AVG/GDPR voor Online Marketing

Alle bedrijven moeten voldoen aan de nieuwe privacy wetgeving

Alle, echt ALLE bedrijven moeten voldoen aan de nieuwe privacywet die op 25 mei 2018 in werking treedt: de General Data Protection Regulation (GDPR)! Ja, ook jouw bedrijf. Van eenmanszaak tot multinational: iedereen slaat klantgegevens op. Die gegevens moeten nu veel beter worden beschermd. De wet wordt daarom ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd. Dat betekent dat er nog heel wat werk aan de winkel is, want je bent als bedrijf verantwoordelijk voor de data die je opslaat, beheert en verwerkt. Je moet kunnen aantonen dat je alles wat voor jou van toepassing is hebt gedaan en ingevoerd. Misschien heb je daarbij nog wat aan de tips die we voor je verzameld hebben. En we vertellen je ook meteen hoe we er zelf mee omgaan. (en je kan een AVG/GDPR Quickscan met templates aanvragen )

Vrijblijvend advies?
Vraag het aan ons

Bel ons op 020 716 54 11 of laat je contact gegevens achter, dan reageren wij binnen een werkdag!

Vrijblijvend advies

Vul hieronder je gegevens in en ontvang binnen één werkdag advies

Wat is AVG en wat is GDPR?

AVG is Algemene Verordening Gegevensbescherming dit is de Nederlandse uitvoering van de Europeese  GDPR – General Data Protection Regulation. In de nieuwe privacywet staan nieuwe en herziene richtlijnen op het gebied van het verzamelen van data. De wet is ontwikkeld om vooral de privacy van de burger beter te kunnen beschermen en is van invloed op nagenoeg alle activiteiten die een organisatie kan doen. Tenminste, als het aankomt op de verwerking van persoonsgegevens van Europese burgers. Maar wat verandert er nu eigenlijk door de GDPR en waarom?

Waar de wet je bedrijf feitelijk toe verplicht, is dat je alles moet doen om de privacy van de burger te beschermen. Dit is een technische aangelegenheid. Je moet veel duidelijker communiceren wat je met gegevens doet en veel meer toestemming krijgen en vastleggen. Verder moet je procedures opstellen en inzicht hebben in alles wat met data te maken heeft. Het is best wel wat werk, dus je kunt het echt niet verder uitstellen.

Iedere EU-burger heeft dankzij de GDPR recht op:

  • Toegang tot zijn eigen persoonsgegevens.
  • Kennis over opslag en gebruik van de gegevens en met wie ze zijn gedeeld.
  • Verwijdering uit het gegevensbestand.
  • Persoonsgegevens in beveiligde en versleutelde omgevingen.
  • Vooraf opgestelde, snelle en correcte procedures rondom datalekken

Een groter territoriaal gebied

De grootste verandering op het gebied van dataprivacy heeft te maken met de vergrote jurisdictie van de GDPR. Het is namelijk van toepassing op alle bedrijven die persoonlijke data van inwoners in de EU verwerken. Concreet is dat dus bijna elke bedrijf, ook kleinere bedrijven. De EU ziet persoonsgegevens namelijk erg breed en ook IP-adressen, cookies en Twitter-handles worden gezien als persoonsgegevens. Het maakt daarbij niet uit waar het bedrijf gevestigd is.

Voorheen was de territoriale toepasbaarheid van de richtlijnen op meerdere manieren te interpreteren. Dankzij een aantal rechtszaken heeft de GDPR de toepasbaarheid nu heel duidelijk gemaakt: het is van toepassing op het verwerken van persoonsgegevens door controleurs en verwerkers in de EU, waarbij het niet uitmaakt of het proces wel of niet in de EU gebeurt.

En ook als de controleur of verwerker niet in de EU zit, is de GDPR van toepassing als de activiteiten te maken hebben met het aanbieden van goederen of diensten aan inwoners van de EU (waarbij een betaling niet van belang is) en het monitoren van het gedrag plaatsvindt in de EU. Bedrijven buiten de EU die data verwerken van EU-inwoners moeten een vertegenwoordiger in de EU aanwijzen.

Flinke boetes op inbreuken

Als je een boete krijgt inzake de GDPR, dan kan die oplopen tot 4% van je wereldwijde jaaromzet of 20 miljoen euro (daarbij wordt gekeken welk bedrag het grootst is). Dit is de maximum boete voor de meest erge inbreuken. Een boete van 2% kun je krijgen als je je papieren niet in orde hebt (artikel 28), als je de toezichthouder en de betrokkene niet op de hoogte brengt van een inbreuk of geen effectbeoordeling uitvoert. Deze regels gelden voor zowel controleurs als verwerkers, wat inhoudt dat ‘clouds’ niet vrijgesteld worden.

