Algemene verordening gegevensbescherming (AVG 2018)

Dit blogbericht is geschreven door onze partner in Online Marketing: Monkeybridge.nl. Bekijk het originele bericht op de website van Monkeybridge door te klikken op deze link: Algemene verordening gegevensbescherming (AVG 2018)

Vanaf 25 mei 2018 is er een nieuwe privacywet geldig: de Algemene verordening gegevensbescherming (AVG).

Vanaf dat moment is de privacywetgeving voor iedereen in de Europese Unie hetzelfde. Nu is de Wet bescherming persoonsgegevens (Wbp) van kracht, maar deze zal geüpdatet, aangepast en ingezet worden voor de gehele EU.

De Wet bescherming persoonsgegevens is gebaseerd op de EU-privacyrichtlijn. Deze richtlijn stamt uit 1995 en is inmiddels redelijk verouderd.

Met de komst van marketing automation en de mogelijkheden in email marketing hebben er grote veranderingen plaatsgevonden in het opslaan van data van klanten.

Om deze persoonlijke gegevens beter te beschermen is er besloten om vanaf 25 mei 2018 de nieuwe privacywet, Algemene verordening gegevensbescherming, te laten gelden.

Tot 25 mei 2018 geldt er een bufferperiode waarin bedrijven hun data en functionaliteiten kunnen aanpassen. Let op: dit dient ook met terugwerkende kracht te gebeuren!

Wanneer de bufferperiode is afgelopen, bestaat er een risico op sancties voor de organisaties die niet voldoen aan de Algemene verordening gegevensbescherming verandering. Deze sanctie kan oplopen tot wel 4% van de wereldwijde omzet, hierover later meer.

Voorbeeld en checklist

Benieuwd of dit voor jouw website relevant is?

Hieronder vind je een korte checklist, waarmee je kan achterhalen of jouw organisatie al voldoet aan de nieuwe eisen. Zo niet, dan is het noodzakelijk om spoedig actie te ondernemen.

1. Maak jij gebruik van e-mail marketing en/of marketing automation?
2. Bevat iedere opt-in een checkbox, of andere functionaliteit, waarbij een persoon bewust een actie moet uitvoeren om akkoord te gaan met het opslaan en verwerken van data?
3. Is er een privacy statement aanwezig waarin gedetailleerd en in Jip en Janneke taal wordt uitgelegd welke data wordt opgeslagen en waarom?
4. Is er per opt-in opgeslagen wanneer hij/zij akkoord heeft gegeven en is daarbij ook duidelijk waarop hij/zij akkoord heeft gegeven? Dit geldt ook voor opt-ins uit voorgaande jaren.
5. Ben je in staat om een persoon inzicht te geven in zijn/haar opgeslagen gegevens wanneer hij/zij deze opvraagt?
6. Is een persoon op eenvoudige wijze in staat om zijn/haar voorkeuren gemakkelijk te wijzigen?

Als je een van deze vragen met nee beantwoord hebt, dien je een wijziging door te voeren. Twijfel je over een van de vragen of heb je hulp nodig bij het doorvoeren van de wijzigingen? Neem dan contact op met ons op.

De verandering: Algemene verordening gegevensbescherming

De nieuwe Algemene verordening gegevensbescherming is in te delen in 3 categorieën en is een update van de oude Wdp.

De 3 categorieën:

1. Informatief
2. Verantwoordingsplicht
3. Aanvullende rechten

Informatief

Bedrijven hebben de plicht om mensen gedetailleerd en in Jip en Janneke taal vooraf te informeren over de data die zal worden vastgelegd en verwerkt.

Dit houdt in dat een automatisch geselecteerde checkbox, waarbij een persoon nauwelijks in de gaten heeft dat hij/zij akkoord gaat met de vastlegging data, niet meer in lijn is met de nieuwe wetgeving.

