Privacy: de Algemene Verordening Gegevensbescherming (AVG)

Door Gonect 19 april 2018
De nieuwe AVG wet - online marketing
Zoals velen van jullie weten is op 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De Engelse benaming voor deze nieuwe Europese wetgeving is General Data Protection Regulation (GDPR). Deze wetgeving is in 2016 aangenomen en vervangt de Wet bescherming persoonsgegevens (Wbp). De nieuwe wetgeving is ontzettend belangrijk voor veel organisaties en moet dan ook al lang in de agenda genoteerd staan. Er gaan namelijk een hoop dingen veranderen waar je goed op voorbereid moet zijn! Heb jij al eens gekeken naar je privacyverklaring of de manier waarop je je gegevens opslaat? Nee? Dan staat er nog een hoop op je te wachten. Dus pak een pen, papier en een kop koffie, want we hebben een heleboel te vertellen.

Disclaimer: In deze blog hebben wij de belangrijkste punten wat betreft de nieuwe AVG wet beschreven, maar niet alles is in deze blog vermeld! Heb je nog twijfels of jij iets mist? Kijk dan eens op de website van Hulp bij Privacy of vraag het aan een jurist. Voorkom dus een flinke boete en ga hier gelijk mee aan de slag.

  1. Waarom komt er een nieuwe privacywetgeving?
  2. Wat valt er precies onder persoonsgegevens?
  3. Grondslagen van verwerking
  4. Rollen bij het verwerken van persoonsgegevens
  5. Privacyverklaring
  6. Beveiliging regelen
  7. Recht van de betrokkenen
  8. Verwerking van persoonlijke gegevens
  9. Bewerkingsovereenkomst / Verwerkersovereenkomst
  10. Procedure voor datalekken
  11. E-mailmarketing en de AVG
  12. Social media en de AVG
  13. Google AdWords en de AVG
  14. E-Privacy Regulation
  15. Boetes voor het niet naleven van de AVG wet

Waarom komt er een nieuwe privacywetgeving?

Waar voorheen de Wbp van toepassing was, zal deze dus vanaf 25 mei 2018 gaan veranderen naar de AVG. Deze nieuwe privacywetgeving geldt vanaf dan voor de hele Europese Unie (EU) en zorgt ervoor dat de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt) wordt versterkt. De betrokkenen hebben dus meer recht op inzicht in hun gegevens. Verder verandert er niet veel voor deze betrokkenen. In het ergste geval moeten ze een extra vinkje zetten of een verklaring doorlezen. Voor organisaties verandert er echter wel veel. Bedrijven die te maken hebben met persoonsgegevens (bijna elk bedrijf) krijgen meer verplichtingen en moeten kunnen verantwoorden dat zij zich aan de wet houden. Het kan zijn dat je als eigenaar of medewerker van een organisatie hier al druk mee bezig bent, maar de invoering van de nieuwe AVG wet moet niet als een klein project worden gezien. Het moet in de organisatie geïntegreerd worden. Waar moet je dan allemaal rekening mee houden? Dat gaan we je nu vertellen.

Wat valt er precies onder persoonsgegevens?

Voordat je goed van start kunt gaan met de voorbereidingen voor de nieuwe AVG wet, is het belangrijk om eerst in beeld te brengen wat persoonsgegevens zijn. Een persoonsgegeven is ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon‘. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats, maar er zijn nog veel meer gegevens die je kunt verzamelen. Denk hierbij aan telefoonnummer, IP-adressen, cookies en dergelijke. Stel dat je een overeenkomst met een klant hebt afgesloten, dan heb je ook betaalgegevens nodig. Dat is noodzakelijk voor de overeenkomst. Als je ook andere gegevens wilt verzamelen – zoals geboortedatum of interesses – dan heb je toestemming voor nodig. Je mag je klanten er wel om vragen, maar je mag ze niet verplichten om deze informatie te verstrekken.

Dataminimalisatie

Je mag niet meer gegevens verzamelen dan nodig is. Dit wordt ook wel dataminimalisatie genoemd. Probeer daarom gegevens te anomiseren of te verwijderen zodra deze niet meer van belang zijn. Persoonsgegevens mogen dan ook niet langer bewaard worden dan nodig is. Het bepalen van bewaartermijnen is lastig. Bepaal daarom per gegevenscategorie hoe lang het voor jouw bedrijf noodzakelijk is om de persoonsgegevens te bewaren. Hou daarbij altijd in gedachten dat je de gegevens echt nodig hebt, niet dat het leuk of handig is om ze te hebben of dat ze in de (verre) toekomst mogelijk nog van pas komen. Dit is natuurlijk een grijs gebied, maar het is in ieder geval tegen de AVG wet in om gegevens oneindig te bewaren.

