De nieuwe wet AVG, oftewel Algemene Verordening Gegevensbescherming, gaat in op 25 mei 2018. Waarschijnlijk heb je er al over gehoord en gelezen. Wat houdt deze wet nu precies in en hoe moet je hier als bedrijf mee omgaan? In dit blog vind je antwoorden! In dit blog ga ik vooral in op de gevolgen van de AVG voor jouw online activiteiten en programma’s die je hiervoor gebruikt, maar wees je er bewust van dat ook andere interne processen onderhevig zijn aan deze wetgeving.
*disclaimer: Ik ben geen jurist. Ga dus niet blind uit van deze informatie, en zorg dat je goed geïnformeerd beslissingen maakt voor jouw bedrijf. Schakel bij twijfel altijd een jurist in.
Nieuwe wetgeving, Paniek!
Moet je in de stress schieten met de nieuwe wet in het vooruitzicht? Nee, zolang je zorgt dat je voldoet aan de regels is er niets aan de hand. Het doel van de nieuwe wetgeving is om het internet veiliger en transparant te maken voor gebruikers, en om te zorgen dat jouw gegevens niet zomaar meer mogen worden gebruikt zonder dat jij dit weet en hier invloed op uit kunt oefenen. Dit is natuurlijk een goed gegeven. Als bedrijf wil je daarbij natuurlijk eerlijk zakendoen met je (potentiële)klanten en transparant zijn in je bedrijfsprocessen. Voldoen aan deze wetgeving is dan een logisch gevolg en hoeft zeker geen ramp te zijn voor je bedrijf.
Handhaving
Er wordt aangegeven dat er vanaf 25 mei wordt gehandhaafd op deze wet. De vraag is natuurlijk wel hoe praktisch haalbaar dit is, gezien er duizenden bedrijven zijn die moeilijk stuk voor stuk kunnen worden gecontroleerd. Wel is het zo dat als je wordt gecontroleerd en niet voldoet, de boetes niet mals zijn: tot 20 miljoen euro, of 4% van de omzet. Oeps! Zeker zaak om dus te zorgen dat je hier netjes aan voldoet.
Overigens laat de wet nog veel zaken open of vaag. Het komende jaar zal dit meer invulling gaan krijgen, wanneer grote bedrijven gewaarschuwd of beboet gaan worden en er zo dus meer praktische invulling van de wet bekend wordt. Pas als een bedrijf ervoor wordt beboet of gewaarschuwd, zullen we weten of grijze gebieden daadwerkelijk wit of zwart zijn.
Je doet er als bedrijf in ieder geval goed aan om te zorgen dat je je zaken op orde hebt. Voorkomen is beter dan genezen.
Voldoen aan de AVG, in 4 stappen
- Zorg voor een goede privacyverklaring, waarin je aangeeft welke gegevens je verzamelt en met welk doel.
- Zorg dat een persoon altijd een aanvraag tot inzage van de verzamelde gegevens kan doen en bied de mogelijkheid tot verwijderen hiervan.
- Zorg ervoor dat je een overzicht hebt van alle partijen die namens jou gegevens verwerken (zoals bijvoorbeeld je crm pakket, e-mailpakket of een analytische tool). Naast dat je dit gedocumenteerd hebt, sluit je een verwerkersovereenkomst met deze partijen, waarin je aangeeft welke gegevens jij met hen deelt en waarom.
- Zorg voor goede beveiliging van je gegevens, en dus ook van je website.
Privacyverklaring
Naast dat het vermelden van het gebruik van cookies al even verplicht is op een website, is ieder bedrijf nu ook verplicht om te vermelden welke gegevens zij specifiek verzamelen over personen, hoe zij deze gegevens bewaren, waarom ze dit doen en of ze deze gegevens delen met eventuele andere partijen. Voor een bezoeker van de website moet het duidelijk zijn welke gegevens er over hem of haar worden verzameld en met welk doel. Daarbij heeft de bezoeker altijd het recht om deze gegevens in te zien, aan te passen of te verwijderen wanneer gewenst.
Je privacyverklaring zet je op je website en maak je inzichtelijk voor iedere bezoeker, net zoals je algemene voorwaarden. Je stuurt deze ook, samen met je algemene voorwaarden mee naar nieuwe klanten.
Persoonsgegevens?
Onder persoonsgegevens valt informatie die te herleiden is naar een specifiek persoon. Denk hierbij aan een naam, email-adres, geboortedatum, telefoonnummer, geslacht, etc.
Er zijn verschillende soorten gegevens die je kunt verzamelen. Je vraagt bijvoorbeeld een adres en factureringsgegevens omdat je die nodig hebt om een factuur te kunnen sturen naar je klanten. Je bent zelfs verplicht deze gegevens te registreren voor de belastingdienst, en daarbij kun je zonder adres geen pakket versturen naar een klant. In dit geval zijn deze gegevens zijn dus gerechtvaardigd om te verzamelen voor het uitvoeren van je werkzaamheden als bedrijf.
Maar je kunt ook iemands adres verzamelen om te bepalen uit welk geografisch gebied jouw klanten komen om hier analyses op uit te voeren (zoals bijvoorbeeld de caissière die je postcode vraagt voor hun systeem). Dit zijn gegevens waar de bezoeker zelf expliciet toestemming voor moet geven en welke je dus niet ongevraagd mag verwerken.
