Please enable JS

De nieuwe privacywetgeving: AVG (of GDPR)

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dit is een nieuwe Europese privacywetgeving. De wetgeving is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). De wetgeving is bedoeld om de privacy van de burger te beschermen en organisaties hierin meer verantwoordelijkheden te geven. In dit artikel vind je meer informatie over de aanstaande veranderingen, de wetgeving zelf en het effect op bijvoorbeeld Google Analytics en e-mailmarketing.

Kat uit de boom kijken? Of direct aanpassen?

De ervaring leert dat er organisaties zijn die liever eerst even aankijken wat er gebeurt in de markt en zich daarna aanpassen. Dit was tijdens de introductie van de Cookiewet ook zo. Een andere categorie organisaties past zich liever direct aan. Wat we over de gevolgen van het niet voldoen aan de wetgeving weten zijn de hoge boetes die wetgever op gaat leggen (tot 4% van de wereldwijde omzet) en de waarschuwingen die waarschijnlijk eerst gaan volgen.

Als je dan als organisatie toch de keuze maakt om de kat uit de boom te kijken, is het wel handig om eventuele veranderingen al klaar te hebben staan!

Wat wordt er bedoeld met 'Opt-in'?

De term 'Opt-in' komt veelvuldig in dit artikel voor. Met 'Opt-in' bedoelen we expliciete toestemming door de gebruiker. Als er voor een bepaalde functie een 'Opt-in' wordt gevraagd aan de gebruiker, dan vraag je als website om expliciete toestemming van de gebruiker om bepaalde gegevens te verwerken.

De wetgeving

De nieuwe wetgeving draait om persoonsgegevens. We kennen drie niveaus of categorieën persoonsgegevens:

  1. Persoonsgegevens (denk aan NAW, e-mailadres, IP adres, etc)
  2. Pseudonieme data: versleutelde data, die zonder info niet te herleiden is naar losse personen, maar een persoon wel individualiseerbaar maakt. De data is hierbij versleuteld, maar dit is wel omkeerbaar
  3. Anonieme data: de persoonsdata is versleuteld, geanonimiseerd en dit is onomkeerbaar

De eerste twee niveaus vallen binnen de scope van de wetgeving.

Bepalingen in de wetgeving:

  • Persoonsgegevens en pseudo anonieme data mogen worden gebruikt als er expliciete opt-in (en opt-out) toestemming voor is. Ze mogen worden gebruikt voor ‘gespecificeerde, expliciete en rechtmatige doeleinden’ en ‘niet verder worden verwerkt op manieren die niet verenigbaar zijn met deze doeleinden’
    • Dit betekent dus dat een opt-in specifiek moet zijn; als je een gebruiker ergens toestemming voor vraagt moet je expliciet vermelden waarvoor de toestemming gegeven wordt.
  • Profilering (geautomatiseerd verwerken van persoonsgegevens om voorspellingen te doen, denk bvb. aan schoenen die je achtervolgen op praktisch elke website) moet worden benoemd evenals de consequenties die elke vorm van profilering voor de persoon gaat hebben
    • Er moet een mogelijkheid zijn voor een opt-out voor (verschillende vormen van) profilering
  • Een organisatie moet in staat zijn om de losse persoonsgegevens van een gebruiker te verwijderen als hij/zij hier om vraagt (right to be forgotten). Daarnaast moeten de persoonsgegevens opgevraagd kunnen worden (dataportabiliteit)

Het komt er op neer dat je als organisatie een expliciete opt-in moet hebben als je persoonsgegevens verzameld en/of aan profilering doet. Daarnaast moet een organisatie in staat zijn om losse personen uit de database te halen en dat ook te kunnen bewijzen.