Grondslagen van verwerking

De AVG is van toepassing op het moment dat er persoonsgegevens worden verwerkt. Dit kan zijn wanneer er gegevens op de computer worden opgeslagen, contactgegevens naar een e-mailprogramma worden geëxporteerd, een bestelling van de webshop wordt verwerkt en ga zo maar door. Je mag persoonsgegevens alleen verwerken als je dit kunt baseren op minimaal één van de 6 grondslagen die de AVG kent. Wij zetten ze even op een rijtje:

  • Toestemming van de betrokken persoon: er is een akkoord van de betrokkene voor het verwerken van zijn of haar gegevens.
  • Uitvoering van een overeenkomst: het is noodzakelijk om de persoonsgegevens te verzamelen voor de uitvoering van een overeenkomst of voor sluiting van een overeenkomst.
  • Wettelijke verplichting: het is noodzakelijk om de persoonsgegevens te verzamelen om te voldoen aan een wettelijke verplichting waar je bedrijf aan moet voldoen.
  • Vitale belangen: het is noodzakelijk om de persoonsgegevens te verzamelen om de vitale belangen van de klant te beschermen.
  • Algemeen belang of uitoefening van openbaar gezag: het is noodzakelijk voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag die je organisatie verzorgt.
  • Gerechtvaardigd belang van de verantwoordelijke: het is noodzakelijk voor de gerechtvaardigde belangen van je organisatie of van een derde. Dit moet worden afgewogen tegen het recht op privacy van de betrokkene.

Bij het verwerken van de persoonsgegevens is het dus niet altijd nodig om toestemming te vragen aan de betrokkene. Organisaties kunnen dus ook gegevens verzamelen op basis van een andere grondslag.

Rollen bij het verwerken van persoonsgegevens

Bij de verwerking van persoonsgegevens wordt er onderscheid gemaakt tussen drie rollen. Degene die het doel en de middelen voor de verwerking van persoonsgegevens bepaalt is de verwerkingsverantwoordelijke. De verantwoordelijke moet erop toezien dat de verwerking gebeurt conform de AVG. De betrokkene is degene op wie de persoonsgegevens betrekking hebbenAls de persoonsgegevens in opdracht van de verantwoordelijke worden verwerkt door een andere partij, dan heet deze partij de verwerker. Als een deel van de verwerking wordt uitbesteed, is het aan te raden een verwerkersovereenkomst af te sluiten. Daar komen we later op terug.

Verwerkingsrollen AVG

Maatregelen treffen

Om ervoor te zorgen dat je bent klaargestoomd voor de intreding van de AVG op 25 mei 2018, zijn er enkele stappen die je moet ondernemen. Wij leggen de maatregelen die je moet treffen uit.

Privacyverklaring

Het verkrijgen van persoonsgegevens gebeurt sneller dan je denkt. Reageert er iemand op een artikel op je website? Dan ben je al in het bezit van iemands gegevens. Maar vooral bij het invullen van formulieren (voor contact, offertes of nieuwsbrief inschrijving) worden persoonsgegevens verkregen én opgeslagen. Daarom heeft elke website een privacyverklaring nodig. Heb je die een? Goed zo! Toch is de kans heel groot dat deze moet worden aangepast voor de nieuwe AVG wet. Simpel gezegd; de privacyverklaring moet nóg transparanter worden. Onder andere de volgende punten moeten in de verklaring worden verwerkt:

  • Identiteit en contactgegevens van degene die verantwoordelijk is voor de verwerking van gegevens.
  • De doeleinden waarvoor de gegevens worden verzameld.
  • Hoe lang de gegevens worden bewaard.
  • Dat de betrokkene recht heeft op inzage, rectificatie of het verwijderen van persoonsgegevens. Maar ook het recht op overdraagbaarheid van de gegevens.
  • Of de verstrekking van gegevens een wettelijke verplichting of een noodzakelijke voorwaarde is om een overeenkomst af te sluiten en wat de gevolgen zijn als de gegevens niet worden verstrekt.
  • Als er sprake is van geautomatiseerde besluitvorming of profilering, dan moet worden vermeld waarom dit gedaan wordt en wat de verwachte gevolgen daarvan zijn.
  • Als er overige partijen zijn die de gegevens ontvangen, dan moet dat worden vermeld.
  • Dat men recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP).

