Hoe maak je GDPR-conforme formulieren

Hoe maak je GDPR-conforme formulieren

Als u gegevens verzamelt via een webformulier en zaken doet in de EU, moet u ervoor zorgen dat uw organisatie voldoet aan de GDPR wanneer u de ingediende informatie verzendt, ontvangt en opslaat.

Op welke organisaties is de GDPR van toepassing? De GDPR is van toepassing op elke organisatie die zaken doet in de Europese Unie. Zelfs als u uw bedrijf in de Verenigde Staten runt, moet uw bedrijf voldoen aan de GDPR als u goederen of diensten verkoopt aan klanten in de EU.

Wat is de GDPR?

De General Data Protection Regulation is een reeks cyberbeveiligings- en gegevensbeschermingswetten die zijn aangenomen en beheerd door de Europese Unie met als doel de rechten van consumenten met betrekking tot hun persoonlijke gegevens te definiëren. De GDPR claimt rechtsbevoegdheid over elk bedrijf dat actief is in een land binnen de EU, inclusief bedrijven uit andere landen die digitale handel drijven binnen de grenzen van de EU.

De kern van deze wetgeving is de bescherming van gegevens. Sinds de invoering van de GDPR hebben andere overheidsinstanties vergelijkbare privacywetgeving aangenomen, zoals de Personal Information Protection and Electronic Documents Act (PIPEDA) in Canada, de California Consumer Privacy Act (CCPA) en de Data Protection Act 2018 (DPA).

Enkele van de belangrijkste aspecten van de GDPR die invloed hebben op het verzamelen van gegevens en bedrijfsvoering zijn onder andere:

  • Betrokkenen en eigendom van gegevens: De GDPR definieert “betrokkenen” als individuele consumenten met privégegevens die voor zakelijke doeleinden kunnen worden gebruikt. Deze betrokkenen vormen de basis van de wet, en alle rechten op gegevensbescherming en privacy vloeien voort uit de rechten van deze individuen (en niet bijvoorbeeld uit het recht van een bedrijf om gegevens te verzamelen).
  • Openbaarmakingen en eerlijk gebruik: Alle bedrijven die actief zijn in de EU moeten, bij het verzamelen van gegevens voor welk doel dan ook, de reden voor het verzamelen van die gegevens duidelijk aan de betrokkene bekendmaken. Daarnaast moeten zij zowel aan de betrokkene als aan elke GDPR-audit kunnen rechtvaardigen dat de verzamelde gegevens verband houden met goed gedefinieerde bedrijfspraktijken die aansluiten bij producten en diensten. Bedrijven mogen gebruikersgegevens niet zomaar aan derden verkopen zoals zij willen.
  • Beveiliging: Alle privégegevens moeten worden beveiligd met moderne cyberbeveiligingsmaatregelen. Dit geldt voor de gegevens zelf en voor alle gegevens die worden gecreëerd als gevolg van het gebruik van die informatie—zoals audit logs, IP-adressen, enzovoort.
  • Lokalisatie: Bedrijven die informatie verzamelen van EU-burgers mogen deze informatie niet buiten de grenzen van de EU verzenden om rechtsbevoegdheidsproblemen te vermijden. Een bedrijf mag bijvoorbeeld geen informatie van Franse servers naar Amerikaanse servers verzenden om boetes onder de GDPR te vermijden.
  • Toestemming: Alle inspanningen voor gegevensverzameling moeten duidelijke, ondubbelzinnige en niet-afgedwongen toestemming van de betrokkene bevatten.

Deze benaderingen kunnen beperkend en complex lijken voor individuen en bedrijven buiten de EU. In de praktijk vereisen ze echter vooral een nieuwe aanpak van online data management. Organisaties moeten ervoor zorgen dat deze privacycontroles onderdeel zijn van hun geïntegreerde risicobeheerstrategie.

Wat zegt de GDPR over toestemming?

Toestemming is vaak het belangrijkste en meest uitdagende onderdeel van GDPR-naleving, omdat bedrijven ervoor moeten zorgen dat ze duidelijk en specifiek zijn over hun bedrijfspraktijken.

