GDPR

GDPR: krijg jij in mei 2018 een dikke boete?

/in , , /door

Vanaf 25 mei 2018 geldt er in heel Europa een nieuwe privacywet: de Algemene Verordening Gegevensbescherming (AVG) ofwel General Data Protection Regulation (GDPR). Alle bedrijven in de hele Europese Unie (EU) moeten vanaf die datum voldoen aan nieuwe strenge regels met betrekking op de privacy. Wat verandert er en wat betekent deze nieuwe privacywet voor jouw bedrijf? We leggen het je uit in dit artikel.

Belangrijkste verandering vanaf 25 mei 2018:
Organisaties mogen alleen persoonsgegevens vastleggen die ze daadwerkelijk nodig hebben en waar expliciet toestemming van de gebruiker voor is gekregen. Deze gegevens mogen alleen worden bewaard zolang de organisatie ze nodig heeft, daarna moeten ze worden opgeruimd. Ook op verzoek van de gebruiker kunnen deze gegevens moeten worden verwijderd.

Het is daarom zeer belangrijk (en verplicht!) om de persoonsgegevens op de juiste manier te registreren, op te slaan en te beheren. Het niet naleven van de nieuwe regelgeving kan zorgen voor boetes oplopend tot 20 miljoen euro.

Organisaties krijgen een verantwoordingsplicht, wat inhoudt dat zij met documenten moeten kunnen aantonen dat ze de juiste organisatorische en technische maatregelen hebben getroffen om aan de AVG te voldoen. In sommige gevallen is het verplicht een Data Protection Officer aan te nemen.

Wat houdt de nieuwe privacywet GDPR in?

In de GDPR staan nieuwe, herziene richtlijnen voor het verzamelen van data. Deze wet is in het leven geroepen om de privacy van burgers in de EU beter te waarborgen. De AVG heeft impact op een hoop marketingactiviteiten van bedrijven op het gebied van verwerking van persoonsgegevens.

Natuurlijk verzamel je als bedrijf graag gegevens van potentiële klanten, zoals e-mailadressen, om ze zo op te kunnen nemen in mailing- en remarketinglijsten die je gebruikt voor je marketinguitingen. Vanaf 25 mei 2018 zijn hier dus strengere regels aan verbonden.

Het begrip ‘persoonsgegevens’ verandert

Met de komst van de nieuwe wet verandert de definitie van het begrip ‘persoonsgegevens’. Hieronder valt straks: bestanden met namen, adressen en dergelijke en ook gegevens gekoppeld aan IP-adressen, MAC- adressen, cookies en dergelijke. Al deze gegevens moeten worden behandeld als privacygevoelig.

Ook nieuw: zodra je bepaalde persoonsgegevens niet meer nodig hebt dan mag je ze niet bewaren. Je moet dus actie ondernemen om die data op te ruimen.

Het recht om vergeten te worden

Personen kunnen om inzage in hun eigen gegevens vragen. Daarnaast kunnen ze een verzoek insturen om hun gegevens te laten verwijderen. Dit wordt ook wel het recht om vergeten te worden genoemd.

E-mailmarketing en opt-in

Op dit moment moeten bedrijven zich houden aan de Wet Bescherming Persoonsgegevens, maar de AVG wordt een stuk complexer. Zo worden er aan de verplichte e-mail opt-in strengere eisen gesteld.

Wat is opt-in?

Bij opt-in geeft de eigenaar van het e-mailadres expliciet en aantoonbaar toestemming voor het ontvangen van e-mails van een bepaald bedrijf. Om te voorkomen dat mensen e-mailadressen invullen die niet bestaan of van een ander zijn maken veel bedrijven ook gebruik van een dubbele opt-in. Hiermee moet de gebruiker de toestemming dubbel bevestigen, bijvoorbeeld door op een link in een activatiemail te klikken. Een dubbele opt-in is niet verplicht volgens de GDPR wetgeving.

Wat verandert er?

Vanaf 25 mei 2018 moet de opt-in voldoen aan strengere eisen. Zo moet de actie worden bevestigd door de gebruiker. Het is dus niet meer toegestaan om automatisch de checkbox (bijvoorbeeld voor aanmelding voor de nieuwsbrief) aan te vinken in een formulier. Ook moet de opt-in duidelijk worden uitgelegd en optioneel zijn.

De belangrijkste veranderingen hebben te maken met de registratie, opslag en beheer van de persoonsgegevens.

Bedrijven moeten verplicht kunnen aantonen dat er is voldaan aan alle eisen van de e-mail opt-in. Het is dus belangrijk om in een database vast te leggen hoe en wanneer de opt-in is verkregen!

Data Protection Officer

Bepaalde bedrijven (die jaarlijks grote hoeveelheid data van personen verwerken) worden verplicht om een Data Protection Officer (DPO) aan te nemen. De DPO moet erop toekijken dat het bedrijf de data bewaart en verwerkt volgens de regels van de GDPR.

