AVG, grijp die kans

Gepost op 27 maart 2018 door Erik Gosker

Vanaf 25 mei treedt de Algemene Verordening Gegevensbescherming (ook wel de AVG of de GDPR) in werking. Voor die tijd is het belangrijk dat jouw organisatie alles op een rijtje heeft wat betreft privacy en gegevensbescherming. Oh ja, het klinkt heel eng, maar het valt mee. Wij weten dat onze klanten goed op de hoogte en voorbereid zijn. Ben jij dat nog niet? Wel tijd voor maken dan!

Hoewel veel instanties en slimme mensen al schreven over AVG, krijgen wij nog dagelijks vragen. Daarom klom ik in de pen en heb ik onze kijk hierop op papier gezet. Twijfel jij of je klaar bent voor de AVG? Lees dan verder. Eerst zet ik uiteen wat voor jouw website moet gebeuren om te voldoen aan de nieuwe wet- en regelgeving, wij zitten immers in die business, daarna volgt het uitgebreidere stuk dat betrekking heeft op jouw hele organisatie.

Over de AVG
De AVG (de Algemene Verordening Gegevensbescherming), houdt ons flink bezig. We hebben talloze bijeenkomsten, blogs, artikelen, stappenplannen en whitepapers doorgespit over dit onderwerp. En het is best pittig. Er wordt immers verkondigd dat er veel georganiseerd moet worden, met de kans op een boete als je niet goed oplet. 

Wij trekken inmiddels de conclusie dat voor bedrijven die hun klant of doelgroep al op handen dragen het vooral een kwestie is van inzichtelijk maken hoe je met gegevens omgaat. Is ook wel zo klantvriendelijke toch? Weet je, wij zijn zelfs groot voorstander van de AVG! Deze wet dwingt communicerend Nederland om de eigen manier van reclame maken en klantcontact onder de loep te nemen:

  • Welke gegevens verzamel je?
  • Waarom bewaar jij deze?
  • Hoe beveilig je ze?
  • Weet diegenen van wie jij data bewaart, wat hun rechten zijn?

Tijd om op te frissen
Eigenlijk wordt Nederland gevraagd om de datacollectie te evalueren. Is dat nou zo erg? Nee hè? Het is namelijk een mooie kans om bepaalde aspecten van je marketing en communicatie af te stoffen. Als je slim bent, zorg je er dus voor dat je in mei 2018 niet alleen aan de nieuwe wetgeving voldoet, maar vooral ook dat je effectiever kunt communiceren. Grijp die kans!

Als je het handig aanpakt, dan zorgt de nieuwe wet- en regelgeving dat jouw website weer fris en welkom is. De grote online lenteschoonmaak. Wij houden daar wel van!  Als wij je verder nog ergens mee kunnen helpen, dan kun je ons uiteraard bellen. Wij helpen graag.

Wil je verder lezen? Eerst heb ik opgesomd wat wij als leverancier van webapplicaties doen voor onze klanten. Vervolgens een algemene samenvatting over de AVG. Daarna volgt een verwijzing naar De Autoriteit Persoonsgegevens voor het uitgebreide verhaal. En ten slotte nog een conclusie.

  1. Checklist: zo voldoet jouw website aan de AVG
  2. Checklist: dit is wat jij nog meer wilt weten over de AVG
  3. Het AVG-10 stappenplan van De Autoriteit Persoonsgegevens (AP)
  4. Conclusie

1. Checklist: dit doet jouw webbouwer voor jou

Dan eerst het hoofdstuk over wat wij (Motivo) voor onze klanten doen. Van Europa moeten doen! Wij bouwen webapplicaties, sociaal intranetten en websites. Om deze zo goed mogelijk te laten werken slaan wij gegevens op van de bezoekers van elk online platform. Er zijn een aantal dingen die wij op verzoek aanpassen om aan de AVG te voldoen. 

Let op: niet voor iedereen gelden dezelfde stappen. Moet jij nog met jouw website aan de slag? Neem dan contact op met jouw webbouwer. Ik houd het zo kort en bondig mogelijk. Om te voldoen aan de nieuwe privacy-richtlijnen, raden we aan het volgende aan te (laten) passen op jouw website:

Aanpassing op jouw website:
    
1. Privacyverklaring

Inclusief de mogelijkheid om alle remarketing uit te zetten als dat gebruikt wordt.

