Blog: De AVG Privacywet; wat verandert er allemaal? Een smoelenboek van je medewerkers, mag dat nog wel? 

dinsdag 3 april 2018

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in de hele Europese Unie van toepassing. Wat houdt deze wet in en waar moet je rekening mee houden op het gebied van marketing en communicatie? Viduro helpt je op weg.

De AVG Privacywet

In 2016 is deze wet al in werking getreden maar vanaf 25 mei 2018 worden er daadwerkelijk controles uitgevoerd. De AVG Privacywet vervangt de Wet bescherming persoonsgegevens (Wbp) en hierdoor worden de privacyrechten van personen versterkt en uitgebreid. Overtreedt een organisatie de AVG Privacywet dan kan een boete van maximaal 20 miljoen euro of 4% van de wereldwijde omzet worden opgelegd.

 

Mag een organisatie nog steeds een e-mailnieuwsbrief versturen?

In de AVG Privacywet wordt er niet specifiek gesproken over de inzet van e-mail omdat dit is vastgelegd in de Telecommunicatiewet. Echter heb je bij e-mailmarketing wel te maken met het verwerken van persoonsgegevens en hierover gaat de AVG Privacywet wel.

Wat zijn persoonsgegevens precies? Persoonsgegevens zijn alle gegevens die te herleiden zijn naar een persoon. Het gaat dus niet om gegevens van een organisatie. Voor de hand liggende gegevens zijn iemands naam, adres en telefoonnummer. Gevoelige gegevens zoals iemands godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd en mag je in principe niet verwerken tenzij je een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel hebt en je deze gegevens hebt beveiligd. Met het verwerken van persoonsgegevens worden alle handelingen bedoeld die een organisatie kan uitvoeren met de gegevens. Zoals verzamelen, gebruiken of vernietigen; een zeer ruim begrip dus.

Alle persoonsgegevens die je verwerkt voor een e-mailnieuwsbrief dienen geregistreerd te worden. Je bent verplicht dit register beschikbaar te stellen wanneer de Autoriteit Persoonsgegevens erom vraagt. Daarnaast komt het register ook van pas wanneer personen gebruik maken van hun privacyrecht. Personen hebben recht op inzage, correctie en verwijdering van hun persoonsgegevens en je bent verplicht deze wijzingen door te geven aan organisaties waarmee je deze gegevens hebt gedeeld. Zowel een verantwoordelijke als een verwerker dienen een register bij te houden. De verantwoordelijke is een persoon of organisatie die het doel en de middelen voor het gebruik van de persoonsgegevens bepaalt. Een verwerker is een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed, zoals een marketingbureau.
 

 Een register van de verantwoordelijke bevat de volgende informatie:

  • De naam en contactgegevens van de verantwoordelijke;
  • Het doel waarvoor de gegevens worden verwerkt. Bijvoorbeeld voor het verzenden een e-mailnieuwsbrief;
  • Welk soort informatie wordt verzameld zoals NAW-gegevens en geslacht;
  • Van wie de gegevens verzameld worden, zoals: klanten, websitebezoekers of werknemers;
  • Met wie de gegevens worden gedeeld, zoals een marketingbureau;
  • Informatie over eventuele doorgifte van de gegevens naar landen buiten de EU;
  • De bewaartermijnen van de gegevens;
  • De manieren waarop de gegevens zijn beveiligd. Bijvoorbeeld door encryptie of toegangscontrole.
     

Verwerkers leggen een register vast per verantwoordelijke voor wie zij werken en leggen de volgende informatie vast:

  • De naam en contactgegevens van de verwerker en de verantwoordelijke;
  • Het doel waarvoor de gegevens worden verwerkt zoals vastgelegd door de verantwoordelijke;
  • Informatie over eventuele doorgifte van de gegevens naar landen buiten de EU;
  • De manieren waarop de gegevens zijn beveiligd.
     

