GDPR, AVG?!

Arnoud Slagter — 3 mei 2018

Het toverwoord van dit moment?

We hebben de indruk dat er maar weinig organisaties echt klaar voor zijn. Vaak wordt naar ons als bureaus gewezen. Volkomen terecht als het gaat om onze adviserende rol, maar de verantwoordelijkheid ligt ook bij de organisaties zelf.

Er is al knettertjeveel over gezegd en geschreven, daarom hebben wij een samenvatting gemaakt van datgene wat volgens ons echt van belang is. Mocht er nog onmisbare informatie volgen,  dan zullen we deze blog uiteraard ook updaten. Vragen of opmerkingen? We horen het graag!

Even kort...

Eerst kort nog even de GDPR (General Data Protection Regulation), ook wel AVG (Algemene verordening gegevensbescherming). Voor de duidelijkheid de AVG is exact hetzelfde als de GDPR, maar enkel de Nederlandse vertaling. Wat het precies inhoudt? De autoriteit persoonsgegevens biedt een overzichtelijk stappenplan, maar als je even snel bijgepraat wil worden zou ik deze link overslaan.

Ok, de wet…


De wet vraagt eigenlijk om gezond verstand. De privacy van elke burger moet beter beschermd worden en de wet legt de verantwoordelijkheid nu bij de organisaties die omgaan met deze gegevens. De wet draait om persoonsgegevens. Onder persoonsgegevens vallen natuurlijk namen, adressen, telefoonnummers en e-mailadressen. Daar horen (en dat is nieuw) nu ook zakelijke e-mailadressen en telefoonnummers bij.

Persoonsgegevens mag je enkel en alleen nog verzamelen mits het vanwege één van de zes redenen is (grondslagen) die de AVG opgeeft:

  1. Toestemming van de betrokken persoon.
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Binnen je privacy statement leg je vast met welke grondslagen je de nodige data verzameld. Meer informatie over deze grondslagen in dit artikel van Marc van Broekhoven.

Verwerkersovereenkomst

Zodra je als organisatie persoonsgegevens aan een derde partij uitbesteedt moet je hier afspraken over maken. Dit doe je in de ‘verwerkersovereenkomst’. Een leverancier - in welke vorm dan ook: externe opslag van je gegevens, een reclamebureau voor een direct mail, je e-mailbox, het hostingbedrijf van je website, etc. - krijgt de titel ‘verwerker’ zodra hij persoonsgegevens verwerkt. Beide partijen zijn verplicht om een verwerkersovereenkomst te sluiten.

Ok, maar hoe dan nu?

We kunnen ons voorstellen dat het lastig te overzien is. Alhoewel wij je aanraden om jouw specifieke situatie te bespreken met een jurist, proberen we het één en ander voor je samen te vatten.

E-mail marketing

Verrassend genoeg zegt de AVG eigenlijk niets over e-mail. Dit is al jaren geregeld in de Telecomwet en dat blijft ook gewoon zo.

Het pakt zo uit dat je geen nadrukkelijke toestemming hoeft te vragen om de persoonsgegevens te gebruiken om te mailen, zolang je maar toestemming hebt om überhaupt te mailen (opt-in). Je kunt dus na 25 mei 2018 nog prima je oude database mailen; zo lang je contacten eerder specifiek toestemming hebben gegeven, ofwel ‘opt-in’.

Het verwerken van persoonsgegevens valt echter wel onder deze regelgeving! Als eerste moet je voor 25 mei 2018 een verwerkersovereenkomst afsluiten met de leverancier voor je tool voor e-mailmarketing. Daarnaast moet je je de volgende zaken afvragen:

  1. Hebben de huidige abonnees van mijn e-mailnieuwsbrief toestemming gegeven? Er is geen reden om opnieuw toestemming te vragen; indien de eerdere toestemming die verkregen is maar in lijn is met de AVG. Twijfel je? Vraag je contactpersonen opnieuw om toestemming, laat ze gelijk even checken of de gegevens volledig zijn! Heb je ook een up-to-date lijst.
  2. Daarnaast moet iemand altijd zijn informatie in kunnen zien en heeft iedereen het recht om vergeten te worden, de data moet dus verwijderd kunnen worden. Bekijk je huidige formulieren: is de informatie die je nodig hebt in lijn met de AVG?
  3. Zorg voor een privacy statement waarin je aangeeft hoe je de data verzameld en wat je er mee doet en zorg dat dit privacy statement in te zien is op het moment dat men het formulier invult. Een privacy statement moet qua taalgebruik helder, duidelijk en volledig zijn.


Google Analytics

De AVG richt zich specifiek op persoonsgegevens, mits juist ingesteld kun je Google Analytics anonieme gegevens laten vergaren. Wat moet je (verder) doen?

  1. Het is van belang om een bewerkersovereenkomst met Google Analytics af te sluiten.
  2. Het IP-adres anoniem te maken: deze mogelijkheid biedt Google en zorgt er voor dat je geen persoonsgegevens verwerkt, maar anonieme data.
  3. Het delen van gegevens met Google uitschakelen.
  4. De juiste tekst opnemen in je cookie-melding: informeren dat je Google Analytics gebruikt en bovenstaande stappen toelicht.


Formulieren op je website

We maken het maar al te vaak mee, klanten die aangeven: “vraag ook maar meteen om adresgegevens, telefoonnummer en een geboortedatum.” Allemaal persoonsgegevens dus. De AVG laat je eigenlijk de vraag stellen: heb ik deze data wel nodig? Wat doe ik er mee? Zorg er altijd voor dat je één van de zes grondslagen kunt aanwijzen als een regel waarom je deze data (verplicht) vraagt in een formulier. Eenvoudiger maken dus. Verder mag je een e-mailadres alleen gebruiken voor de specifieke lijst waarvoor iemand zich heeft ingeschreven. Vul jij een eenvoudig contactformulier in? Dan hoor je niet gelijk op de mailinglist te staan; indien je daar niets vanaf weet. Wil je bezoekers die optie geven? Laat ze dan een vinkje zetten bij een duidelijke zin die dat aangeeft.

Daarnaast is het zaak dat je dit alles in je privacy statement beschrijft en bij je formulieren verwijst naar deze verklaring. Hoe ziet zo'n privacy statement er uit? In ieder geval beknopt, transparant en in eenvoudige taal. Tips over je privacyverklaring vind je onder andere bij Frankwatching.

Direct mail

Jawel, de traditionele gedrukte mailing. Qua verwerking van persoonsgegevens gaan dezelfde regels op. Waarbij wel opgemerkt moet worden dat een brievenbus een iets ander gevoel van ‘schending van je privacy’ kent dan je e-mailadres.

Om die reden is het sturen van een geadresseerde direct mail nog steeds toegestaan, mits de ontvanger te allen tijde bezwaar kan maken.

      Ok? Tot slot!

      Wij doen ons best, maar zijn geen specialist in ICT-recht. Baseer dus niet jouw beslissingen op ons verhaal, maar we helpen je graag op weg. De Autoriteit Persoonsgegevens heeft veel informatie beschikbaar (checklist!) en wordt het complexer? Schakel een expert in.

      Eén van die experts is de website Juridox.nl. Hier kun je terecht voor talloze juridische documenten. Je 'klikt' je als het ware door jouw situatie heen. 

       

      Twitter LinkedIn Mail