Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). Maar wat houdt deze nieuwe privacywetgeving in? En welke acties moet ik als bedrijf ondernemen om hieraan te voldoen? Het zijn vragen die we in toenemende mate op ons afgevuurd krijgen. Het is dan ook de hoogste tijd om hier eens dieper in te duiken.
AVG/GDPR: Wat is het?
De AVG, ook wel GDPR (General Data Protection Regulation) genoemd, is in het leven geroepen omdat momenteel alle lidstaten van de EU een eigen privacywetgeving hebben die dateert uit 1995. Meer dan 20 jaar later werkt de EU op vele fronten nauwer samen en is het internet behoorlijk veranderd, waardoor de oude wetgeving achterhaald is. De AVG zorgt onder meer voor een versterking en uitbreiding van privacyrechten, meer verantwoordelijkheden voor organisaties en stevige bevoegdheden voor alle Europese privacytoezichthouders. Een voorbeeld van deze ‘stevige bevoegdheid’ is de mogelijkheid om, bij overtreding van de AVG, boetes tot 20 miljoen euro op te leggen.
De nieuwe wetgeving is van belang voor iedere organisatie die persoonsgegevens verwerkt. De wet geldt dus ook voor kleine MKB’ers en ZZP’ers die gegevens verwerken. Zoals het bijhouden van afspraken, telefoonnummers en e-mailadressen van klanten of personeelsinformatie.
Moet ik als bedrijf actie ondernemen?
De wet legt meer nadruk op de verantwoordelijkheid van bedrijven. Wanneer de AVG van kracht is heb je als bedrijf dan ook meer verplichtingen betreffende het verwerken van persoonsgegevens. Aan de hand van documenten (bijvoorbeeld een verwerkersovereenkomst) dien je aan te kunnen tonen dat je de juiste organisatorische en technische maatregelen hebt getroffen om aan de nieuwe wetgeving te voldoen.
Dit betekent voor negen van de tien bedrijven dat zij inderdaad actie dienen te ondernemen. Maak voor jezelf een overzicht van alle persoonsgegevens die binnen jouw organisatie voorhanden zijn en ga na met welke bedrijven (dataverwerkers) je deze data deelt. Denk hierbij aan data die opgeslagen en/of verwerkt wordt in je CRM, de e-mailadressen die je opslaat en gebruikt in nieuwsbriefprogramma’s als MailChimp of aan persoonlijke data die je vergaart aan de hand van cookies op je website. Een volgende, concrete stap is om te achterhalen of het verkrijgen van deze data legitiem gebeurt. Is dit niet het geval? Dan is het noodzakelijk dat je als bedrijf actie onderneemt en de benodigde aanpassingen doorvoert. In de volgende alinea’s bespreek ik enkele, veelvoorkomende situaties die nog duidelijker moeten maken waar je als bedrijf allemaal rekening mee dient te houden.
Vergaar jij e-mailadressen?
Hebben personen nadrukkelijk aangegeven dat jouw bedrijf zijn of haar persoonlijke gegevens mag gebruiken voor specifieke doeleinden als het opnemen van een e-mailadres in een nieuwsbriefbestand? Wanneer je websitebezoeker een gratis E-book downloadt en zijn of haar e-mailadres achterlaat, betekent dit namelijk nog niet dat jij het e-mailadres mag inzetten bij nieuwsbrief campagnes.
Zorg bij het vergaren van e-mailadressen te allen tijde dat er een zogenaamde opt-in wordt gegeven door de eigenaar van het e-mailadres. Dit kan aan de hand van een checkbox waarin expliciet vermeldt staat dat de persoon in kwestie met het achterlaten van zijn of haar e-mailadres akkoord gaat met het ontvangen van nieuwsbrieven van jouw bedrijf in de toekomst. Op deze manier neem je als bedrijf je verantwoordelijkheid en mag je de door jou vergaarde e-mailadressen gewoon blijven gebruiken voor het verzenden van nieuwsbrieven.
Gebruik jij ‘cookies’ om websitebezoekers te volgen?
Bij het bezoeken van websites kijken heel wat bedrijven over je schouder mee. Denk aan Facebook, Google en allerlei andere advertentienetwerken. Jouw webgedrag wordt opgeslagen in cookiebestanden; data die deze bedrijven vervolgens weer kunnen inzetten om te verkopen aan bedrijven en marketeers met als doel gericht te kunnen adverteren.
Maakt de website van jouw bedrijf ook gebruik van cookies? Worden de bezoekers van jouw website in dat geval op de hoogte gebracht van het feit dat er persoonlijke data vergaard wordt? Dit is namelijk wel verplicht. Zorg voor een duidelijk omschreven cookiemelding die aangeeft welke specifieke data er verzameld wordt wanneer een bezoeker voor het eerst je website bezoekt. Op deze manier is er niets aan de hand.
Wanneer je persoonlijke cookie-data inzet voor remarketing doeleinden wordt dit profiling genoemd (lees meer over remarketing en retargeting in een van mijn vorige blogs). Denk bijvoorbeeld aan een Facebook Pixel of LinkedIn Insight Tag die registreert of haar gebruikers actief zijn op je website. Informatie die je als bedrijf vervolgens kunt gebruiken om een advertentie in de Facebook- en Instagram tijdlijn te richten op de bezoekers van je website. Hoewel het niet altijd even goed te achterhalen is waarom je een specifieke advertentie in je tijdlijn te zien krijgt, is het volgens de AVG wel verplicht om de eigenaren van deze gegevens hiervan op de hoogte te brengen. Ook dit kun je opnemen in de cookiemelding.
Uiteraard omvat de nieuwe wetgeving nog veel en veel meer. Kijk daarom eens op de website van Autoriteit Persoonsgegevens om alles te weten te komen over de AVG en wat deze nieuwe privacywetgeving met zich meebrengt. Heb je vragen over de AVG of wil je meer te weten komen over de mogelijkheden van remarketing? Neem dan contact met ons op.
