Wat u moet weten.

Het lanceren van een website voor je onderneming gaat steeds gepaard met nieuwe verwerkingsactiviteiten. Dit geldt zeker wanneer je website een webshop aanbiedt en bezoekers een account kunnen aanmaken en online aankopen kunnen doen. Maar ook wanneer bezoekers via de website contact kunnen opnemen of zich kunnen inschrijven op je nieuwsbrief, of nog wanneer je via sociale media plug-ins toelaat om elementen van je website te delen, verwerk je persoonsgegevens.

De aanbeveling van de autoriteiten is dat elke website een privacyverklaring moet bevatten. Deze privacyverklaring moet een duidelijke titel dragen (“Privacy” of “Privacybeleid”) en toegankelijk zijn via elke pagina van de website (via de footer). De privacyverklaring moet de verplichte informatie zoals voorzien in artikel 13 GDPR bevatten over elke verwerking op je website (bijv. verkopen, nieuwsbrief, contact, cookies), maar je kan er ook voor opteren om meteen alle privacyverklaringen (bijv. ook voor sollicitanten, leveranciers, …) centraal ter beschikking te stellen op je website. De privacyverklaring(en) moet(en) beschikbaar zijn in alle talen waarin je de website ter beschikking stelt.

Indien je website gebruik maakt van niet-essentiële/niet-functionele cookies (i.e. analytische cookies, advertentiecookies en sociale media plug-ins), moet je hiervoor de toestemming verkrijgen van de bezoeker via een cookiebanner of pop-up op de landingspagina. De toestemming moet gegeven worden per categorie van cookies. Deze cookies kunnen niet geplaatst vooraleer de bezoeker zijn toestemming heeft gegeven. De toegang tot de website kan ook niet geweigerd worden wanneer de bezoeker beslist om de betrokken cookies te weigeren. De website moet een cookieverklaring bevatten die de bezoeker meer informatie verschaft over de cookies die gebruikt worden op je website. De bezoeker moet zijn cookievoorkeuren op elk ogenblik terug kunnen aanpassen (bijv. via dezelfde cookiebanner of pop-up). 

Wanneer bezoekers zich via de website kunnen inschrijven op je nieuwsbrief, dien je een geldige toestemming te verkrijgen. Deze toestemming moet voldoen aan de vereisten van de GDPR (vrij, specifiek, geïnformeerd en ondubbelzinnig). Je kan een incentive geven aan bezoekers (bijv. een korting op de eerste aankoop) zolang de incentive beperkt is en niet wordt ingetrokken wanneer de bezoeker zich uitschrijft. De bezoeker moet ook duidelijk weten waarmee hij instemt en moet een duidelijke actie stellen (bijv. ingeven e-mailadres, aanvinken van een vakje). De plaats waar toestemming gegeven wordt, bevat steeds een link naar de privacyverklaring op de website.

Voor het lanceren van een website wordt ook vaak samengewerkt met derde partijen (web developers, aanbieders van marketingtools, live chats, …). Zij kwalificeren doorgaans als verwerkers. Met hen moet bijgevolg een verwerkersovereenkomst in de zin van artikel 28 GDPR worden afgesloten. Wanneer je website een platform aanbiedt voor andere ondernemingen om producten te verkopen, of elementen bevat die sociale media platformen of andere bedrijven toelaat om online marketing te voeren, kan er sprake zijn van een gezamenlijke verwerkingsverantwoordelijkheid. In dat geval dienen de nodige afspraken gemaakt te worden conform artikel 26 GDPR (o.m. wie voorziet de privacyverklaring, wie beantwoordt verzoeken van betrokkenen, enz.).

Wat u moet doen.

Wanneer je een (nieuwe) website lanceert, overloop dan steeds volgende checklist van de belangrijkste aandachtspunten:

-    Breng alle verwerkingen van je website in kaart en neem deze op in een privacyverklaring. Ga na of het nuttig is om ook andere verwerkingen/privacyverklaringen te publiceren op je website. Heb je fysieke winkels waar klanten een klantenkaart kunnen aanmaken, is het wellicht eenvoudiger om daarop een QR-code te voorzien die linkt naar de privacyverklaring op je website dan om fysieke versies ter beschikking te stellen in de winkel. Is er camerabewaking in je onderneming, dan kan het pictogram inzake camerabewaking eenvoudig verwijzen naar je website voor meer informatie. In je leverancierscontracten kan zo een link worden opgenomen naar de website in plaats van een privacyverklaring te voorzien in bijlage. Maak de privacyverklaring(en) beschikbaar via de footer van je website en zorg voor de nodige vertalingen indien je website beschikbaar is in meerdere talen.

-    Neem contact op met je web developer voor het uitwerken van een cookiebeleid. Je web developer kan je helpen met het in kaart brengen van welke cookies gebruikt worden op de website. Lever hem de nodige teksten aan zodat hij deze kan verwerken in een cookiebanner of pop-up en een daaraan gelinkte cookieverklaring. Voorzie ook hier de nodige vertalingen.

-    Werk een correcte methode uit voor het inschrijven op je nieuwsbrief. Naast de commerciële tekst om de bezoeker uit te nodigen om zich in te schrijven - al dan niet met een (beperkte) incentive - voorzie je best een duidelijke stelling “door het opgeven van mijn e-mailadres/door het aanvinken van dit vakje stem ik er mee in dat mijn persoonsgegevens gebruikt worden voor dit doeleinde in overeenstemming met het privacybeleid”.

-    Breng alle ondernemingen in kaart waarmee je samenwerkt voor de website om tijdig de nodige contractuele afspraken te maken. Deze contracten moeten getekend worden vooraleer de verwerking (i.e. de lancering van je website) van start gaat. Deze ondernemingen hebben doorgaans een template overeenkomst ter beschikking. Indien niet, kan je een eigen template bezorgen.