Algemene Verordening Gegevensbescherming (AVG) in 10 stappen

De termen AVG of GDPR staan voor Algemene Verordening Gegevensbescherming ( of in het Engels: General Data Protection Regulation. ) staan voor de nieuwe Europese privacywet die 25 mei 2018 in werking gaat en gevolgen heeft voor alle webshops, websites e-mailmarketing. Deze privacywet heeft invloed op elke onderneming die persoonlijke data gebruikt van Europese burgers. Als je binnen de Europese Unie e-mailadressen verzamelt en e-mails verzendt, dan moet je per 25 mei 2018 voldoen aan deze wet. Wie hier niet aan voldoet, kan flinke boetes riskeren. ( tot wel 4% van je omzet )

Wat houdt deze wet in grote lijnen in ?

  • Je moet duidelijk zichtbaar een privacyverklaring op je website hebben
  • Je hebt toestemming nodig van de personen van wie je gegevens verzameld
  • Personen van wie je gegevens verwerkt, hebben het recht hun persoonsgegevens in te zien, aan te passen en te verwijderen
  • Je bent verplicht bewerkersovereenkomsten te hebben met alle bedrijven die voor jou persoonsgegevens verwerken
  • Personen van wie je gegevens verwerkt, hebben het recht op indienen van een klacht bij de Autoriteit Persoonsgegevens (AP)
  • Je hebt meldplicht bij datalekken, dat doe je bij het Meldloket datalekken AP

Onderstaand een 10 stappenplan om tijdig aan de AVG te voldoen.

Stap 1. Vernieuw je privacyverklaring

Zorg voor een nieuwe privacyverklaring die helemaal klaar is voor 25 mei 2018. Als je aangesloten bent bij een keurmerk, dan kun je navragen welke rol zij hierin kunnen betekenen. Van Thuiswinkel.org weten we dat zij een handige Privacy Policy generator hebben voor hun leden.

In een privacyverklaring moet in elk geval het volgende beschreven staan:

  • Je bedrijfsgegevens
  • Doeleinden (reden van de verwerking van de persoonsgegevens)
  • Persoonsgegevens (welke persoonsgegevens verwerk je)
  • Recht van toestemming
  • Recht op inzage, aanpassing en verwijdering
  • Beveiligingsmaatregelen
  • Cookies

In dit artikel lees je wat er in je privacyverklaring moet staan.

Stap 2. Privacyverklaring-pagina

De privacyverklaring moet heel eenvoudig te vinden zijn op je website. Geef deze dan ook een geheel eigen pagina, een link in de footer én op elke plek waar je persoonsgegevens verzamelt.

Stap 3. Google Analytics geanonimiseerd gebruiken

Afhankelijk van je instellingen deelt Google Analytics data met Google voor diverse doeleinden. Daarnaast is het mogelijk gebruikers te tracken door middel van een User ID. Zet dit wanneer nodig uit. Google Analytics werkt op basis van IP-adressen, die je kunt herleiden naar personen en dat is daarom niet anoniem.

Om aan de nieuwe wetgeving te voldoen, moet in de cookiemelding te lezen zijn dat cookies pas geplaatst worden als mensen actief aangeven dat ze hiermee akkoord gaan of als ze verder navigeren door de website. Dit laatste is voor nu is de makkelijkste oplossing.
Om Google Analytics privacy vriendelijk te maken. kun je bij de Autoriteit Persoonsgegevens een (pdf) downloaden met een handleiding hiervoor. Wel mis je daarna een aantal handige zaken, zoals de mogelijkheid van remarketing. Wil je deze wel (blijven) gebruiken, dan moet je de bezoeker wel duidelijk vragen om de cookies van jouw website te accepteren. Wil je hiermee geholpen worden? Schakel dan een Google Analytics-expert in.

Let op: dit is alleen nodig als je nog geen goede cookiemelding hebt.

Stap 4. Beveiliging regelen

De opslag en verwerking van gegevens moet op en top beveiligd zijn. Oftewel: een SSL-certificaat is nu echt een noodzaak. De website waar de persoonsgegevens opgeslagen zijn, moet voorzien zijn van de allerlaatste beveiligingsupdates van de gebruikte software en plugin.Heb je nog geen SSL-certificaat? Meteen regelen via je domeinhost of je programmeur.