Het is verplicht om een zogenoemde verwerkersovereenkomst te sluiten tussen de verantwoordelijke en de verwerker. Gebruik je Google Analytics voor je website of verstuur je e-mailnieuwsbrieven via een e-mail marketing tool zoals Mailchimp? Sluit dan een verwerkersovereenkomst af met deze partijen. In deze overeenkomst kun je afspraken maken over de beveiliging en geheimhouding van de persoonsgegevens, datalekken en wat er met de gegevens gebeurt na afloop van de overeenkomst. Online kun je diverse standaardmodellen vinden; op de websites van Google en Mailchimp staan verwerkersovereenkomsten al klaar.
 

Waar moet je nog meer rekening mee houden bij het versturen van een e-mailnieuwsbrief?

  • Je mag alleen personen mailen die hier toestemming voor hebben gegeven;
  • Voor een persoon moet het duidelijk zijn voor welk doel zijn persoonsgegevens worden gebruikt. Voor elk doel moet je een aparte toestemming hebben. Als je twee verschillende nieuwsbrieven verstuurt moet je voor beide nieuwsbrieven toestemming hebben. Ook als je de gegevens gebruikt voor een onderzoek moet je hier apart toestemming voor vragen;
  • De toestemming moet vrijwillig gegeven zijn en door middel van een actieve handeling. De toestemming mag geen onderdeel zijn van de algemene voorwaarden;
  • Bij personen onder de 16 jaar moet een ouderlijk gezag toestemming geven;
  • Je moet altijd verwijzen naar jouw privacystatement. In een privacystatement geef je aan wat je met de gegevens doet en waarom. Online zijn diverse standaardmodellen te vinden voor een privacystatement;
  • Elke commerciële e-mail moet een uitschrijflink bevatten en je mag een persoon niet meer mailen wanneer hij zich heeft uitgeschreven;
  • Alle toestemmingen moeten geregistreerd worden. Je moet kunnen aantonen op basis van welke informatie de persoon de toestemming heeft gegeven, op welke manier en wanneer. Alleen de toestemming documenteren is dus niet voldoende
  • Dataminimalisatie is een nieuw principe in de AVG Privacywet. Sla bij de verzameling van persoonsgegevens niet meer gegevens op dan nodig. Denk na welke persoonsgegevens je nodig hebt en verwijder gegevens die achteraf overbodig blijken te zijn.
     

Onze vijf tips:

  1. Zorg ervoor dat medewerkers binnen jouw organisatie er bewust van zijn dat de persoonsgegeven die zij ontvangen, verstrekken of bewerken privacygevoelig zijn;
  2. Registreer alle persoonsgegevens die je verwerkt;
  3. Sluit verwerkersovereenkomsten af met partijen die persoonsgegevens voor jou verwerken;
  4. Stuur alleen een e-mailnieuwsbrief naar mensen die hier expliciet toestemming voor hebben gegeven;
  5. Documenteer alle toestemmingen voor de e-mailnieuwsbrief;

Controleer of jouw organisatie rekening houdt met bovengenoemde regels zodat je vóór 25 mei voldoet aan de nieuwe wetgeving.
 

Veranderingen in het cookiebeleid

De Europese Commissie wil dat internetgebruikers in hun browserinstellingen kunnen bepalen of zij privacygevoelige tracking-cookies accepteren of weigeren. Dit geldt dan voor alle websites die zij bezoeken. Momenteel accepteren of weigeren bezoekers cookies per website. Vaak accepteren bezoekers de cookies omdat er in veel gevallen anders een slecht werkende website verschijnt. Als website-eigenaar heb je alleen toestemming nodig voor tracking cookies, niet voor functionele en analytische cookies. Wat is het verschil?