De privacyverklaring moet beknopt en in een duidelijke taal worden geschreven. Houdt alles zo kort mogelijk en maak de teksten niet langer dan nodig is. Laat de verklaring ook niet door een jurist schrijven, tenzij deze geen jargon gebruikt. Je kunt echter wel een jurist vragen om de verklaring te controleren. Wil je het zelf aanpakken?  Gebruik dan deze privacyverklaring generator.

Nadat je privacyverklaring helemaal op orde is, moet deze ook eenvoudig te vinden zijn op je website. Maak een nieuwe pagina aan en zet de link in de footer. Voeg de verklaring ook toe aan bijvoorbeeld een formulier op je website. Zorg er in ieder geval voor dat de verklaring duidelijk zichtbaar is op elke plek waar je persoonsgegevens verzamelt.

Beveiliging regelen

De gegevens die worden verzameld moeten op een veilige plek worden bewaard. Beveiliging is hier van groot belang! Er zijn verschillende manieren om dit te doen. Denk bijvoorbeeld aan encryptie of tweefactorauthenticatie. Het is voor jezelf fijn als je zeker weet dat je gegevens goed beveiligd zijn. Zorg er dus voor dat je ICT-systemen regelmatig worden gecheckt. Daarnaast moet je ook rekening houden dat het hebben van een SSL-certificaat op je website nu een echte must is. Waarom? Zodra de AVG van kracht is, gaat een website zonder SSL-certificaat altijd als niet-veilig worden weergegeven. Dit wordt momenteel alleen weergegeven wanneer een website zonder SSL-certificaat persoonsgegevens vraagt. Dus heb je dit nog niet? Regel dit dan via je domeinhost of je programmeur.

SSL-certificaat

Recht van de betrokkenen

De personen van wie jij gegevens in je database hebt staan, moeten de mogelijkheid hebben om hun gegevens in te zien en waar nodig te corrigeren of te verwijderen. Dit moet dan ook worden vermeld in de privacyverklaring. Een verzoek van de betrokkene moet officieel binnen vier weken afgehandeld worden. Daarom moet het binnen de organisatie ook goed geregeld worden. Spreek intern af wie wat doet met het verwerken van gegevens. Er moet in kaart worden gebracht wie er allemaal toegang heeft tot welke gegevens en de periode waarin deze gegevens bewaard worden. Regel ook waar nodig geheimhouding van medewerkers en externen die betrokken zijn bij de verwerking van persoonsgegevens. Als de betrokkenen hun twijfels hebben over de manier waarop er met hun gegevens wordt omgegaan, dan hebben zij het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP).

Verwerking van persoonlijke gegevens

Je hebt een nieuwe aanmelding voor je nieuwsbrief. Wat leuk! Echter moet dit voortaan allemaal tot in de puntjes gedocumenteerd worden. Onder de AVG heeft iedere organisatie een verantwoordingsplicht. Dat houdt in dat een organisatie moet kunnen aantonen dat zij handelen in overeenstemming met de AVG. Een onderdeel van deze verantwoordingsplicht is het bijhouden van een verwerkingsregister. In het register staat welke gegevens er worden verwerkt, voor welke doeleinden deze worden gebruikt, hoe deze gegevens beveiligd worden en hoe lang de gegevens worden bewaard. Let wel op, want het bijhouden van een register is alleen verplicht als een organisatie meer dan 250 personen in dienst heeft. Heb je minder dan 250 personen in dienst? Dan moet je alleen een register bijhouden wanneer er structureel persoonsgegevens worden verwerkt of als het om zeer gevoelige gegevens gaat.

Bewerkingsovereenkomst / Verwerkersovereenkomst

Misschien heb je ooit al eens van een bewerkingsovereenkomst gehoord, maar mocht dat niet het geval zijn, dan kun je je nu gaan focussen op een verwerkersovereenkomst (ook wel Data Processing Agreement (DPA) genoemd). Bij de oude wetgeving heette het nog bewerkingsovereenkomst, maar deze ondergaat dus een naamsverandering. Het komt er eigenlijk op neer dat het een overeenkomst is tussen de verantwoordelijke voor de persoonsgegevens (verwerkingsverantwoordelijke) en de partij die de gegevens voor hem verwerkt (verwerker). Dus als je andere partijen inschakelt om persoonsgegevens voor jou te verwerken, dan moet je met deze organisaties een verwerkersovereenkomst afsluiten. Met deze overeenkomst sluit je uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken. In de overeenkomst worden de volgende punten vastgelegd: het onderwerp en de duur van de gegevensverwerking, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van de betrokkenen en de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Om te kijken met wie je een verwerkersovereenkomst moet hebben, is het verstandig om een lijstje te maken van partijen waarmee jij samenwerkt inzake de verwerking van persoonsgegevens. Vraag dan even bij hun na of zij al een overeenkomst hebben liggen.