Toegang tot data van derden

Ook voor de data die je toegankelijk maakt voor derden ben je verantwoordelijk. Dit geldt bijvoorbeeld voor Think Online omdat wij in sommige gevallen data verwerken van onze klanten. Het is belangrijk dat bedrijven inventariseren welke data allemaal door derden is in te zien.

Trackingcodes

De data die via trackingcodes (bijvoorbeeld Google Analytics) verzameld worden, vallen in veel gevallen ook onder de AVG omdat de persoon door aanvullende informatie herleid kan worden en individualiseerbaar is.

Officieel moet duidelijk worden vermeld welke data wordt verzameld en voor welke doeleinden deze gegevens worden gebruikt. Op veel websites zie je daarom een cookiewall of een impliciete opt-in waarbij je akkoord gaat met de tracking bij verder gebruik van de site. Maar dat is straks niet meer voldoende.

Google Analytics

Gebruik je Google Analytics? Dan verwerk je met analytische cookies persoonsgegevens. Zorg daarom dat je je websitebezoekers hierover informeert en om toestemming vraagt.

Vraag je geen toestemming? Dan kun je ook zelf stappen ondernemen om Google Analytics privacyvriendelijk te maken, onder andere door ‘gegevens met Google delen’ niet te activeren in je account. Alle stappen om Google Analytics privacyvriendelijk te maken vind je hieronder:

  1. Bewerkersovereenkomst met Google afsluiten
  2. Google niet het volledige IP-adres laten verwerken (Anonymize IP)
  3. Gegevens delen met Google uitzetten
  4. Informeren over gebruik Analytics

We adviseren bedrijven om de websitebezoekers toestemming te vragen voor het verwerken van persoonsgegevens met Google Analytics. Het nadeel van Google Analytics privacyvriendelijk maken is namelijk dat de locatiedata in je Analytics account minder nauwkeurig worden.

Profiling

Profiling is het verzamelen, analyseren en combineren van gegevens met als doel iemand in te delen in een bepaalde categorie of profiel. Wanneer de nieuwe wetgeving van kracht gaat moeten organisaties benoemen welke vormen van profilering worden toegepast, met de daarbij behorende consequenties voor deze mensen. Ook remarketing, waarbij je personen opnieuw benadert, valt hieronder.

Advertentieplatformen zoals Facebook en Google

Veel advertentieplatformen zijn natuurlijk gebouwd op profiling, om zo specifieke doelgroepen te kunnen targeten. Ook is het vaak (bijvoorbeeld bij Google AdWords, LinkedIn en Facebook) mogelijk om eigen data, zoals e-mailadressen, te uploaden om remarketing campagnes in te stellen en look-a-like doelgroepen mee te maken. Bij deze advertentieplatformen is het op dit moment niet mogelijk om één persoon uit de remarketing doelgroeplijst te verwijderen, wat wel nodig is om aan de nieuwe regelgeving te voldoen.

Het delen van e-mailadressen met Google en Facebook, voor een aangepaste doelgroep of vergelijkbare doelgroep, zal verboden zijn zonder toestemming van de eigenaar van het e-mailadres.

Daarnaast worden advertenties vaak ingesteld op basis van retargeting van websitebezoekers. Facebook en LinkedIn zullen ook strenger naar je website gaan kijken om de privacy van bezoekers te beschermen. Facebook en LinkedIn gaan in de toekomst waarschijnlijk alleen advertenties goedkeuren, wanneer die linken naar een website met een cookiebar die voldoet aan de nieuwe privacyregels. In de cookiebar moet een beknopte en duidelijke verklaring staan met een link naar een meer gedetailleerd privacybeleid.

In het gedetailleerde privacybeleid moet precies staan waarvoor de gegevens worden gebruikt, welke gegevens worden gebruikt en een belofte dat de gegevens nergens anders voor worden gebruikt.

Gebruikers van de website moeten toestemming (of niet) geven in de cookiebar. In de cookiebar (maar ook bij bijvoorbeeld nieuwsbrief-inschrijvingen) moeten de gebruikers van die actie op de hoogte worden gesteld.

Wil je blijven adverteren op Facebook en LinkedIn? Ons advies is om je website aan te (laten) passen zodat-ie voldoet aan het nieuwe privacybeleid.

Meer weten over de gevolgen van het nieuwe privacybeleid voor adverteren op Facebook? Lees het beleid van Facebook: toestemming en bezoekers van je website.

Google AdWords campagnes

Op de ‘gewone’ AdWords tekstadvertenties in de zoekresultaten van Google is de AVG niet direct van toepassing. Pas als je deze campagnes combineert met gebruikersgegevens is de AVG wél van toepassing. Bijvoorbeeld wanneer je een RLSA (remarketing for search ads) campagne instelt. Je toont dan namelijk advertenties aan mensen die eerder je website hebben bezocht.

Via het display netwerk van Google en YouTube kun je natuurlijk ook remarketing campagnes instellen. Remarketing campagnes zijn cookie-based, waardoor je hiervoor ook een opt-in nodig hebt.