Je bent verplicht om bezoekers duidelijk te informeren over welke privacygevoelige gegevens je verzamelt en met welk doel. Bezoekers moeten deze eenvoudig kunnen vinden. Wij raden aan een sneltoets in de footer (onderkant van jouw website) te plaatsen en er naar te verwijzen zodra je gegevens verzamelt. Bij een contactformulier, nieuwsbriefmodule of in een webshop bijvoorbeeld.

Vermeld hierin de antwoorden uit het verwerkingsregister. Welke gegevens verzamel jij en waarom? En vul dit aan met de rechten van de bezoeker: hoe kunnen zij de gegevens die over hen bekend zijn wijzigen? 

Let op: Heb je geen idee wat een verwerkingsregister is? Lees dan straks ook hoofdstuk 2

Een bedrijf dat een helder, uitgebreid en goedwerkende privacyverklaring heeft is IKEA >

2. Cookiemelding

De cookiemelding is alleen verplicht als er niet functionele cookies worden bewaard. Wat voor cookies? Niet functionele. Ik leg het je uit:

Functionele cookies:
Dit zijn cookies die ervoor zorgen dat je website goed functioneert (inlog-doeleinden, lettergrootte, taalvoorkeuren, winkelmandjes). Deze cookies worden niet gebruikt om bezoekers te identificeren, maar om de website zo goed mogelijk te laten werken voor de bezoeker. Voor deze cookies is een cookiemelding niet verplicht.

Niet functionele cookies:
Stuur jij advertenties via Google of Facebook naar bezoekers van jouw website? Dan is een cookiemelding wel verplicht. Bijvoorbeeld bij remarketing. Jij slaat gegevens op met als doel om bezoekers later te verleiden tot een aankoop. Ook zonder deze cookies werkt jouw website prima.

Google Analytics
Cookies die je plaatst om het online gedrag te analyseren zijn ook niet functioneel. Deze cookies zijn niet strikt noodzakelijk. Google Analytics valt hier ook onder. Waarschijnlijk moet je dus een cookiemelding toevoegen, want op vrijwel elke website die wordt gemaakt draait Google Analytics. 

Hoewel, een cookie melding is dan weer niet nodig als Google Analytics de enige niet functionele cookie is, én je onderstaande 3 stappen doorloopt:

Log in bij Google Analytics: 

  • Sluit een verwerkersovereenkomst af met Google
  • Zet het delen van gegevens met Google uit

En vraag aan jouw webbouwer:

  • Om het laatste kwartet van de ip-adressen te maskeren

Reinder heeft deze stappen heel duidelijk uitgelegd >

Jullie kunnen er bijna niet omheen dat jullie deze aanpassingen moeten doorvoeren op jullie website. In principe is het jouw verantwoordelijkheid en kun je het zelf. Wil jij dat wij jou daarbij helpen? Bel ons dan even. Dan gaan we voor jou aan de slag. 

In de cookiemelding kun je natuurlijk al je creativiteit kwijt. Maak een cookie-melding die aansluit bij jouw doelgroep. Een bekend voorbeeld hiervan is de cookiemelding op de website van Dumpert >
 

 3. Verwerkingsovereenkomst opstellen

Naast aanpassingen die je moet laten doorvoeren op de website (of andere applicatie) is jouw webbouwer verwerkingsverantwoordelijke om persoonsgegevens te verwerken, daarom heb je een verwerkingsovereenkomst nodig. In de oude wet (Wet bescherming persoonsgegevens (WBP)) wordt dit de bewerkersovereenkomst genoemd. 

De verwerkingsovereenkomst is de overeenkomst waarin wordt vastgelegd hoe jouw leverancier met jullie persoonsgegevens moet omgaan. Het is daarom jullie verantwoordelijkheid dat deze overeenkomst er komt. Op het internet zijn tal van voorbeelden te vinden die jij kunt aanpassen naar een gewenst contract voor jouw organisatie. Is er sprake van grootschalig opslaan van persoonlijke gegevens, dan raden wij aan om met een jurist in gesprek te gaan. Zij kunnen adviseren of een overeenkomst voldoet aan wet- en regelgeving.