Verantwoordelijkheid en verwerkingsovereenkomst

De verantwoordelijkheid ligt bij de partij die bepaalt wat er met de persoonsgegevens gebeurt. Als er een verwerker is van data (denk aan Google Analytics, maar ook een eventueel e-mailmarketingbureau), dan werkt hij/zij in opdracht van jullie. Er is een verwerkingsovereenkomst nodig voor de samenwerking tussen verwerker en de verantwoordelijke (jullie als organisatie). De volgende zaken zouden hier in moeten staan:

  • Dat er alleen persoonsgegevens verwerkt worden die in lijn zijn met de doelen die de opdrachtgever stelt
  • Afspraken over het beveiligen van gegevens
  • Duur van verwerkingen (als in tijd in weken, maanden, jaren)
  • Dat gegevens aan het einde van de opdracht weer verwijderd moeten worden
  • Dat iedereen bij de verwerker vertrouwelijk met de gegevens om gaat

Privacy statement & disclaimer

Praktisch elke website heeft een privacy statement. Deze privacy statement zal herzien moeten worden, op basis van wat er genoemd wordt. Privacy statements zijn uiteraard openbaar, dus daar kun je als organisatie al veel uit halen. Zie hier bijvoorbeeld het privacy statement van de DDMA (die al aangepast is aan de AVG).

Documentatieplicht

Als organisatie moet je aan kunnen tonen dat er organisatorische en technische maatregelen zijn geweest om aan de AVG te voldoen.

Het effect van AVG op Analytics en andere trackingsystemen

Hoe zit het met de persoonsgegevens die Google Analytics en andere trackingsystemen (denk bvb. aan Hotjar):

  • Je moet duidelijk vermelden welke data worden verzameld en waar ze voor worden gebruikt
  • Het is nog niet helemaal duidelijk hoe dit zou moeten (middels een cookiemelding of anders...)

Profiling systemen verzamelen gegevens over groepen mensen, om te analyseren, om patronen te ontdekken en om gedrag te voorspellen. Denk bijvoorbeeld aan CRM systemen of marketing automation tools (maar ook Facebook Remarketing. Hiervoor gelden de volgende bepalingen:

  • Je moet kunnen benoemen welke vorm van profiling toegepast wordt en wat dit voor consequenties heeft voor de gebruiker
  • Je moet middels een expliciete opt-in toestemming krijgen van de gebruiker
  • Opt-out moet ook mogelijk zijn
  • De gegevens zullen veilig moeten zijn

Google Analytics

Als je geen expliciete toestemming hebt van de gebruiker is het toch mogelijk om Google Analytics te gebruiken, als je de gebruiker anonimiseert. De volgende stappen stellen je hiertoe in staat:

  1. Bewerkersovereenkomst met Google afsluiten (als je eigenaar bent van het account: Beheerder > Account > Accountinstellingen > Aanpassing van de gegevensverwerking)
  2. IP adressen anoniem verwerken: https://support.google.com/analytics/answer/2763052?hl=nl (vergt een aanpassing in de trackingcode)
  3. Gegevens delen met Google uitzetten: alle opties uitzetten, in hetzelfde scherm als in stap 1!
  4. De bezoeker informeren over het gebruik van Google Analytics (in bijvoorbeeld een privacy statement). Informeer dat:
    • Google Analytics cookies gebruikt
    • Een bewerkersovereenkomst is afgesloten
    • De gegevens anoniem worden verwerkt
    • Gegevens delen is uitgeschakeld
    • Er geen gebruik wordt gemaakt van andere Google diensten in combinatie met Google Analytics cookies

De overheid heeft hier zelf ook een handleiding voor geschreven. Hotjar heeft overigens een soortgelijke anonimisering! Dit geldt dus als er geen toestemming wordt gevraagd.

Als locatiedata scherp moet blijven is een cookiemelding met een opt-in dus ook mogelijk. Zie bijvoorbeeld de cookiemelding van de DDMA op https://ddma.nl/, die vrij uitgebreid is:

Het effect van AVG op e-mail marketing

Wat moet er nou geregeld worden als je e-mails verstuurd als organisatie?