”Houd de software van je website en de plugins altijd up-to-date.”

Stap 5. Wees glashelder met het verzamelen

Op het moment dat gebruikers persoonsgegevens achterlaten op je website, bijvoorbeeld met een e-mail opt-in, moet voor deze gegevens helder zijn waarom je ze nodig hebt en hoe je ze gaat gebruiken. Je moet bij het verzamelen van gegevens altijd verwijzen naar de privacyverklaring van jouw website of onderneming.

”Beschrijf duidelijk iemand zich voor hij inschrijft, hoe vaak er een mail wordt verstuurd en dat je je heel makkelijk – op elk gewenst moment – weer uit kan schrijven.”

Bovendien moet de opt-in een duidelijke en bevestigende actie zijn. Verwijs bij elke opt-in met een link naar de privacyverklaring.

Voor de duidelijkheid: een opt-in is waar de eigenaar van een e-mailadres expliciet en aantoonbaar toestemming geeft voor het ontvangen van e-mail van een bepaalde mailinglist. Een opt-out daarentegen is exact het tegenovergestelde: waar je je kunt afmelden.

Stap 6. Het recht om vergeten te worden

Accounts en profielen moeten (zo eenvoudig mogelijk) in te zien, aan te passen of te verwijderen zijn. Mensen met een account bij een website kunnen wellicht al een aantal gegevens zelf inzien en wijzigen. Hetzelfde geldt voor e-mailvoorkeuren die gewijzigd kunnen worden binnen programma’s zoals MailChimp. Men moet zich ook specifiek kunnen afmelden voor dataprofilering. Dit is – heel eenvoudig gesteld – het opdelen van de doelgroep in groepen, zodat je deze een nog beter toegespitste boodschap kunt voorleggen, die hoogstwaarschijnlijk eerder leidt tot conversie.

MailChimp doet dat al en geeft dat ook aan in de footer van een nieuwsbrief, er staat dan zoiets als ‘klik hier om jouw profiel te wijzigen’. Dit geldt ook voor het verwijderen van gegevens (het recht om vergeten te worden). In de privacyverklaring moet daarom ook heel staan hoe mensen hun gegevens kunnen wijzigen of verwijderen.

Stap 7. Legale lijsten

Je moet al je e-mail opt-ins ‘registreren’. Achteraf moet je kunnen aantonen hoe je ze hebt verkregen en waarvoor deze personen precies toestemming hebben gegeven. Zo moet je dus onderscheid maken tussen opt-ins die worden verkregen als iemand een bestelling doet en bijvoorbeeld voor opt-ins die verkregen hebt via een pop-up of lead magnet (een gratis aanbod dat je doet aan je bezoeker in ruil voor het e-mailadres van deze bezoeker).

Let op! Kun je dit niet aantonen voor je huidige klantenbestand? Zorg dan nu eerst voor een e-mail met daarin een opt-in voor de daadwerkelijke e-maillijst, van waaruit je vervolgens gaat e-mailen. Alleen mensen die zich dan actief aanmelden zul je mogen blijven mailen. Overigens mag je klanten met wie je een betaalrelatie hebt, nog wel zonder actieve opt-in mailen over soortgelijke producten of diensten (yes!). Zelf zou ik altijd het zekere voor het onzekere nemen, heel transparant blijven communiceren én altijd een heel duidelijke opt-out bieden (mogelijkheid tot uitschrijving).

Tip! Stel een automatische mailing in om de nieuwe abonnees te verwelkomen. Zet hierin een aantrekkelijke (!) welkomsttekst met de informatie dat de ontvanger vanaf nu mail kan verwachten én die duidelijke opt-out. Vergeet daarin niet de links naar al je socialmedia-accounts te vermelden. Misschien wil de ontvanger geen nieuwsbrief van je, maar je wel volgen via social media.

Stap 8. Leg vast hoe lang je persoonsgegevens bewaart

”En vermeld dit duidelijk in de privacyverklaring”

Eigenlijk mag je persoonsgegevens niet langer bewaren dan noodzakelijk voor het doel van je verwerking. Onder het mom van statistische doeleinden kun je deze termijn vrij lang maken. Statistische doeleinden zijn als je de gegevens gebruikt voor bijvoorbeeld de opbouw van je statistieken of onderzoek. Beschrijf dit wel goed in je privacyverklaring. Overigens is dit (nog) een grijs gebied. Volg de berichtgeving over dit onderwerp dus goed.

