GDPR: de principes kort uitgelegd

De General Data Protection Regulation (in het Nederlands: Algemene Verordening Gegevensbescherming) wil de privacy van de burger beschermen. En hem controle geven over zijn data. Wat moet jij, als journalist met een eigen website, hierover weten?

Eerst even dit: dit is een algemene inleiding, over de algemene principes van deze EU-verordening. Indien je, na het lezen van dit artikel, tot de conclusie komt dat de GDPR op jou, als uitgever van een website, van toepassing is, dan neem je best verdere actie: lees meer over de GDPR, o.a. dit artikel over GDPR en (kleine) verenigingen, raadpleeg een advocaat. En begin meteen met de tips die wij je achteraan dit artikel geven.

De algemene principes

Wat de GDPR wil doen, is de burger meer controle geven over zijn gegevens. Het gaat hier zowel over het verzamelen van gegevens, als het verwerken ervan. Dit houdt voor jou als uitgever van een nieuwssite onder andere in:

  • Data verzamelen en bewaren: verzamel je persoonlijke identificeerbare identificatiegegevens (PII) dan mag je die enkel gebruiken voor het specifiek doel waarvoor je om die data gevraagd hebt. Je mag ze ook enkel zo lang bewaren als nodig voor dat doel. En je moet alle mogelijke maatregelen nemen om te voorkomen dat deze data misbruikt worden.
  • Voorafgaande toestemming: jij moet vooraf vragen aan je gebruiker of hij zijn gegevens aan jou wil geven. Je moet uitleg geven over de hoe je die gegevens gaat gebruiken. En je mag ze ook niet voor andere doeleinden gebruiken.
  • Meldingsplicht: wanneer je vaststelt dat er een misbruik gepleegd is op de data die jij verzameld hebt (hack, inbraak, misbruik door personeel…) moet je dat onmiddellijk melden aan de gebruiker.
  • Recht op inzicht en vergeten te worden: je gebruiker mag inzicht vragen in de data die je over hem verzameld hebt, en indien die foutief zouden zijn, vragen om die te verbeteren. Indien hij daarom vraagt, moet jij zijn data vernietigen, maar ook stoppen met het delen van zijn data met derden.

Wat betekent dit voor wie zelf een website uitbaat?

  • Cookies: vertoon je advertenties op je website, dan maak je ongetwijfeld gebruik van cookies – kleine bestanden die op de computer van je bezoeker gezet worden, om zijn surfgedrag te volgen. Maak je bijvoorbeeld gebruik van Google AdSense of Google AdWords, dan plaats je die cookies. En die verzamelen data over je bezoeker, en dus doe je aan data verzameling. De GDPR moet toegepast worden.

In dat geval moet je o.a. op voorhand melden dàt je cookies gaat plaatsen, en de gebruiker om toestemming vragen. Idealiter bied je hem ook de kans om die cookies te weigeren: hij zal dan nog altijd advertenties zien, maar die zullen niet gepersonaliseerd zijn. Google zal hierover later nog meer details verschaffen.

  • Nieuwsbrief: zend je aan mensen een nieuwsbrief, dan heb je minstens hun mailadres in een adressenbestand. En dus verzamel je gegevens. Misschien heb je nog meer gegevens, zoals hun familienaam, voornaam, misschien zelfs hun adres en telefoonnummer. De GDPR is van toepassing.

In dat geval mag je eigenlijk niet langer je nieuwsbrief versturen. Je moet eerst een mailing versturen waarin je je abonnees uitlegt over welke gegevens jij beschikt, wat jij ermee doet, en hen vragen te bevestigen dat zij hiermee akkoord zijn, en dat zij de nieuwsbrief nog willen ontvangen.

Bevestigen zij dat niet, dan moet je eigenlijk hun mailadres (en andere gegevens) schrappen uit jouw adressenbestand.