Je kunt dus een onderscheid maken tussen gegevens die je gebruikt omdat je dat moet om je bedrijf te kunnen runnen (zoals dat pakketje versturen) en gegevens die je daarnaast verzamelt voor analytische- en marketingdoeleinden. En ook binnen die laatste categorie kun je onderscheid maken in de mate van privacygevoelige gegevens. In je Privacyverklaring zorg je ervoor dat je al deze gegevens opsomt, met de reden waarom en hoe je deze gegevens verwerkt. Je vermeld daarbij ook hoelang je deze gegevens bewaart en waar mensen kunnen opvragen wat jij over hen hebt verzameld.
Bewerkersovereenkomst
Met partijen die namens jouw je gegevens verwerken, moet je een overeenkomst sluiten. Grote partijen als Google (voor onder andere Analytics, Adwords en Gmail) en Microsoft bieden deze al aan binnen je account. Ook mailingprogramma’s en CRM systemen moeten voldoen aan de GDPR regels wanneer zij Europese klanten hebben, en zullen vaak ook zelf al een overeenkomst aanbieden.
Https
Met een SSL certificaat zorg je ervoor dat alle gegevens die via jouw website worden verstuurd, versleuteld en veilig worden verstuurd. Je ziet dit aan de https:// voor je website en een groen slotje in de balk. Veel website hebben dit al geïmplementeerd. Als je dit nog niet hebt geïmplementeerd en je hebt een contactformulier op je website staan, dan moet je dit voor eind mei doen. Google gaat websites die geen gebruik maken van https na 25 mei weergeven als onveilig, of zelfs blokkeren. Dit is natuurlijk funest voor je gebruikerservaring, maar ook nog voor je SEO score. Zeker doen dus!
Cookies
Wanneer je gegevens verzamelt op je website, ben je verplicht een cookiemelding in te stellen. Gebruikers moeten hiervoor ook actief toestemming geven, de melding “Op deze website zijn cookies actief, als u verder gaat accepteert u deze automatisch” valt binnen het grijze gebied en is dus af te raden. In de Cookiemelding geef je beknopt aan dat je cookies gebruikt, en in je cookiebeleid geef je aan welke soort cookies je gebruikt en voor welke doeleinden. Daarnaast moet je in de privacyverklaring ook ingaan op hoe eventuele derde partijen omgaan met deze gegevens en of je er een bewerkersovereenkomst mee hebt.
Een cookiemelding met een opt-in (een akkoord knop) is aan te raden. Er wordt op dit moment gewerkt aan een aanvullende wetgeving specifiek voor e-privacy. Deze is voorlopig nog uitgesteld, maar gaat in een later stadium wel komen. Hier wordt dan ook verder ingegaan op hoe je cookies mag gaan verzamelen en op welke manier je toestemming moet vragen aan je bezoekers. Totdat dit helemaal duidelijk is, kun je op de hier vermeldde manier te werk gaan.
Online adverteren
Wanneer je gebruikt maakt van online advertentieplatformen, waarvan Google en Facebook het meest bekend zijn, heeft dit ook gevolgen. Wanneer je alleen adverteert op basis van de interesseprofielen van Facebook zelf of door middel van de zoekopdrachten binnen Google, kan dit zonder dat jij de mensen die deze advertentie te zien krijgen toestemming hoeft te vragen. Je kent deze mensen immers niet voor ze jouw advertentie zien, dus kun je ze moeilijk om toestemming vragen. Facebook en Google moeten in dit geval wel toestemming vragen aan de gebruikers om hun voorkeuren op te slaan (Facebook) of hun zoekopdrachten op te slaan (Google). Jij bent in dit geval een gebruiker van hun diensten en bent niet verantwoordelijk voor het gebruik van deze gegevens.
Anders wordt het wanneer een bijvoorbeeld de Facebook pixel of Adwords tracking op je website installeert en hiermee gebruikers gaat volgen op je website om conversies te meten of om gebruik te maken van retargetting. Hier gebruik jijzelf de gegevens van je bezoekers en verschaf je deze vervolgens weer aan Google en/of Facebook om nieuwe advertentiedoelgroepen te maken. Hiermee ben jij de verzamelaar en dus verantwoordelijk voor toestemming van de gebruiker.
Zoals eerder gezegd zou je volgens de nog nieuw in te voeren e-privacy wetgeving een officiële opt-in moeten hebben voor alle diensten die je gebruikt op je website. Dit gaat alleen leiden tot een formulier met enorm veel vakjes, waarvan de gemiddelde consument geen idee heeft waar het voor is. Dit is niet werkzaam. De regels hieromtrent zijn op dit moment nog niet praktisch genoeg in de uitvoering, hoe je dit moet regelen is nog een grijs gebied. De tijd, en komende juridische processen van grote bedrijven, zullen aantonen wat van dit grijze gebied gaat veranderen in wit en wat en zwart.
Voorlopig volstaat een cookiemelding (wel met ja of akkoord knop) en daarbij een duidelijke verwijzing naar je cookiebeleid en je privacyverklaring. Ook is het zaak zo goed mogelijk te proberen te voldoen aan de AVG. Zorg dat je documenteert wat je regelt en houd dit netjes bij. Zo lang je kunt aantonen dat je er bewust mee bezig bent geweest en dat je de nodige stappen hebt ondernomen, zit je waarschijnlijk gewoon safe.
E-mail nieuwsbrieven
Email nieuwsbrieven zijn ook onderhevig aan de nieuwe wetgeving. Je mag mensen niet zomaar meer benaderen zonder toestemming. Dit onderwerp is redelijk uitgebreid en wordt besproken in een apart blog hierover. Dit blog kun je hier vinden.
Wil je advies op hulp bij het uitvoeren van bovenstaande stappen? Neem dan contact met me op en ik help je hierbij!