Over het algemeen zijn onderstaande onderwerpen in de meeste verwerkingsovereenkomsten terug te vinden: 

  • Welke instructies geven jullie ons mee om de gegevens te verwerken?
  • De notitie dat Motivo de persoonsgegevens niet voor eigen doeleinden mag gebruiken, maar alleen om uitvoering te geven aan de gegeven instructies.
  • Geheimhouding. Ons wordt een geheimhoudingsplicht opgelegd. Ook al is dit genoemd in de algemene voorwaarden van Motivo, het is raadzaam dit ook te benoemen in de verwerkersovereenkomst. 
  • Beveiligingsmaatregelen.Jullie vragen ons om passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beveiligen tegen verlies en misbruik. Desgewenst kunnen wij jullie informeren hoe wij dit momenteel doen, zodat jullie kunnen controleren of dit voldoet aan jullie wensen.
  • Inschakelen van derden en onderaannemers. Wij maken bijvoorbeeld gebruik van derden om jullie data op te slaan en toegankelijk te maken. Deze partijen worden benoemd in de overeenkomst, zodat wij toestemming van jullie hebben om de gegevens te delen. In de overeenkomst wordt vastgelegd of, en onder welke voorwaarden, Motivo subbewerkers mag inschakelen.
  • Als opdrachtgever wil je misschien kunnen controleren of Motivo zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de verwerkersovereenkomst kun je hier met ons nadere afspraken over maken.
  • Aansprakelijkheid. De wet bepaalt dat jouw organisatie kan worden aangesproken als iemand schade lijdt doordat de AVG niet wordt nageleefd. Het is verstandig in de bewerkersovereenkomst heldere afspraken te maken over deze verdeling.
  • Om zeker te zijn dat onze overeenkomsten met derden juridisch juist zijn, leggen wij onze verwerkingsovereenkomst voor bij onze jurist. Werk jij samen met een jurist? Dan raden wij jullie aan om ook in gesprek te gaan over de nieuwe privacywet. 

Als je nog geen verwerkingsovereenkomst hebt dan kun je op internet tal van voorbeelden vinden. Zo heeft Actiz, brancheorganisatie voor zorgaanbieders, een concept verwerkingsovereenkomst voor de zorg gemaakt. Slim Googelen en je vindt vast een voorbeeld voor jouw bedrijf.


4. De e-mailnieuwsbrief

Wat verandert er door de nieuwe wet- en regelgeving voor jouw nieuwsbrief? Per eind mei 2018 moet je twee nieuwe onderdelen in het inschrijfformulier opnemen:

  1. Een exacte beschrijving van het onderwerp van je nieuwsbrief.
  2. De frequentie waarmee je deze nieuwsbrieven wilt gaan versturen. 

Daarnaast moet je kunnen aantonen dat iemand zichzelf heeft aangemeld voor de nieuwsbrief. 

Kortom: leg jij duidelijk vast waar de ontvanger ja tegen zegt? Aan de voorkant moet jij het aanmeldformulier dus aanpassen. Kijk voor een nieuwsbrief aanmelding bijvoorbeeld eens in de footer (onderaan de pagina) van de Consumentenbond: heel beknopt, heel treffend.

Tijd om schoon te maken?
Door de komst van de AVG is dit hét moment om jouw e-maildatabase op te schonen. Ik zou adviseren om alle mensen in je e-maildatabase opnieuw te vragen welke e-mails ze willen ontvangen! Start opnieuw. De online lenteschoonmaak! Bepaal welke nieuwsbrief je gaat versturen. En aan wie. Waarom wil diegene de nieuwsbrief blijven ontvangen? Ga rigoureus met een grote zwabber door jouw database. Breng jouw doelgroep opnieuw helder in beeld en maak jouw nieuwsbrief weer relevant!

Natuurlijk doet het pijn om afscheid te nemen van een deel van je e-maildatabase. Maar zij die wel op je e-maillijsten staan, of zich daarvoor inschrijven krijgen, krijgen de content die zij willen. Zij zijn fan! Met hen kun je een duurzame band op bouwen. Liever één betrokken lezer dan tien mensen die jouw nieuwsbrief direct weggooien toch?