  • Als er een (e-mailmarketing)bureau in het spel is: sluit een AVG proof verwerkingsovereenkomst (waar ik al eerder op in ging)
  • Mail alleen gebruikers die daarvoor toestemming hebben gegeven met een opt-in
  • De opt-in moet door actieve handeling plaatsvinden; dus geen stiekem vinkje om algemene voorwaarden te accepteren, maar een expliciete opt-in!
  • Voor elk doel moet een aparte toestemming gegeven worden: een aparte opt-in voor een maandelijkse nieuwsbrief, een aparte opt-in voor het delen van e-mailadressen met derden, etc.
  • Opt-ins moeten geregistreerd worden! Wat hou je in deze registratie bij?
    • De opt-in status (ingeschreven of uitgeschreven)
    • Hoe je de opt-in hebt verkregen
    • Wanneer je de opt-in hebt verkregen
    • Welke toestemming is gegeven (voor een nieuwsbrief, etc)
  • Dit werkt (helaas) met terugwerkende kracht en geldt ook voor mensen die nu in de mailinglist staan (dat vraagt om een herbevestigende opt-in)
  • Als er een opt-out is, mag je de gebruiker niet meer mailen!
  • In een e-mail moet altijd een link staan waarmee de gebruiker zich uit kan schrijven (de opt-out)
  • Informeer bij de inschrijving waar je data voor gebruikt wordt en link naar een privacy statement

Dit geldt voor commerciële mails (dus maandelijkse nieuwsbrieven) en niet voor transactionele e-mails (orderbevestigingen, etc).

Nog meer onderdelen:

  • Je moet kunnen bewijzen dat een gebruiker in de e-maillijst staat, op individueel niveau
  • Je moet gegevens kunnen rectificeren als de gebruiker daar om vraagt (ik heet i.p.v. Martijn, Marthijn, willen jullie dit aanpassen?)
  • Je moet in staat zijn om een losse gebruiker te verwijderen uit de lijst, als hij/zij daar om vraagt. En dit kunnen bewijzen

Als je mailt op basis van profilering (als je bijvoorbeeld gesegmenteerd alle vrouwen uit je database mailt), dan gelden de volgende onderdelen:

  • Als de gebruiker vraagt om inzicht in de profilering, moet je dat kunnen geven
  • Als de gebruiker bezwaar maakt, moet de hij/zij uitgesloten worden van profilering

Qua e-mailmarketing verandert er voor de meeste organisaties best wel veel!

Het effect van AVG op Advertising

Adverteren via advertentieplatformen als Google, Bing en Facebook wordt ook wat spannender. Hier is de verantwoordelijkheid erg belangrijk, want het is niet zo dat je als adverteerder toestemming kan vragen aan een gebruiker van een zoekmachine. De AVG is vaak van toepassing op het advertentieplatform zelf (de verantwoordelijkheid). Op het moment dat je persoonsgegevens in gaat laden in advertentieplatformen, wordt het een ander verhaal.

De verantwoordelijkheid per manier van adverteren

  • AdWords/Bing: AVG is niet van toepassing op de adverteerder als er in het zoeknetwerk of GDN geadverteerd wordt
    • Uitzondering is aanwezig als er persoonsgegevens ingeladen worden (RLSA of customer match, waarbij e-mailadressen ingeladen worden). Dan moet er expliciet toestemming gevraagd worden middels een opt-in
    • Als er een conversietrackingpixel gebruikt wordt, dan moet er wel middels een opt-in toestemming gevraagd worden (om deze te plaatsen dan)
  • Facebook Advertising: bij adverteren in Facebook op profielen van Facebook zelf is de AVG niet van toepassing op de adverteerder
    • Ook hier: als er persoonsgegevens ingeladen worden (Remarketing of custom audiences o.b.v. e-mailadressen), moet met een expliciete opt-in toestemming worden gegeven
    • Het inladen van een Facebook conversietrackingpixel moet ook middels een expliciete opt-in gebeuren

Zodra er dus persoonsgegevens van klanten gebruikt worden, gaat de verantwoordelijkheid naar de adverteerder (of jullie als organisatie).

Wat nu?

Als je als organisatie nog niets met de nieuwe privacywetgeving gedaan hebt, lijkt mij een logische eerste stap om op een rij te krijgen welke persoonsgegevens nu binnen de organisatie gebruikt worden.

  • Waar staan de persoonsgegevens?
  • Waar gebruiken we de gegevens voor?
  • Welke gegevens vallen binnen de scope? En welke buiten de scope?

Daarna kun je als organisatie beslissingen maken met betrekking tot de manier van opt-ins verkrijgen, wijzigingen in databases en andere veranderingen.

Uiteraard help ik je graag met de eerste stapjes richting de AVG! En als SEO specialist uiteraard ook!

 



Recente items
Tags
Interessant

Een interessant onderwerp voorbij zien komen en er meer over te weten komen? Neem contact op.