actueel zicht behoudt op je datastromen en data-opslaglocaties, hoe je data verwerkt en beschermd wordt. Organiseer daarom een interne GDPR audit waarbij je alle activiteiten en verwerkingsdoeleinden van persoonsgegevens gedetailleerd in kaart brengt. Deze houd je bij in een dataregister dat bij een controle kan worden opgevraagd. Het dataregister kan je samen met je IT partner opstellen.

Focus in het verzamelen en verwerken van persoonsgegevens enkel op de informatie die je écht nodig hebt. Je zal kritisch moeten onderzoeken waarom je bepaalde data hebt (doelbinding) en mag ze ook niet onnodig lang bewaren (dataminimalisatie). Wis alle overbodige data.

Check je organisatie op alle overige GDPR-vereisten, al dan niet met behulp van een Data Protection Officer (DPO). Zorg er ook voor dat al je overeenkomsten en voorwaarden GDPR compliant zijn en beroep je hiervoor op een gespecialiseerde advocaat. Je kan de volledige GDPR-wetgeving hier terugvinden.

Is jouw kmo klaar voor de GDPR regelgeving?

Plan vandaag nog je GDPR traject of je GDPR controleaudit in. Of stel gerust je vraag via ons contactformulier. Onze DPO & GDPR adviseurs staan voor je klaar.

Vitaminekuur voor je website

Vitaminekuur voor je website

Een vitaminekuur voor je website? Een uitstekend idee!

Regenbuien, een voorjaarsdipje, …. We vragen ons al eens af hoe we onze weerstand kunnen verhogen. “Haal maar een vitaminekuur bij de apotheker!” klinkt het. Ook digitale kanalen zoals onze website kunnen wel eens extra vitamientjes gebruiken. Hieronder kan je een verkwikkend recept terugvinden om je digitale weerstand weer op peil te krijgen 😉

1. Vitamine F5

F5, de sneltoets voor “vernieuwen”. In de digitale wereld waarin we leven, is vernieuwing belangrijk. Laat daarom de broncode van je website eens checken om na te gaan of deze verouderd is. Lees de artikels op je website eens na en werk ze bij waar nodig. Zorg daarnaast voor nieuwe inhoud op je website. Een frisse, zomerse wind door je digitale communicatie zorgt voor een verademing voor je bezoekers én voor zoekmachines. Zij beschouwen je website pas als relevant en actueel wanneer ze voldoende bijgewerkt is.

2. Vitamine C & D

Zijn je sociale mediakanalen getroffen door een verkoudheid en is de activiteit afgenomen om je stem te sparen? Dan is het hoog tijd voor een opkikkertje. Een actieve community is van essentieel belang. Valt de communicatie stil? Dan zal het aantal interacties ook uitdoven met als gevolg een vermindering van het bereik. Vitamine C voor Conversationele Content en Vitamine D voor Duidelijke Doelstellingen zorgen ervoor dat je sociale mediakanalen weer vrij kunnen ademen en communiceren zoals het hoort.

3. Vitamine A

Vitamine A staat voor Anti-infectie. Deze vitamine is niet te onderschatten aangezien ook het immuunsysteem van je website al eens een boost kan gebruiken. Het is niet altijd realtime zichtbaar wanneer je immuunsysteem bedreigd wordt. Zo kan je website gehost worden op een server waarop onvoldoende of geen veiligheidsupdates gebeurd zijn. Hierdoor stijgt de kans op inbraak, hacking of slechte rankings in de zoekresultaten van zoekmachines zoals Google. Ook kan er onbetrouwbare of verouderde code aanwezig zijn die deuren open zet die gesloten moeten blijven. Hoewel het immuunsysteem niet uiterlijk zichtbaar is, blijft het extreem belangrijk dat je website van binnenuit beschermd is en periodiek onderhouden wordt.

4. Vitamine E

Vitamine E is een antioxidant die instaat voor de versterking van weefsels en structuren. Maar hoe is deze vitamine belangrijk voor je digitale communicatie? We krijgen dagelijks te maken met uitdagingen (vrije radicalen) van buitenaf om te trotseren. Vitamine E streeft naar Excellente website-fundamenten. Die bouw je door teksten en media te optimaliseren voor de juiste zoekopdrachten. Met een correcte invulling van de metagegevens, efficiënt gebruik van de keyword density en het toevoegen van relevante links heeft je website veel baat met het oppeppend kuurtje. Extra versteviging bouw je in door overbodige elementen te schrappen, een sterke beveiliging te installeren en ervoor te zorgen dat je website functioneel is in iedere surfomgeving. En door sterke SEO websiteteksten natuurlijk!

Nu blijft natuurlijk de vraag: versterkt deze vitaminekuur daadwerkelijk de weerstand? Het antwoord hierop is: absoluut! Door proactief en actief digitale communicatie te voeren met veel aandacht voor het immuunsysteem, versterk je je weerstand aanzienlijk tegen invloeden van buitenaf 😉

Heb je eerst nood aan een diagnose? Boek je consultatie via onze quick scan.

Winkelwagen