En ook voor het aanmelden van de nieuwsbrief geldt: dit kun je heel creatief doen, zodat jouw boodschap naadloos aansluit op jouw doelgroep. 

Kortom: dit moet jij jouw webbouwer vragen om te doen:

  1. Een privacyverklaring toevoegen aan de website
  2. Een cookiemelding toevoegen aan de website (als er sprake is van niet functionele cookies)
  3. Een verwerkingsovereenkomst ondertekenen
  4. De aanmelding voor de e-mailnieuwsbrief aanpassen

2. Checklist: heb je dit al gedaan?

Jij wilt natuurlijk nog verder lezen over wat jij moet doen om te voldoen aan de nieuwe wet- en regelgeving. Nou, we hebben het voor je samengevat. In het hoofdstuk hierna vind je trouwens de link naar het uitgebreide verhaal van De Autoriteit Persoonsgegevens. Maar in dit hoofdstuk staat samengevat hoe jouw organisatie straks met betrekking tot persoonsgegevens opslaan aan de wet- en regelgeving voldoet. Als dit de eerste keer is dat je het leest, dan raad ik een pot verse koffie en een gevulde koek aan. Succes!

Let op: dit gaat dus verder dan alleen de aanpassingen voor jouw website.

Over de AVG
De nieuwe privacywet AVG gaat over het verwerken van persoonsgegevens. Dit zijn gegevens waarmee je een specifiek persoon kunt identificeren. Dit zijn bijvoorbeeld:

  • Namen, adressen, e-mailadressen, IP-adressen en foto's

Daarnaast is er nog een categorie 'bijzondere persoonsgegevens'. Dit gaat om gevoelige informatie. Volgens de nieuwe privacywet mag je dit soort feiten niet verwerken, tenzij de wet er specifieke toestemming voor geeft. Het gaat om zaken als:

  • BSN-nummer, gezondheid, godsdienst of levensovertuiging, politieke voorkeur, afkomst, seksualiteit, lidmaatschap van een vakbond, strafrechtelijk verleden

Gelukkig verzamelen onze klanten vrijwel geen bijzondere persoonsgegevens. Dat juichen we toe. Gegevens die je niet hebt, kun je immers niet verkeerd gebruiken. Heb je data niet nodig voor jouw bedrijfsvoering, bewaar ze dan ook niet. Bouw je database (ofwel digitaal opgeslagen archief) alleen op met wat je echt nodig hebt. Dan zit je altijd goed.

Oké, er zijn drie dingen die jij moet doen voor de nieuwe privacywet:

1. Houd in een register bij welke gegevens je verzamelt

Dit noemen we het verwerkingsregister

  • Voor klanten noteer je het volgende:
  • Welke persoonsgegevens sla je op?
  • Verdeel ze in categorieën: klanten, prospects, leveranciers etc.
  • Omschrijf je doel, is het echt nodig?
  • Waarom wil je deze data opslaan?
  • Wie kunnen bij de gegevens?
  • Kun je aantonen dat je toestemming hebt om deze gegevens te bewaren?
  • Hoe beveilig je de gegevens organisatorisch en technisch?
  • Hoe lang bewaar je ze?

Vraag je telkens af: is het echt nodig dat ik deze gegevens bewaar? Zo ja, geef dan aan waarom. Zo niet, verwijder de gegevens dan. Als het nodig is kun jij bij ons een voorbeeld van een verwerkingsregister opvragen hoor.

2. Heb je toestemming van jouw klanten?

Voor de AVG is het belangrijk dat je duidelijk van je klant of prospect toestemming krijgt om gegevens te bewaren. Vertel dus wat je bewaart en waarom. De toestemming moet ‘specifiek en geïnformeerd’ zijn. Ofwel: je klant moet precies weten waar hij of zij 'ja' tegen zegt.