Procedure voor datalekken

Ben je bijvoorbeeld je laptop verloren met daarop gevoelige gegevens of is er een inbraak geweest in een databestand door een hacker? Dan is er sprake van een datalek. Dan moet dit intern duidelijk worden gedocumenteerd. Er is sprake van een datalek wanneer er opzettelijk of onopzettelijk beveiligde informatie is vrijgegeven aan een onbetrouwbaar publiek. Dit kan natuurlijk iedereen overkomen, maar de AVG maakt het wettelijk verplicht dat dit gedocumenteerd wordt. Alleen organisaties die met privacygevoelige informatie werken zijn straks verplicht om – bij een ernstige datalek – dit binnen 72 uur aan te geven bij Autoriteit Persoonsgegevens. Zorg daarom dat je een goede procedure voor datalekken klaar hebt liggen.

E-mailmarketing en de AVG

In de AVG komt het woord e-mailmarketing of e-mail niet voor, maar toch brengt de AVG veranderingen met zich mee wanneer je aan e-mailmarketing doet. Je bent op dat moment namelijk bezig met het verwerken van persoonsgegevens. Het is dus goed om hier nog eens naar te kijken. Heb jij momenteel bij het contactformulier op je website een automatisch vinkje staan bij ‘nieuwsbrief ontvangen’? Dan zet dat maar heel snel uit. In de AVG staat dat een toestemming ondubbelzinnig moet zijn. Dit betekent dat er geen twijfel mag bestaan over het feit dat de betrokkene toestemming heeft gegeven. Vaak wordt hiervoor de term opt-in gehanteerd. Dit is een actieve handeling van de betrokkene om ergens akkoord voor te geven. Het ontvangen van de nieuwsbrief mag geen voorwaarde zijn en moet dan ook duidelijk gescheiden worden van de algemene voorwaarden. Daarnaast moet je rekening houden met het feit dat:

  • Je gescheiden opt-in’s nodig hebt als je data op verschillende manieren verwerkt (bijvoorbeeld als de info wordt doorgestuurd naar een derde partij).
  • In je database voor e-mailmarketing moet de e-mail opt-in goed worden bijgehouden om de gegeven toestemming te kunnen aantonen.
  • Je moet het je contacten duidelijk maken hoe ze zich te allen tijde kunnen uitschrijven.
  • Verwijs bij elke opt-in naar de privacyverklaring.

Social media en de AVG

Maak je gebruik van social media kanalen? Dan zijn hier ook enkele punten waar je rekening mee moet gaan houden. Zo moeten bedrijven scherper omgaan met de persoonsgegevens die ze hebben gekregen. Dat betekent dat deze dus niet zomaar gebruik mogen worden voor bepaalde social media activiteiten. Bij bijvoorbeeld Facebook is het mogelijk om te adverteren op een custom audience en daar van afgeleid ook een zogenaamde look-a-like audience. Dit gebeurt meestal door middel van het uploaden van e-mailadressen, maar deze doelgroepen kunnen ook worden aangemaakt middels social media ID’s van klanten. Het is dus mogelijk om binnen social media heel gericht te adverteren op klanten of een specifieke doelgroep. Je kunt deze aangepaste doelgroepen nog aanmaken, mits dat aan de klant kenbaar is gemaakt tijdens het verkrijgen van het e-mailadres of tijdens het verzamelen van cookies. Ook moet hij zich daarvoor ook eenvoudig en kosteloos kunnen afmelden.

Facebook targeting

Als je op Facebook of Instagram gaat targetten op basis van gegevens zoals leeftijd, geslacht, interesses, sociale status etc. dan heeft Facebook deze gegevens in eigen beheer. Op het moment dat een gebruiker de privacyverklaring van Facebook en de cookies accepteert, geven ze toestemming om die data te gebruiken voor targeting.

Google AdWords en de AVG

Bij Google Adwords maak je gebruik van het Google platform en alle data van personen die door Google verzameld zijn. We maken even een onderscheid:

  • Adverteren in het zoeknetwerk: De AVG is niet van toepassing als je simpelweg adverteert op een zoekterm waar je een bod op gedaan hebt. Het wordt anders als je lokaal gaat targetten waarbij je advertentie alleen zichtbaar is voor een door jouw getarget gebied. Je maakt daarbij gebruik van de door Google verzamelde data. In dit geval is Google de partij die de toestemming geregeld moet hebben.
  • Campagnes in het displaynetwerk: Bij het tonen van banners in het displaynetwerk van Google wordt vaak gebruik gemaakt van in-market audiences en affinity audiences. Ook hierbij wordt gebruik gemaakt van data die door Google is verzameld en waarvoor zij toestemming moeten vragen.
  • Remarketing: Bij remarketing toon je advertenties aan personen die eerder je website hebben bezocht. Dit is dus data die je via je eigen website verzameld hebt. Hier kom je dus in aanmerking met de AVG en moet je zelf expliciet toestemming regelen om de betreffende bezoekers te retargetten. In je privacyverklaring moet dus worden beschreven welke gegevens verzameld worden en met welk doel. Daarnaast moet er expliciet toestemming worden gegeven door de bezoeker voor het plaatsen van marketingcookies. Dit moet in de cookiemelding (zie alinea hieronder) onder de aandacht worden gebracht.

E-Privacy Regulation

Zoals we hierboven al hadden aangegeven, zegt de AVG eigenlijk niets over het gebruik van e-mailmarketing. Dit valt namelijk onder de huidige telecomwet, al zal hier ook een nieuwe wet voor komen: de E-Privacy Verordening. Deze verordening moet nog worden goedgekeurd, maar zal gaan fungeren naast de AVG wet. De E-Privacywet zal zich gaan richten op het verwerken van persoonsgegevens voor elektronische communicatiediensten. Denk hierbij aan e-mail, telemarketing en cookies. Cookies zijn kleine tekstbestanden die websites plaatsen op de computer, mobiele telefoon of tablet van bezoekers. Voor het plaatsen van cookies moeten websites toestemming vragen. Dit kan worden gedaan middels een cookiemelding. Je dient bezoekers van de website te voorzien van gedetailleerde informatie over de soorten cookies (functionele, analytische en tracking), details van de cookies en de juiste opt-in en opt-out functionaliteit. De gebruiker moet dus expliciet toestemming geven – middels een duidelijke handeling – om de cookies te accepteren. Zodra je bezoekers bepaalde cookies niet accepteren, kan dit wellicht impact hebben op je marketingactiviteiten. Het is dus verstandig om te proberen je bezoekers te verleiden, zodat ze alle cookies gaan accepteren. Websites die acceptatie van cookies verplicht stellen voor het bezoek aan de website, kunnen problemen krijgen met het feit dat persoonsgegevens noodzakelijk zijn om de overeenkomst te kunnen leveren. Dit betekent dat de cookiemuren dus gaan verdwijnen.

In de komende e-Privacy regelgeving zijn er voorstellen om de privacy door middel van browser instellingen te kunnen regelen. Dan kan er grofweg worden gekozen tussen 3 opties: alle cookies toestaan, alle cookies weigeren of alleen cookies van derden weigeren.

Boetes voor het niet naleven van de AVG wet

Ga alsjeblieft zorgvuldig om met deze nieuwe wetgeving, want de boetes voor het overtreden ervan zijn enorm. Met de komst van de AVG stijgt de boete naar maximaal €20.000.000,- of 4% van de wereldwijde omzet van de organisatie. Dit zijn natuurlijk bedragen waar je liever niets mee van doen hebt. Als je geluk hebt kom je er met een schriftelijke waarschuwing van af, maar voorkomen is beter dan genezen.

Kortom…

Het is natuurlijk vrij veel informatie om te verwerken, dus wij geven graag nog even een beknopte samenvatting van de belangrijkste punten:

  • Bepaal op basis van de 6 grondslagen welke gegevens je wel/niet mag verwerken
  • Houd je aan de verantwoordingsplicht
  • Vraag op de juiste manier om toestemming (duidelijke en ondubbelzinnige manier)
  • Zorg dat je privacyverklaring duidelijk is omschreven en dat deze goed zichtbaar is op de website
  • Personen van wie je gegevens verwerkt, hebben het recht om hun gegevens in te zien, aan te passen en te verwijderen
  • De personen van wie je gegevens verwerkt hebben het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP)
  • Zorg dat je met alle bedrijven die voor jou persoonsgegevens verwerken een verwerkersovereenkomst hebt
  • Je hebt een meldplicht als er sprake is van een ernstige datalek
  • Zorg voor een duidelijke en goed werkende cookiemelding

Zie de nieuwe privacy wetgeving niet als een blok aan het been, maar eerder als een manier om transparanter te worden en persoonlijker met je klanten te communiceren. Het kost wat, maar dan heb je ook wat.

test

Andere blogs

Retourbeleid voor je webshop
Online Marketing
Wat is een goed retourbeleid voor een webshop?
Door Bart Rietjens 7 november 2024
Strategie Alles over doelgroep analyse-liggend
Online Marketing