Programmatic advertising

Datamanagementplatformen voor het inzetten van programmatic advertising worden steeds meer gebruikt. Via dergelijke platformen wordt data uit verschillende bronnen gebruikt om doelgroepen te bereiken. Dit is bijvoorbeeld data uit pixels, je eigen CRM en uit databases van derden. Let er dus goed op uit welke bron je data precies komt, want de kans is groot dat dit onder de GDPR valt en hiervoor dus ook een opt-in nodig is.

Conversiemeting

Conversiemeting is natuurlijk essentieel voor het beheer en de optimalisatie van online campagnes. Voor het tracken van deze conversies maken adverteerders net als bij Google Analytics gebruik van een cookie om te bepalen of de gebruiker die op je advertentie heeft geklikt uiteindelijk converteert. Dit kan via een AdWords conversiecode of door een Google Analytics doel te importeren naar Google AdWords. In beide gevallen is er sprake van de verwerking van persoonsgegeven waarvoor toestemming gevraagd moet gaan worden.

Hotjar aanpassen

Hotjar is een tool waarmee opnames kunnen worden gemaakt van websitebezoeken. Je ziet zo hoe gebruikers navigeren door je website. Handig! Maar ook hierbij worden persoonsgegevens opgeslagen. Gelukkig is het mogelijk om alle persoonlijk identificeerbare data uit de user recordings te houden. Pas het volgende aan in je instellingen en code van Hotjar:

  1. Laat Hotjar door gebruikers ingevulde velden in formulieren niet weergeven in de opnames.
  2. Ook niet wanneer iemand op ‘terug naar vorige pagina’-knop klikt.
  3. En natuurlijk ook niet op de bevestigingspagina (bijvoorbeeld in een webshop).

Beveilig je apparaten

Waar sla je de gegevens op, in de cloud, op eigen servers of lokale opslag? Is de data versleuteld en ontoegankelijk voor onbevoegden? Het is beter om geen gebruik te maken van lokale opslag zoals externe schijven en USB-sticks. Bij verlies of diefstal moet een apparaat op afstand gewist kunnen worden.

Datalek melden

Sinds 1 januari 2016 kennen we in Nederland de meldplicht datalekken. Dit blijft nagenoeg gelijk bij de nieuwe privacywet. De AVG stelt het verplicht om alle datalekken intern te documenteren. Wanneer je privacygevoelige data voor derden verwerkt dan is het straks ook verplicht alle datalekken bij de derden te melden.

Wat gebeurt er als je je niet aan de regels houdt?

Er komt een Europees Comité dat toeziet op de juiste toepassing van de AVG. De straffen voor het niet naleven van de nieuwe regelgeving zijn niet mis! Je bedrijf kan hiervoor een boete van maximaal 20 miljoen euro of 4% van de totale omzet krijgen.

GDPR: waar moet je beginnen?

De vraag is hoe je de toestemming om persoonsgegevens van de consument te verzamelen gaat verkrijgen. Een cookiewall is straks niet meer voldoende om aan de nieuwe wetgeving te voldoen.

Voorlopig is de meest praktische oplossing een cookie-melding om de gebruiker om toestemming te vragen. Let er wel op dat het straks niet meer voldoende is om enkel te zeggen: “Wij gebruiken cookies om je een optimale gebruikerservaring te bieden. Klik hier om akkoord te geven.”. Dit is een te vage, algemene tekst. Het moet voor de gebruiker duidelijk zijn waarmee hij of zij precies akkoord gaat.

Begin op tijd met voorbereiden!

Het lijkt nog ver weg, 25 mei 2018… Maar voor je het weet is het zover. Bereid je dus op tijd voor op de nieuwe Europese wet voor databescherming!

De Autoriteit Persoonsgegevens ontwikkelde een stappenplan om je voor te bereiden op de AVG. Wanneer je dit artikel hebt gelezen dan is de eerste stap (bewustwording) gezet.

Stel nu een team samen en ontwikkel een plan. Door te kijken naar de persoonsgegevens die al worden geregistreerd in de database kun je nagaan in hoeverre die al voldoen aan de eisen van de GDPR-wet. Breng de impact in kaart en start met het herinrichten van processen om zo te kunnen voldoen aan de nieuwe eisen.

Hulp nodig?

Kun je wel wat hulp gebruiken bij het inventariseren van de zaken die nu wel en nog niet goed geregeld zijn, om te voldoen aan de GDPR? Neem contact op met de online marketing specialisten van Think Online!

Disclaimer

Dit artikel is geschreven op basis van op dit moment (27 oktober 2017) beschikbare informatie. Het doel van dit artikel is bedrijven en organisaties bewust te maken van de veranderingen door de nieuwe privacywet en om hen te stimuleren nu aan de slag te gaan met GDPR. Meer informatie vind je op de website van Autoriteit Persoonsgegevens.