Rechten van betrokkenen
Onder ‘geïnformeerd’ valt ook het benoemen van de rechten van de persoon. Jij en ik hebben namelijk rechten, net als de mensen van wie jij data bewaart:

  • Recht op inzage, dat is het recht om jouw persoonsgegevens in te zien.
  • Het recht op vergetelheid, ofwel het recht om ‘vergeten’ te worden.
  • Het recht op dataportabiliteit, het recht om persoonsgegevens over te dragen.
  • Het recht om de persoonsgegevens te wijzigen.
  • Het recht op beperking van de verwerking, dat betekent het recht om minder gegevens te laten verwerken.
  • Het recht met betrekking tot geautomatiseerde besluitvorming en profilering, ofwel het recht op een menselijke blik bij besluiten.
  • Het recht om bezwaar te maken tegen de gegevensverwerking.

Bron: Autoriteit Persoonsgegevens

Zo, wat veel rechten hebben de betrokkenen. Maar het meeste stond ook al in de oude wet hoor. Het komt er op neer dat jij inzichtelijk kunt maken wat jij van iemand bewaart en dat je dit moet aanpassen als iemand dat wilt.

Kortom: als jij de gegevens die jij van mensen bewaart, alleen gebruikt voor het doel dat door die persoon toestemming is gegeven, dan verandert er niet zo veel. Heb je geen toestemming om bepaalde data te bewaren? Vraag dit dan alsnog! Je mag de gegevens namelijk alleen maar gebruiken op de manier waar iemand toestemming voor heeft gegeven.

Bijvoorbeeld: je klant zet een vinkje dat hij of zij de maandelijkse nieuwsbrief wil ontvangen. Dan mag jij niet tegelijk de wekelijks mail met kortingen sturen.

Niet altijd toestemming nodig
Heb je altijd toestemming nodig? Nee, dat niet. En daar is flink voor gelobbyd door allerlei grote organisaties en bedrijven. Naast toestemming, zijn er nog 5 zogenaamde  grondslagen waarmee je het opslaan van gegevens kunt rechtvaardigen:

  1. als de gegevens noodzakelijk zijn voor de uitvoering van een overeenkomst, of zelfs om maatregelen te nemen op verzoek van de klant vóór de sluiting van een overeenkomst;
  2. als het noodzakelijk is om te voldoen aan een wettelijke verplichting;
  3. als het nodig is om de vitale belangen van iemand te beschermen, kwestie van leven of dood of gezondheid bijvoorbeeld;
  4. als het noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan jouw organisatie is opgedragen;
  5. als het noodzakelijk is voor de gerechtvaardigde belangen van jouw organisatie of van een derde, behalve wanneer de belangen of de rechten en vrijheden op het gebied van gegevensbescherming van jouw klant, zwaarder wegen (met name bij een kind).

Zo, dat zijn nog wat uitvluchten hè? Bij veel gegevensverwerkingen is het niet noodzakelijk om toestemming te vragen. De meeste organisaties kunnen zich baseren op een andere grondslag. En die bieden best wat ruimte voor eigen interpretatie. Er valt veel onder gerechtvaardigde belangen voor jouw organisatie namelijk. Er moet toch geld verdiend worden?

Lastig, lastig. Het belangrijkste is dat jij de gegevens van jouw klant goed behandelt. Dat je er zorgvuldig mee omspringt. Vraag je te allen tijde af: is het voor de klant nodig dat ik zijn gegevens heb? Twijfel je? Vraag dan toestemming. Altijd! Zo voorkom je dat jij je moet verantwoorden voor de data die je verzamelt. En het is ook wel zo netjes toch?

Kortom: Verzamel je data?

  1. Vraag toestemming en informeer je betrokkenen over hun rechten
  2. Houd bij hoe je met de data omgaat.
  3. Onderbouw waarom het nodig is dat je data bewaart.

3. Zorg voor een goede beveiliging van data

Investeer in veiligheid, zodat hackers niet bij de gegevens van je klanten kunnen. Worden gegevens gehackt of is ineens je intekenlijst met mailadressen voor de nieuwsbrief zoek? Dat kan gelden als een datalek, en zo’n lek moet jij melden bij het Meldloket datalekken Autoriteit Persoonsgegevens .