Daarnaast moet in begrijpelijke taal beschreven staan wat er met de data gebeurt. Een mooi en uitgebreid voorbeeld hiervan is de privacy statement pagina van RTL of de privacy statement van mediamarkt.

Kortom:

• Trucjes worden niet geaccepteerd, een persoon moet bewust akkoord geven voor het vastleggen van data.
• Zeer specifiek en in Jip en Janneke taal moet er omschreven worden wat er wordt vastgelegd en waarom. Maak je bijvoorbeeld gebruik van Instagram retargetting, dan dient dit specifiek uitgelegd te worden.
• Iedereen moet gemakkelijk terug kunnen vinden welke data wordt vastgelegd, voor welk doel dit wordt vastgelegd en voor welke periode.

Verantwoordingsplicht

In de AVG 2018 wordt meer druk gelegd op organisaties om privacy risico’s te minimaliseren en verantwoording af te leggen met betrekking tot het vastleggen van data. Zo hebben organisaties een documentatie- en bewijsplicht.

Dit houdt in dat alle data die wordt vastgelegd – vaak verspreid over diverse systemen – voor iedereen die daarom vraagt inzichtelijk moet zijn.

Er zal dus zorgvuldig nagedacht moeten worden over de data opslag:

• Welke data wordt opgeslagen?
• Waar en hoe wordt de data opgeslagen?
• Is alle benodigde data conform de AVG opgeslagen?
• Is de data door de gebruiker gemakkelijk op te vragen, te wijzigen en te verwijderen?

Aanvullende rechten

Naast de aangescherpte lijst met eisen en wensen die gelden voor organisaties, krijg je als gebruiker dankzij de komst van AVG 2018 aanvullende rechten. Zo kun je als gebruiker jouw persoonlijke informatie opvragen, inzien. Mocht je het idee hebben dat een bedrijf zijn zaakjes niet op orde heeft, of je gegevens misbruikt worden, dan heb je de mogelijkheid een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Veel gestelde vragen

Geldt dit ook voor mijn oude lijsten en opt-ins?

Om meteen to-the-point te komen: Ja. Met terugwerkende kracht dien je oude contacten alsnog om akkoord te vragen voor het opslaan en gebruiken van de data. Wil je deze contacten nog kunnen gebruiken, dan dien je voor 25 mei 2018 alsnog akkoord te krijgen.

Hoe groot zijn de consequenties?

De nieuwe wetgeving is bedoeld om strakkere richtlijnen te geven. Er zal waarschijnlijk dus ook beter op gecontroleerd worden of de regels worden nageleefd. Daarmee zijn de consequenties ook groter. Er zijn 2 consequentie-categorieën, afhankelijk van de overtreding:

• Een organisatie voldoet niet aan bepaalde verplichtingen, zoals de documentatieplicht. Hierop staat een boetemaximum van 10 miljoen euro of 2% van de wereldwijde jaaromzet.
• Een organisatie overtreedt een van de beginselen, grondslagen of privacy rechten. Hierop staat een boetemaximum van 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Serieuze bedragen dus!

Welke data moet er extra opgeslagen worden bij een opt-in?

Per opt-in dien je vanaf nu op te slaan exact waarop er akkoord is gegeven en wanneer dat gedaan is. Heb je deze gegevens niet tot je beschikking dan is de opt-in ongeldig.

Is de AVG in de basis niet hetzelfde als de oude privacywet?

Ja. Grotendeels is de AVG gebaseerd op de oude privacywet, maar is deze wel flink aangescherpt. Zo wordt het veel transparanter waar organisaties de data voor gebruiken en wordt het ook belangrijker voor organisaties om deze regels na te leven.

Hoe nu verder?

Voor nu is het zaak om na te gaan of jouw organisatie voldoet aan deze eisen, zowel aan de voorkant van de website als aan de achterkant bij het opslaan van de data.

Is dit niet het geval dan dien je de geconstateerde problemen zo snel mogelijk (voor 25 mei 2018!) op te lossen.