AVG/GDPR: wat mag wel en niet?
AVG/GDPR: de eindsprint naar mei 2018
Op 25 mei 2018 is het zover: de Algemene verordening gegevensbescherming (AVG; of in het Engels GDPR: General Data Protection Regulation) treedt in werking. Of beter gezegd, vanaf die dag is de nieuwe wet van toepassing en vervangt het de huidige Wet bescherming persoonsgegevens. De AVG is namelijk al in werking sinds mei 2016, maar met een overgangsperiode van 2 jaar, zodat bedrijven en organisaties de nodige aanpassingen kunnen maken aan hun processen. Die overgangsperiode is nu bijna voorbij, maar ben jij er al klaar voor?
Het doel van de AVG
Bij gegevensbescherming gaat het om de verwerking van persoonsgegevens. Dit zijn alle gegevens die direct of indirect herleidbaar zijn naar een natuurlijk persoon. Dat kunnen dus naw-gegevens zijn, e-mailadressen, maar ook bijvoorbeeld het IMEI-nummer van je smartphone. Verwerking slaat eigenlijk op alles wat je met deze gegevens doet, ook als je ze na gebruik direct zou verwijderen. Zodra je dus persoonsgegevens ontvangt, op welke manier dan ook, kom je met de privacywetgeving in aanraking.
De AVG/GDPR geldt voor de gehele Europese Unie. Het belangrijkste doel is dan ook het gelijktrekken van de privacywetgeving binnen alle lidstaten. De huidige Nederlandse Wbp is a redelijk uitgebreid, en in dat opzicht bevat de nieuwe AVG ook geen bijzonder schokkende nieuwe regels. Wel worden de privacyrechten van personen uitgebreid en aangescherpt. Daarbij wordt meer verantwoordelijkheid bij bedrijven en organisaties gelegd en bovendien wordt het zowel op nationaal als EU-niveau voor toezichthouders beter mogelijk om te controleren en in te grijpen met sancties of boetes.
Hoewel het niet expliciet als doelstelling wordt vermeld, was de Wbp ook gewoon aan vervanging toe. De huidige wet bestaat al sinds 1995, en als je je bedenkt hoe sterk het internet en de manier waarop we het gebruiken in 23 jaar is veranderd, is het zeker niet raar dat de regels eens worden vernieuwd.
Wat moet ik nu regelen?
De aangepaste privacyrechten draaien vooral om transparantie, toestemming en het management daarvan. Marketeers zullen hier vooral mee te maken krijgen bij e-mailcampagnes en bij tracking via cookies. De Autoriteit Persoonsgegevens is de Nederlandse toezichthouder op gebied van alles wat met persoonsgegevens te maken heeft. Zij hebben een uitgebreide pagina met informatie en vragen over de veranderingen die de AVG met zich meebrengt, maar wij zetten hier alvast 7 belangrijke aandachtspunten voor je op een rij.
- Opt-in
Allereerst moet er over het vastleggen en verwerken van persoonsgegevens worden geïnformeerd, en de betrokkene moet hiervoor expliciet toestemming geven. Deze opt-in moet voor marketingdoeleinden aan een aantal voorwaarden voldoen:
- Informeer: geef specifiek en in heldere taal aan welke gegevens worden verzameld, waarvoor deze worden gebruikt en hoe lang de gegevens eventueel worden opgeslagen
- Actief: de toestemming moet worden gegeven via een actieve handeling van de betrokkene. Dit betekent dat constructies met vooraf aagevinkte hokjes of ‘door gebruik stemt u toe’ niet meer toegestaan zijn
- Vrij: de toestemming mag geen voorwaarde zijn voor het gebruiken van de dienst/website
- Ondubbelzinnig: er mag geen twijfel bestaan dat de toestemming bewust is gegeven
- Verantwoording en bewijslast
Bedrijven en organisaties krijgen met de AVG veel meer verantwoordelijkheden rondom de door hen verzamelde persoonsgegevens. Zij moeten te allen tijde kunnen bewijzen dat er geldige toestemming is gegeven door de betrokkene; hiervoor moeten de opt-ins tot in detail worden geregistreerd. Let op dat er geldige toestemming, inclusief volledige registratie, nodig is voor alle persoonsgegevens in je bestand. Dat kan betekenen dat je voor bestaande mailinglijsten opnieuw toestemming moet vragen. - Gebruikerstoegang tot eigen gegevens