Maar liever voorkom je dat. Om aan te tonen dat je alles doet om jouw gegevens te beveiligen sluit je een verwerkingsovereenkomst op met de partijen die jouw gegevens voor je verwerken. Denk aan de leverancier van jouw CRM-pakket, administratie of ledenlijst. En als wij jouw sociaal intranet of website hebben gebouwd dan stel jij deze op met ons!

Zo’n verwerkingsovereenkomst is juridisch wel pittig hoor. En persoonlijk. Uiteraard vertrouw je op de kennis en kunde van jouw leverancier, maar let op: jij bent ook verantwoordelijk. Het is jouw overeenkomst met een derde partij!

4. Specifiek voor onze zorg- en publieke organisaties

Overheden en publieke organisaties, zoals zorg- en onderwijsinstellingen, zijn verplicht om een Functionaris voor gegevensbescherming aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Werk jij bij een overheids- of publieke organisatie, of volgen jullie op grote schaal individuen? Verdiep je dan in het onderwerp Functionaris voor de gegevensbescherming (FG) >

Zo niet, dan is het niet verplicht. Hoewel het raadzaam is om iemand te benoemen dit privacy en gegevensbescherming als aandachtsgebied heeft. Want je laat als bedrijf zien dat jij de privacy van mensen serieus neemt! Als je niemand benoemt, wie voelt zich dan verantwoordelijk?

Is dit alles? Ja, dit is alles. Hoewel je als bedrijf ook verplicht bent om jouw medewerkers over dit onderwerp te informeren. Lijkt me een kleine moeite toch? Als jij de privacy van alle betrokkenen belangrijk vindt, dan moeten jouw collega’s dat natuurlijk wel weten. En zich daarnaar gedragen. Deze stappen vragen in praktijk natuurlijk tijd en aandacht. Dat doe je niet in een uurtje.

Let op: bovenstaande geldt dus niet alleen voor jouw website, maar voor alle persoonsgegevens die jouw bedrijf opslaat!

 

3. Het AVG-10 stappenplan van De Autoriteit Persoonsgegevens (AP)

Zo. Tot zover heb je onze interpretatie van de nieuwe wet- en regelgeving gelezen. Een samenvatting, want we hebben uren besteed om ons te informeren. Een tijdrovende klus, maar we zijn goed op de hoogte. Twijfel jij of je genoeg informatie hebt om jouw organisatie klaar te maken voor de komst van de AVG? Ga dan naar de website van De Autoriteit Persoonsgegevens. Zij hebben een stappenplan opgesteld en geven je een uitgebreide uitleg van de nieuwe wet:

Voorbereiding op de AVG volgens het AP >

Om jou te helpen bij de voorbereiding op de AVG, heeft de AP 'de AVG-regelhulp' ontwikkeld. Door vragen te beantwoorden krijg je een praktisch advies over waar je nog aan moet werken om goed voorbereid te zijn op de AVG. Zeker handig om even te doen:

Naar de AVG-regelhulp >

4. Conclusie

De AVG (de Algemene Verordening Gegevensbescherming), heeft ons flink bezig gehouden. De kranten, de televisie en de sociale media gaan los op dit onderwerp. En dat is logisch: vrijwel iedere organisatie moet immers actie ondernemen. De meeste bedrijven zijn al zo ver. Jij nog niet? Door de stappen te volgen die in deze blog staan denken wij dat jouw organisatie in mei 2018 aan de nieuwe wetgeving voldoet. Aan de slag dus. Het is tijd om schoon te maken!

  1. Houd in een register bij welke gegevens je verzamelt en waarom
  2. Vraag toestemming en bewaar deze gegevens
  3. Communiceer op jouw website welke gegevens je verzamelt en waarom
  4. Zorg dat de data die jij verzamelt en bewaart beveiligd is
  5. Stel verwerkingsovereenkomsten op

Wij schrikken niet van de de veranderingen, maar het is wel belangrijk dat je hier mee aan de slag gaat! De grote online lenteschoonmaak, zodat jouw klanten zich weer warm en welkom voelen. Hét moment om jouw online marketing op te frissen. Wij houden daar wel van.

Als wij jou daarbij kunnen helpen dan horen wij het graag.

×
Motivo

Neem contact op