Stap 9. Verwerkersovereenkomsten

Je hebt een verwerkersovereenkomst nodig met alle partijen die toegang hebben tot de persoonsgegevens die jij verzamelt. Dit is het vervelendste punt van die hele AVG, hoewel het niet nieuw is. De verwachting is dat er veel strenger gecontroleerd gaat worden en ook zijn er een aantal verplichte zaken bijgekomen.

Het betreft dus een overeenkomsten die je afsluit met partijen zoals Google Analytics, MailChimp, je hostingbedrijf, programmeurs, etcetera. De overeenkomst biedt garanties dat de bescherming van de rechten van personen wordt gewaarborgd. Als er problemen ontstaan, kan de verwerker hier verantwoordelijk en aansprakelijk voor zijn.

Maak een lijstje van de partijen waarmee jij samenwerkt inzake de verwerking van persoonsgegevens. Ga na hoe dit eventueel nu is geregeld. Er bestaat een grote kans dat de betreffende partij al zo’n overeenkomst heeft klaarliggen. Is er geen overeenkomst, zorg dan dat dit in orde komt. Er zijn diverse modelovereenkomsten in omloop, zoals deze van Juridox. Veel meer over bewerkingsovereenkomsten lees je bij Justitia.

Lees hier meer over de verwerkersovereenkomst

Stap 10. To-do’s voor je nieuwsbrief

  • Zorg dat alle opt-ins die je hebt binnen je website, shop, social media en landingspagina’s voldoen aan de eisen die hierboven staan beschreven. Vergeet ook je lead-magnets niet!
  • Overbodig om te vermelden eigenlijk, maar toch: je mag iemand natuurlijk niet meer mailen als iemand zich uitschrijft voor je nieuwsbrieven. Als iemand nog geen 16 jaar is, moet iemand met ouderlijk gezag (mede)toestemming geven.
  • Een ‘noreply@’-e-mailadres mag onder de nieuwe wetgeving niet meer. Als je dat nu gebruikt als afzender voor je (nieuwsbrief)mailverkeer, dan moet je dat aanpassen naar een adres waar de ontvanger wel naar kan mailen.
  • Alleen iemands naam en mailadres vallen onder ‘gewone informatie’ die je mag opvragen. Vraag je bijvoorbeeld om een geboortedatum, dan moet je laten weten waarom (een verrassing op je verjaardag). Zulke data niet verplicht moeten zijn om je te kunnen aanmelden.
  • Ga na of de softwareleverancier van jouw nieuwsbrief AVG-proof is (zie ook hieronder)

Dubbelcheck

Je mag verwachten van jouw nieuwsbrief-softwareleverancier dat hij nu of heel binnenkort AVG-proof is. Om zeker te zijn, zou je het moeten nagaan bij de bron, of direct jouw vraag moeten stellen. Mail handler MailChimp heeft in ieder geval al aangegeven dat zij ruim voor tijd AVG/GDPR-proof zullen zijn.

Wanneer moet je iemand informeren?

Deze nieuwe wetgeving vraagt dat je veel informatie verstrekt aan (bijvoorbeeld) je potentiële nieuwe nieuwsbrieflezer. Nergens wordt écht heel duidelijk wanneer je deze informatie moet overleggen, anders dan bij het vragen van toestemming om een bericht te mogen sturen (bij de opt-in dus). Wel heeft de AVG het over een ‘duidelijk vindbare plaats’, ik denk dat we mogen aannemen dat een verwijzing is naar je (up-to-date) privacyverklaring.

quickscan flowonline
Advertentie: Doe de snelle Quickscan van FlowOnline

”Zie de AVG als een kans”

Verder adviseer ik online ondernemers om het als een kans te zien. Hoe dan? Doordat je transparanter in je communicatie naar de klant moet worden, betekent dat ook dat je gerichter én dus persoonlijker zal communiceren. Als je dat op de juiste manier doet, gaat je klant dat ongetwijfeld waarderen.

Download hier de originele PDF van de Autoriteit Persoonsgegevens