De GDPR maakt echter duidelijk wat de verplichtingen zijn van elk bedrijf met betrekking tot toestemming:

  • De noodzaak van gegevensverzameling: Allereerst moet een bedrijf een rechtvaardige reden hebben om gegevens te verzamelen. Het is wettelijk verplicht dat organisaties hun activiteiten voor het verzamelen van gegevens beperken tot datgene wat direct verband houdt met hun bedrijfsvoering en het leveren van diensten aan betrokkenen.
  • Vrij gegeven: Toestemming mag niet worden afgedwongen of verkregen onder valse voorwendselen. U mag het verzoek om gegevens wel als voorwaarde stellen voor producten en diensten, maar u mag geen belemmeringen of sancties opleggen aan gebruikers die weigeren gegevens te verstrekken of eerder gegeven toestemming intrekken.
  • Specifiek en uniek: Er zijn geen algemene toestemmingsverklaringen onder de GDPR. Elk verzoek moet specifiek zijn voor het medium en het doel, en elk verzoek moet een individueel toestemmingsmechanisme bevatten. Als u bijvoorbeeld toestemming vraagt om cookies te gebruiken voor het verzamelen van gegevens én toestemming om e-mails te sturen, moeten dit aparte verzoeken zijn.
  • Ingelicht en ondubbelzinnig: Ongeacht het aantal verzoeken moet elk verzoek een gedetailleerde beschrijving bevatten van welke gegevens worden verzameld, waarom de gegevens worden verzameld, voor welke doeleinden en in welke mate. Dit dient twee doelen: ten eerste kunnen betrokkenen weloverwogen toestemming geven voor het vrijgeven van hun gegevens, en ten tweede dwingt het de verzamelende organisatie om de grenzen van hun gebruik van de gegevens strikt te definiëren.
  • Intrekking: De betrokkene kan op elk moment eerder gegeven toestemming intrekken. Dit omvat het stopzetten van e-mails of het verwijderen van cookies of andere vormen van gegevensverzameling.

Gebruikers buiten de EU merken nu al de impact van deze regels, met steeds meer gedetailleerde en alomtegenwoordige verzoeken voor cookies en tracking op e-commerce- en nieuwssites.

Wat maakt een GDPR-conform formulier?

Een belangrijk onderdeel van het behouden van GDPR-naleving is ervoor zorgen dat uw informatieverzoeken voldoen aan de hierboven genoemde vereisten. Dit betekent dat u formulieren en beveiligingstools voor gegevens moet hebben die passen bij deze inspanningen voor naleving van regelgeving. Organisaties moeten ervoor zorgen dat hun beleid voor risicobeheer door derden ook beleid bevat voor het gebruik van webformulieren.

Over het algemeen bevatten GDPR-conforme toestemmings- en informatieverzamelingsformulieren de volgende beste practices:

  • Vermijd vooraf aangevinkte formulieren: Het implementeren van een formulier met vooraf aangevinkte toestemmingsvakjes is in strijd met de regels voor geïnformeerde, niet-afgedwongen toestemming. Proberen consumenten over te halen om ergens mee in te stemmen waar ze anders misschien niet mee akkoord zouden gaan, kan als misleiding worden gezien. Nog erger, het kan worden geïnterpreteerd als een manier om consumenten te benadelen die het vakje niet opmerken.
  • Bied individuele toestemmingsformulieren aan: Organisaties moeten geen enorme webformulieren maken waarin respondenten een lange lijst met toestemmingen wordt gevraagd. Dit is om te beginnen een slechte gebruikerservaring. Maar het schendt ook meerdere aspecten van de GDPR. Het is belangrijk om verschillende, zeer beschrijvende formulieren te gebruiken die duidelijk definiëren waarvoor de ontvanger toestemming geeft.
  • Maak toestemmingsopties granulair: Elke afzonderlijke vorm van toestemming moet een eigen beschrijving en eigen mechanisme hebben om toestemming te tonen. Als u bijvoorbeeld toestemming voor marketing-e-mails opneemt naast andere vormen van gegevensverzameling, moet dat een aparte sectie zijn met eigen selectievakjes of schakelaars. Bij twijfel: maak het granular.
  • Maak afmelden eenvoudig: De GDPR is een “opt-in”-systeem, wat betekent dat gebruikers actief moeten instemmen met gegevensverzameling. Organisaties moeten het ook eenvoudig en intuïtief maken om zich af te melden voor die gegevensverzameling of communicatie.
  • Registreer toestemming in beveiligde systemen: Alle registraties van toestemming van betrokkenen moeten worden opgeslagen in beveiligde systemen voor auditing en privacy. Het back-end systeem van een organisatie moet dus beveiligingsmechanismen bevatten om toestemmingsregistraties te beschermen—met gebruik van GDPR-conforme beveiliging en encryptie.

