Privacywetgeving AVG: dit moet je weten en doen vóór 25 mei
Ben jij al klaar voor de Europese privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG) ofwel General Data Protection Regulation (GDPR)?
Vanaf 25 mei 2018 is deze nieuwe wet van toepassing. Dit zorgt ervoor dat bedrijven moeten voldoen aan nieuwe, strenge regels met betrekking op de privacy.
Het niet naleven van de nieuwe regelgeving kan zorgen voor flinke boetes, oplopend tot 20 miljoen euro. Een Europees Comité zal toezien op de juiste toepassing van de AVG.
Benieuwd wat er precies gaat veranderen en wat dat voor jouw bedrijf betekent? We leggen het je uit in deze blog.
Wat houdt de privacywet AVG in?
In de AVG staan nieuwe, herziene richtlijnen voor het verzamelen van data. Deze wet is in het leven geroepen om de privacy van burgers beter te waarborgen. Deze privacywet heeft impact op een hoop marketingactivteiten van bedrijven op het gebied van verwerking van persoonsgegevens.
Waarom? Omdat je als bedrijf natuurlijk graag de gegevens van potentiële klanten verzamelt. Met een e-mailadres bijvoorbeeld kun je die potentiële klant bereiken via mailings, remarketing en andere marketinguitingen. Maar vanaf 25 mei 2018 zijn hier dus strengere regels aan verbonden.
Persoonsgegevens, wat zijn dat?
Bedrijven mogen alleen persoonsgegevens vastleggen die ze daadwerkelijk nodig hebben én waar expliciet toestemming van de gebruiker voor is gekregen. Onder deze persoonsgegevens valt straks onder andere: bestanden met namen, adressen en dergelijke en ook gegevens gekoppeld aan IP-adressen, MAC- adressen, cookies en dergelijke.
Deze persoonsgegevens mogen alleen worden bewaard zolang de organisatie ze nodig heeft, daarna moeten ze worden opgeruimd. Ook op verzoek van de gebruiker moeten deze gegevens kunnen worden verwijderd. Dit wordt ook wel het recht om vergeten te worden genoemd.
Strengere eisen e-mail opt-in
Ook de opt-in moet vanaf 25 mei aan strengere eisen voldoen. Wat is dat ook alweer, opt-in? Bij opt-in geeft de eigenaar van het e-mailadres expliciet en aantoonbaar toestemming voor het ontvangen van e-mails van een bepaalde organisatie.
Wat verandert er aan de opt-in? De actie moet worden bevestigd door de gebruiker. Het is dus niet meer toegestaan om automatisch de checkbox (bijvoorbeeld voor aanmelding voor de nieuwsbrief) aan te vinken in een formulier. Ook moet de opt-in duidelijk worden uitgelegd en optioneel zijn.
De belangrijkste veranderingen hebben vooral te maken met de registratie, opslag en beheer van de persoonsgegevens. Bedrijven moeten verplicht kunnen aantonen dat er is voldaan aan alle eisen van de e-mail opt-in. Het is dus belangrijk om vast te leggen hoe en wanneer de opt-in is verkregen.
Trackingcodes op je website
De data die via trackingcodes (bijvoorbeeld Google Analytics, de Facebook pixel en LinkedIn insights tag) verzameld worden, vallen in veel gevallen ook onder de AVG. Dit komt omdat de persoon door aanvullende informatie herleid kan worden en individualiseerbaar is.
Cookies
Gebruik je Google Analytics? Dan verwerk je met analytische cookies persoonsgegevens. Het is belangrijk dat je websitebezoekers hierover informeert en (in ieder geval na 25 mei) toestemming vraagt voor het plaatsen van deze cookies.
Voorlopig is een cookie-melding om de gebruiker om toestemming te vragen genoeg. Let er wel op dat het straks niet meer voldoende is om enkel te zeggen: “Wij gebruiken cookies om je een optimale gebruikerservaring te bieden. Klik hier om akkoord te geven.”. Dit is een te vage, algemene tekst. Het moet voor de gebruiker duidelijk zijn waarmee hij of zij precies akkoord gaat.
In het voorbeeld van 9292 hierboven is te zien dat deze website gebruik maakt van verschillende cookies. Namelijk functionele cookies, analytische cookies en advertising cookies. Daaronder is per soort cookie uitgelegd waarom 9292 hier gebruik van maakt.
Remarketing
Remarketing is het opnieuw benaderen van personen, bijvoorbeeld via social media als Facebook. Dit kan onder andere remarketing op basis van websitebezoek zijn of op basis van een e-mailadres. Het is namelijk mogelijk om je eigen data te uploaden naar de advertentieplatformen van Facebook, LinkedIn en Google AdWords. Het delen van e-mailadressen met deze platformen, voor het maken van een aangepaste doelgroep of vergelijkbare doelgroep, zal verboden zijn zonder toestemming van de eigenaar van het e-mailadres.
Hotjar en andere tools
Met Hotjar kun je opnames maken van websitebezoeken. Zo kun je analyseren hoe mensen door je website navigeren. Super handig! Maar ook hierbij worden persoonsgegevens opgeslagen. Het is daarom belangrijk dat je alle persoonlijk identificeerbare data uit de user recordings houdt. Dat doe je door geen opnames te maken van formulieren en andere pagina’s waar persoonsgegevens te vinden kunnen zijn, zoals bevestigingspagina (bijvoorbeeld in een webshop).
Een Data Protection Officer aannemen?
Bedrijven die jaarlijks grote hoeveelheid data van personen verwerken worden verplicht om een Data Protection Officer (DPO) aan te nemen. Hij of zij moet erop toekijken dat het bedrijf de data bewaart en verwerkt volgens de regels van de AVG.
Data van derden
Verwerkt jouw bedrijf data van derden, bijvoorbeeld data van klanten van jouw klanten? Let er dan op dat je ook voor die data verantwoordelijk bent. Het is belangrijk dat bedrijven inventariseren welke data allemaal door derden is in te zien.
Beveilig je apparaten en voorkom een datalek
Waar sla jij je documenten op? Lokaal, op je eigen servers of in de cloud? Maak liever geen gebruik van lokale opslag zoals externe schijven en USB-sticks. Bij verlies of diefstal moet een apparaat namelijk op afstand gewist kunnen worden.
Sinds 2016 bestaat in Nederland de meldplicht datalekken. Hier verandert weinig aan bij de AVG. Het is verplicht om alle datalekken intern te documenteren. Verwerk je ook privacygevoelige data voor derden? Dan is het straks ook verplicht alle datalekken bij de derden te melden.
AVG: Waar moet je beginnen?
De Autoriteit Persoonsgegevens ontwikkelde een handig stappenplan om je voor te bereiden op de AVG. De eerste stap is bewustwording. Na het lezen van dit artikel heb je de eerste stap dus al gezet!
Maar wat nu? Stel een team samen en ontwikkel een AVG plan. Bekijk welke persoonsgegevens je nu al registreert en ga na in hoeverre je wel of nog niet aan de AVG voldoet. Breng de impact in kaart en start met het herinrichten van processen om zo te kunnen voldoen aan de nieuwe eisen.
Disclaimer
Dit artikel is geschreven op basis van op dit moment (10 april 2018) beschikbare informatie. Het doel van dit artikel is bedrijven en organisaties bewust te maken van de veranderingen door de nieuwe privacywet en om hen te stimuleren zo snel mogelijk aan de slag te gaan met AVG. Meer informatie vind je op de website van Autoriteit Persoonsgegevens.