De AVG schrijft voor dat betrokkenen eenvoudig toegang moeten hebben tot hun eigen gegevens om deze ook te kunnen wijzigen. Dit zou bijvoorbeeld een accountpagina kunnen zijn met gegevens en voorkeusinstellingen. Hier is al snel een CRM-systeem voor nodig, iets wat voor kleine bedrijven een flink obstakel kan vormen. - Opt-out en het recht op vergetelheid
De betrokkene heeft het recht om vergeten te worden, waarbij alle persoonsgegevens dienen te worden verwijderd. De uitdaging ligt erin dat dit even eenvoudig moet verlopen als de opt-in. Als er via een vinkje toestemming werd gegeven, zou deze ook via een vinkje weer moeten kunnen worden ingetrokken. Let bovendien op dat wanneer je de gegevens met externe partijen hebt gedeeld, jij er verantwoordelijk voor bent dat bij een verzoek tot verwijdering de gegevens ook bij deze derden worden verwijderd. - Dataportabiliteit
Geheel nieuw is het recht op dataportabiliteit. Dit recht houdt in dat de klant zijn gegevens kan opvragen in een toegankelijk bestandsformaat, zodat hij of zij dit bijvoorbeeld kan doorgeven aan een alternatieve leverancier voor de betreffende dienst. De AVG stelt dat de gegevens moeten worden verstrekt in een ‘gestructureerd, gangbaar en machineleesbaar formaat’. Lora Mourcous publiceerde in juli 2017 op de website securityvandaag.nl een helder artikel over dit nieuwe privacyrecht. - Analytics en advertising via derden
Als je aan digitale marketing doet, maak je waarschijnlijk gebruik van externe dienstverleners voor het analyseren van je traffic en het vertonen van advertenties. Het wordt al snel verwarrend wie er dan verantwoordelijk is voor het verkrijgen en beheren van toestemming. Het goede nieuws voor jou is dat die verantwoordelijkheid in de meeste gevallen bij de platforms ligt, tenzij jij direct verkregen persoonsgegevens doorstuurt naar het platform. Dit laatste is bijvoorbeeld het geval bij remarketing-campagnes aan de hand van jouw klantenbestand. Op marketingfacts.nl verscheen in oktober 2017 een bijzonder uitgebreid artikel van Wouter Nieuwerth, waarin een overzicht wordt gegeven met tips voor de meest voorkomende scenario’s omtrent online advertentieplatformen. - Privacystatement
Het is misschien een inkopper, maar vergeet niet je privacyverklaring onder de loep te nemen. Deze moet uiteraard de nieuwe rechten en plichten weerspiegelen. Ook hier geldt dat het in duidelijke taal moet zijn geschreven. Zorg dat je focus niet alleen op een juridisch kloppende tekst ligt, maar dat je vooral ook de achterliggende intenties helder en transparant weergeeft.
Uitdaging of kans
Ja, het is een hele kluif je processen zodanig in te richten dat je marketingactiviteiten aan de AVG/GDPR voldoen. Zeker voor kleine bedrijven met weinig capaciteit zal het een uitdagende periode worden. Toch is deze wetgeving niet voor niets ontwikkeld. Er is nu eenmaal vanuit de maatschappij een grote behoefte ontstaan naar meer transparantie. De consument is het vertrouwen kwijtgeraakt dat bedrijven zorgvuldig en gepast omgaan met hun persoonsgegevens.
Ik hoop dan ook dat je de kansen achter de uitdaging kunt zien. Het opschonen van je klantenbestand zorgt ervoor dat je een werkelijk geïnteresseerd publiek overhoudt. Want marketing draait al veel langer om transparantie, vertrouwen en een klantgerichte aanpak. De nieuwe wetgeving is daar een logisch gevolg van. Door de consument te laten zien dat je zijn behoefte aan privacy serieus neemt, win je aan vertrouwen en loyaliteit. Zo kunnen we eindelijk van kwantiteit overstappen op kwaliteit.