GDPR-formulieren lanceren en beheren met Kiteworks

Organisaties die actief zijn of willen zijn in de EU moeten GDPR-conforme systemen hebben die gegevensopslag en -verzameling ondersteunen volgens de beveiligings- en toestemmingswetten.

Het Kiteworks-platform biedt een webformulierfunctionaliteit die aan deze vereisten voldoet. Het bestand- en documentmanagementsysteem van Kiteworks biedt een uitgebreide en flexibele cloudinfrastructuur met eenvoudig te maken formulieren die GDPR-naleving mogelijk maken van gebruikersinteractie tot serveropslag.

Kiteworks biedt daarnaast het volgende:

  • Beveiliging en naleving: Kiteworks gebruikt AES-256 Encryptie voor gegevens in rust en TLS 1.2+ voor gegevens onderweg. De hardened virtual appliance, granulaire controles, authenticatie, andere beveiligingsstack-integraties en uitgebreide logging en auditrapportages stellen organisaties in staat eenvoudig en snel aan te tonen dat ze voldoen aan beveiligingsstandaarden. Het heeft standaard rapportages voor naleving van industrie- en overheidsreguleringen en standaarden, zoals HIPAA, PCI DSS, SOC 2 en de GDPR.
     

    Daarnaast beschikt Kiteworks over certificeringen en naleving van diverse standaarden, waaronder, maar niet beperkt tot, FedRAMP, FIPS (Federal Information Processing Standards), FISMA (Federal Information Security Management Act), CMMC (Cybersecurity Maturity Model Certification) en IRAP (Information Security Registered Assessors Program).

  • Audit logging: Met de onveranderlijke audit logs van het Kiteworks-platform kunnen organisaties erop vertrouwen dat aanvallen sneller worden gedetecteerd en dat de juiste bewijsketen wordt behouden voor forensisch onderzoek. Omdat het systeem invoer van alle componenten samenvoegt en standaardiseert, besparen de uniforme syslog en waarschuwingen van Kiteworks beveiligingscentrumteams cruciale tijd en helpen ze compliance-teams zich voor te bereiden op audits.
  • SIEM-integratie: Kiteworks ondersteunt integratie met toonaangevende security information and event management (SIEM)-oplossingen, waaronder IBM QRadar, ArcSight, FireEye Helix, LogRhythm en anderen. Het beschikt ook over de Splunk Forwarder en bevat een Splunk App.
  • Zichtbaarheid en beheer: Het CISO-dashboard in Kiteworks geeft organisaties een overzicht van hun informatie: waar deze zich bevindt, wie er toegang toe heeft, hoe deze wordt gebruikt en of verzending, delen en overdracht van gegevens voldoen aan regelgeving en standaarden. Het CISO-dashboard stelt organisatieleiders in staat om weloverwogen beslissingen te nemen en biedt een gedetailleerd overzicht van naleving.
  • Single-tenant cloud-omgeving: Bestandsoverdrachten, opslag en gebruikersrechten vinden plaats op een toegewijde Kiteworks-instantie, ingezet on-premise, op Infrastructure-as-a-Service-resources van de organisatie of gehost als private single-tenant instantie door Kiteworks in de cloud via de Kiteworks Cloud-server. Dit betekent geen gedeelde runtime, databases of repositories, gedeelde resources of risico op cross-cloud datalekken of aanvallen.

Wilt u meer weten over het Kiteworks-platform en de mogelijkheden voor beveiligde webformulieren? Plan dan een aangepaste demo die kan worden afgestemd op uw specifieke GDPR-vereisten.