  • Functionele cookies: deze cookies bevorderen het gebruiksgemak voor de bezoeker. Zoals het opslaan van producten die de bezoeker in het winkelmandje heeft geplaatst. Hier heb je geen toestemming voor nodig.
  • Analytische cookies: deze cookies geven inzicht in het gebruik van de website zodat je de website kunt optimaliseren. Hier heb je geen toestemming voor nodig maar je moet de bezoeker hierover wel informeren door middel van een cookie- of privacyverklaring.
  • Tracking cookies: deze cookies worden gebruikt om het surfgedrag van een bezoeker binnen een of meerdere domeinen vast te leggen. Hiermee kunnen uiteindelijk gerichte aanbiedingen worden gedaan via bijvoorbeeld een remarketing campagne. Voor tracking cookies heb je wel toestemming nodig. Maak aan de bezoeker, op de eerste pagina die ze te zien krijgen, duidelijk welke informatie je vastlegt, hoe lang en waarom. Geeft de bezoeker toestemming dan moet je de toestemming goed documenteren.
     

Onze tip

Als het nieuwe cookie beleid wordt ingevoerd zullen waarschijnlijk veel bezoekers de cookies weigeren in hun browserinstellingen. Het wordt dan dus lastiger om een bezoeker te volgen. Het liefst wil je dat een bezoeker de tracking cookies accepteert. Je zou bijvoorbeeld via een melding de bezoeker kunnen informeren dat de tracking cookies uit staan en ze vervolgens vragen de tracking cookies aan te zetten. Het is afhankelijk van de instellingen van de browser of je één specifieke website toestemming kunt geven of dat je de toestemming instelt voor alle websites tegelijkertijd. Wil je weten hoe de cookies zijn ingesteld op jouw website? Vraag dit dan na bij jouw websitebouwer.
 

Een smoelenboek. Mag dat nog wel?

Veel organisaties maken gebruik van een zogenoemd smoelenboek om bijvoorbeeld snel een collega op te zoeken op het intranet. Maar mag een smoelenboek nog wel volgens de AVG Privacywet? In een smoelenboek staan vaak de contactgegevens en foto van een werknemer. Een foto kan bijzondere persoonsgegevens van een medewerker weergeven. Bijzondere persoonsgegevens zijn, zoals eerder genoemd, extra beschermd in de AVG Privacywet.

Als je toestemming hebt van een medewerker, mag je zijn gegevens gebruiken in een smoelenboek. Dit was ook in de Wbp al zo geregeld. De AVG Privacywet scherpt deze regelgeving aan door verschillende eisen aan de goedkeuring te stellen, namelijk:

  • De werkgever mag niet zo maar aannemen dat er sprake is van toestemming;
  • De werknemer moet precies weten waarvoor hij toestemming geeft;
  • Als werkgever moet je kunnen bewijzen dat je toestemming van de werknemer hebt ontvangen;
  • De werknemer moet de toestemming vrijwillig geven en mag niet onder druk worden gezet;
  • In geval van goedkeuring moet de werkgever aangeven dat de werknemer zijn goedkeuring op elk moment weer kan intrekken;
  • Als werkgever ben je verplicht de informatie goed te beschermen.
     

Onze conclusie

Het is dus nog steeds mogelijk om een smoelenboek van jouw medewerkers bij te houden, als je hiervoor maar toestemming van jouw medewerkers hebt ontvangen.
 

Ons advies: zorg dat je op de hoogte bent en controleer of je voldoet aan de regelgeving

Er zijn dus een aantal zaken waar je als organisatie rekening mee moet houden. Lees bovenstaande informatie nog een keer goed door en controleer of jouw organisatie hier rekening mee houdt. Zorg dat je vóór 25 mei alles op orde hebt, dan zit je altijd goed. Mocht je vragen hebben over de nieuwe AVG Privacywetgeving op het gebied van marketing en communicatie, neem dan contact met ons op. Wij helpen je graag verder.

 

Bovenstaande informatie is gebaseerd op onderstaande bronnen. Wil je meer gedetailleerde informatie over de AVG privacywet? Maak dan een afspraak met een jurist.

Bronnen: Autoriteitpersoonsgegevens.nl, Marketingfacts.nl, ICTrecht.nl, Frankwatching.nl, Marketing Rendement


Naar het overzicht van blog berichten