Er kunnen nog andere manieren zijn waarop jij PII gegevens verzamelt. Ben je als fotograaf bijvoorbeeld actief met commerciële opdrachten, naast je journalistiek werk, dan beschik je wellicht over lijsten met genodigden op een huwelijk, namen van je klanten. Tekstjournalisten zullen misschien ook commerciële teksten schrijven voor bijvoorbeeld marketingdoeleinden. Er zijn honderd en één manieren waarop jij data verzameld hebt in het verleden – alleen sta je er misschien niet bij stil dat de GDPR ook op jou van toepassing is.

Opgelet met het doorsturen van gegevens aan derden

Indien jij inderdaad gegevens verzamelt van derden, dan heb jij ook de plicht om die vertrouwelijk te bewaren. Zomaar gegevens over een abonnee aan derden doorgeven mag niet. Dus ook niet een adressenlijst doorsturen aan een drukkerij om een papieren nieuwsbrief te versturen, of aan een marketeer om een geschenk te verzenden, enz.

Je moet met elke partij aan wie jij de PII gegevens doorstuurt, eerst een vertrouwelijkheidsovereenkomst voorleggen, waarin die partij verklaart de gegevens vertrouwelijk te bewaren.

Maar de webhosting van mijn website ligt buiten de EU?

GDPR moet toegepast worden door al wie data verzamelt over EU-burgers. Ook dus door Amerikaanse bedrijven – alhoewel bedrijven zoals Facebook trachten zich onder de verplichting uit te wurmen. En ook  als jouw webhosting in de VS staat of een ander niet-Eu land, dan ontsnap jij niet aan deze regelgeving.

Welke concrete stappen moet ik ondernemen?

Je moet even pen en papier nemen, en nadenken.

  • Welke gegevens verzamel ik?
  • Hoe verzamel ik die? Is dat met expliciete toestemming van de gebruiker?
  • Wat doe ik ermee? En vertel ik hen wat ik ermee ga doen?
  • Zijn er procedures om inzage te geven in die gegevens en die te verbeteren?
  • Beschikt de gebruiker over mogelijkheden om zijn gegevens te laten schrappen/ zich uit te schrijven uit mijn nieuwsbrief?
  • Hanteer ik voldoende maatregelen om een inbreuk (hack) op die gegevens te voorkomen? Dat kan zo ver gaan als een dossierkast, waarin papieren dossiers bewaard worden, af te sluiten met een slot!
  • Met wie deel ik die gegevens – de drukker, een marketeer?
  • Hoe lang houd ik die gegevens bij? En is dat archief echt nodig?

Heb je dit gedaan, dan zal je misschien beseffen dat je toch wel over meer data beschikt dan je eerst gedacht had. Geen paniek echter. Zet alle antwoorden op het voorgaande op papier. Neem een map, waarop je in het groot “GDPR” zet. Je hebt nu de eerste stap gezet, en kunt aantonen dat je “ermee bezig bent”.

De GDPR trad op 25 mei 2018 in werking. Er staan zware boetes op – tot 4% van de totale wereldwijde omzet van een bedrijf, of 20 miljoen euro, wat het hoogste is. Ongetwijfeld zal jij, als kleine uitgever van een nieuwssite, niet met dergelijke boetes geconfronteerd worden.

Maar je moet wel de nodige verdere stappen ondernemen. Na het gewetensonderzoek en de aanmaak van je dossier “GDPR”, doe je er best aan om de stappen op te lijsten die nodig zijn om conform te worden met de GDPR. En staat dat allemaal op papier, neem dan contact op met een advocaat, die jou kan vertellen of deze maatregelen volstaan, en of er eventueel nog bijkomende maatregelen nodig zijn.

Disclaimer: dit artikel is gebaseerd op algemene informatie over de GDPR. Elke verzameling van data is verschillend, en verschillende regels zullen gelden. De adviezen zijn ook onvolledig, doch schetsen enkel een algemene werkwijze. Dit artikel, de schrijver ervan of de Vlaamse Journalistenvereniging dragen geen verantwoordelijkheid voor het al dan niet toepassen van deze adviezen, of het ontbreken van specifieke te ondernemen acties.

Meer informatie:

About the author

Verwant

JOIN THE DISCUSSION