Veelgestelde vragen

GDPR-naleving betekent het naleven van de regels die zijn vastgelegd in de General Data Protection Regulation (GDPR), een uitgebreide privacywet in de Europese Unie (EU). De GDPR geeft richtlijnen voor hoe persoonlijke gegevens van EU-burgers en -inwoners moeten worden verzameld, verwerkt, opgeslagen en gedeeld door organisaties, ongeacht of deze organisaties in de EU of elders zijn gevestigd. Om GDPR-conform te zijn, moeten organisaties stappen ondernemen om de persoonlijke gegevens van EU-burgers en -inwoners te beschermen en hun privacyrechten te respecteren.

De GDPR is gebaseerd op een aantal principes voor hoe persoonlijke gegevens moeten worden verwerkt. Deze principes zijn bedoeld om ervoor te zorgen dat organisaties persoonlijke gegevens van EU-burgers en -inwoners op een eerlijke, transparante en veilige manier behandelen.

De drie belangrijkste principes van GDPR-naleving zijn:

  • Rechtmatigheid, eerlijkheid en transparantie: Organisaties moeten persoonlijke gegevens op een rechtmatige, eerlijke en transparante manier verwerken. Dit houdt in dat individuen duidelijke en beknopte informatie moeten krijgen over hoe hun gegevens worden verwerkt.
  • Doelbinding: Persoonsgegevens mogen alleen worden verzameld en verwerkt voor specifieke, expliciete en legitieme doeleinden. Organisaties mogen persoonsgegevens niet verwerken op een manier die niet verenigbaar is met deze doeleinden.
  • Dataminimalisatie: Organisaties mogen alleen de persoonsgegevens verzamelen en verwerken die noodzakelijk zijn voor het doel waarvoor ze worden verwerkt. Ze moeten er ook voor zorgen dat de gegevens juist en actueel zijn.

Organisaties kunnen GDPR-naleving waarborgen door verschillende stappen te nemen om de persoonlijke gegevens van EU-burgers en -inwoners te beschermen en hun privacyrechten te respecteren. Deze stappen kunnen het implementeren van beleid en procedures voor gegevensbescherming omvatten, het aanstellen van een functionaris voor gegevensprivacy (DPO) en het uitvoeren van regelmatige Data Protection Impact Assessments.

Stappen die organisaties kunnen nemen om GDPR-naleving te waarborgen zijn onder andere:

  • Het herzien en updaten van beleid en procedures voor gegevensbescherming zodat deze aansluiten bij de GDPR-vereisten
  • Het implementeren van passende technische en organisatorische maatregelen, zoals encryptie, toegangscontrole en pseudonimisering, om de veiligheid van persoonsgegevens te waarborgen
  • Zorgen dat individuen toegang hebben tot hun persoonsgegevens en hun rechten onder de GDPR kunnen uitoefenen, zoals het recht op verwijdering en het recht om bezwaar te maken
  • Het uitvoeren van regelmatige audits van gegevensverwerkingsactiviteiten om naleving van de GDPR-vereisten te waarborgen en verbeterpunten te identificeren
  • Zorgen dat eventuele derde verwerkers, zoals cloudserviceproviders, GDPR-conform zijn en passende waarborgen hebben om persoonsgegevens te beschermen
  • Het ontwikkelen van een incident response plan om datalekken en ongeautoriseerde toegang tot persoonsgegevens te beheren
  • Het bijhouden van documentatie en registraties van gegevensverwerkingsactiviteiten om aan te tonen dat aan de GDPR-vereisten wordt voldaan

Een Data Protection Impact Assessment (DPIA) is een proces om de privacyrisico’s te identificeren en te beoordelen die samenhangen met een bepaalde gegevensverwerkingsactiviteit. Een DPIA is verplicht onder de GDPR voor bepaalde soorten verwerkingen die waarschijnlijk een hoog risico vormen voor de privacyrechten van EU-burgers en -inwoners.

Ja, Amerikaanse bedrijven moeten voldoen aan de GDPR als zij persoonsgegevens van EU-burgers en -inwoners verwerken. Elk bedrijf, ongeacht waar het is gevestigd, moet voldoen aan de GDPR als het persoonsgegevens van EU-burgers en -inwoners verwerkt, bewaart of deelt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Table of Content
Share
Tweet
Share
Explore Kiteworks