Interpretatie van boete Belgische Gegevensbeschermingsautoriteit

zondag, 12 januari 2020 | Website, Webshop

et|icon_phone|

Bel ons

+32 476 32 07 87

far|fa-envelope|

E-mail ons

info@luyten.website

Onze Belgische privacycommissie (of beter gezegd Gegevens Beschermings Autoriteit) heeft eind december in alle stilte een belangrijke uitspraak gedaan en een gigantische boete (€ 15000, wat tot hiertoe de hoogste boete is die in België is uitgesproken) uitgeschreven aan de juridische verzamelwebsite jubel.be. Dailybits heeft de tijd genomen om door alle documenten te gaan en heeft daar enkele zeer belangrijke richtlijnen uit gedestilleerd. Hier volgt een samenvatting, maar alle details kan je terugvinden op de site van Dailybits.

Bevindingen rond privacy statement

  • Een privacy pagina op een website moet in dezelfde taal als de website worden aangeboden (dus een nederlandstalige website heeft een Nederlandstalige privacy statement, een tweetalige website, heeft en privacy statement in beide talen).
  • Een IP-adres is wel degelijk een persoonsgegeven onderhevig aan de GDPR.
  • De privacy pagina moet eenvoudig bereikbaar zijn (bvb link in de footer van ALLE pagina’s) en let erop dat je geen verwarring gaat zaaien (ze hadden een template met US privacy policy als titel gebruikt).
  • Identiteit en contactgegevens van de verwerkingsverantwoordelijke (bedrijf achter de website) moeten aanwezig zijn (postadres, email, correcte benaming bedrijf, btwnummer,…).
    PS: de economische inspectie geeft je ook een opmerking als jouw btwnummer ontbreekt op je FB-pagina van je onderneming (zie FOD economie)!
  • Welke GDPR rechten hebben bezoekers en op welke grond worden gegevens verwerkt?
  • Via welke manier worden de termijnen bepaald dat gegevens worden bijgehouden?
  • Let op voor het gebruik van het woord “anonimisatie” (hier zijn ze zeer strict over). In de meeste gevallen gaat het om “pseudo-anonimisatie” (bijvoorbeeld bij Hotjar of Google Analytics waar een userid wordt aangemaakt).
  • Waar kunnen ze eventueel klacht indienen? Heel simplistisch: ben je een Belgisch bedrijf verwijs dan naar de contactgegevens van onze Belgische Gegevens Beschermings Autoriteit (en dus niet naar de Nederlandse autoriteiten).

Bevindingen rond gebruik van cookies

  • Een cookiewall voor toestemming voor gebruik van cookies mag GEEN reeds aangekruiste vakjes hebben en je moet ook kunnen weigeren dat cookies worden geplaatst.
  • Hierbij moet toestemming worden gevraagd voor alle, bepaalde (per categorie van cookie) of geen cookies (alles of niets mag dus niet).
  • Let erop dat de cookiewall op een meertalige website steeds in de juiste taal wordt getoond.
  • Geef aan hoe cookietoestemmingen kunnen worden ingetrokken (bijvoorbeeld hoe verwijderen van cookies in de verschillende browsers).
  • Vertrouw niet blind op een online cookiescan en check zelf de cookies die worden geplaatst (door o.a. Google Analytics, GTM, Adsense, YouTube,…). Kijk ook verder dan je homepage en ga alle cookies juist oplijsten (zeer belangrijk!).
  • De GBA is het niet eens met de aangepaste Nederlandse cookiewet over het privacyvriendelijk instellen van Google Analytics om te ontkomen aan de cookie toestemmingsverplichting. → alvorens je cookies van Google Analytics laadt of scripts van Google Analytics uitvoert, heb je dus toestemming van je bezoekers nodig!
  • Gebruikte cookies moeten geregeld opnieuw nagekeken worden (en geef dit ook aan met een “laatste aangepaste datum”).
  • Er wordt naar de Planet49 uitspraak verwezen rond hoe toestemmingen voor cookies kunnen bekomen worden.

Actiepunten

Op basis van deze interpretatie, hebben wij ook onze eigen privacy verklaring en cookie verklaring bijgewerkt en aanpassingen aangebracht in de manier waarop we omgaan met vooral scripts en cookies van Google Analytics.

We raden je aan om dit voor je eigen website ook te doen. Als we je daarbij kunnen helpen, aarzel dan niet om ons te contacteren.

Bron: Dailybits.be