Je klant moet toestemming geven

De voorwaarden voor toestemming zijn ook versterkt en je kan als bedrijf niet meer ellenlange onleesbare voorwaarden hanteren. Je klant moet toestemming geven via een begrijpelijk en gemakkelijk toegankelijk formulier waarbij het doel voor de gegevensverwerking ook duidelijk aangegeven wordt.

De GDPR: is jouw bedrijf er al klaar voor?

Aangezien de GDPR ook van invloed is op jouw bedrijf, is het belangrijk om goed voorbereid te zijn. Zeker gezien de hoge boetes die je boven het hoofd kunnen hangen als je je zaakjes niet goed op orde hebt. Je kunt zelf een aantal stappen zetten om GDPR-compliant te worden.  Hieronder vind je een tiental zaken die je nu al kunt doen om goed voorbereid te zijn op de GDPR.

  1. Maak de medewerkers binnen je bedrijf bewust van de nieuwe regelgeving. Zo kun je de gevolgen van de GDPR beter inschatten en eventuele wijzigingen binnen je organisatie doorvoeren.
  2. Maak een dataregister aan met daarin een overzicht van de persoonsgegevens die je verwerkt en bepaal waar ze vandaan komen en met wie je ze deelt.
  3. Onderzoek ook kritisch waarom je bepaalde data hebt en of die wel echt nodig zijn. Zo mag je persoonlijke data bijvoorbeeld niet onbeperkt bewaren. Daarbij is alleen in kaart brengen niet genoeg, maak het ook kenbaar in een privacyverklaring.
  4. Controleer de toestemming, want de wijze waarop je toestemming vraagt om iemands persoonsgegevens te verwerken moet volgens de GDPR vrij, specifiek, geïnformeerd en ondubbelzinnig zijn.
  5. Communiceer helder en duidelijk over je privacybeleid. Kijk nog eens goed naar je bestaande privacyverklaring met de GDPR in het achterhoofd en herschrijf deze waar nodig.
  6. Besteed aandacht aan privacyverhogende maatregelen bij de ontwikkelingen van (nieuwe) producten en diensten zoals websites.
  7. Stel een procedure op om op eventuele vragen van particulieren rondom hun persoonsgegevens een pasklaar antwoord te hebben.
  8. Stel een plan op voor het geval er toch een datalek is opgetreden, zodat je datalekken zo snel mogelijk op kan sporen, onderzoeken en melden.
  9. Ga na of het voor jouw organisatie nodig is om een data protection officer (dpo) aan te stellen. Overheden en verwerkers die regelmatig en stelselmatig privacygegevens op grote schaal observeren, moeten een dpo aanstellen. Dat mag ook een externe adviseur zijn.
  10. Controleer de datastromen die naar niet-EU-landen gaan en check of dat land over eenzelfde soort wetgeving beschikt als in de EU.

Data verzamelen in 3 categorieën

Als je data van gebruikers wilt verzamelen of opslaan, dan moet daar dus vooraf duidelijke toestemming voor worden gegeven door bezoekers of gebruikers van je website. Deze gegevens kun je onderverdelen in drie categorieën: persoonsgegevens, pseudo-anonieme data en anonieme data.

Onder persoonsgegevens vallen bijvoorbeeld de NAW-gegevens, een IP-adres of device-ID’s. Pseudo-anonieme data zijn persoonsgegevens die zo verwerkt worden dat ze niet langer herleid kunnen worden zonder het gebruik van aanvullende informatie, maar die wel een persoon individueel maken. Zoals bijvoorbeeld een versleuteld mailadres of gebruikers-ID. Anonieme data zijn uiteraard niet te herleiden tot persoonsgegevens.

Voor elke categorie gelden andere regels voor wat betreft toestemming en gegevensbescherming. Let hier dus goed op voor je verschillende soorten klantdata. Of het nu gaat om je CRM-systeem, klantenbestanden in Excel of een ander programma, je e-mailsysteem of een andere verzameling: het valt allemaal onder de GDPR.

Stramark en de GDPR

Uiteraard heeft de nieuwe wet ook gevolgen voor de werkzaamheden die wij namens onze klanten uitvoeren. Denk daarbij aan remarketing, click/mouse tracking, Google Analytics en e-mailmarketing. Bij al deze werkzaamheden zijn we bezig met persoonsgegevens, al dan niet (pseudo-)anoniem. Daarom nemen wij bijvoorbeeld de volgende maatregelen:

  • Elke website en server waar wij mee werken, moet helemaal up-to-date zijn, dus alle security updates moeten snel worden gedraaid.
  • Elke website moet op het beveiligde protocol HTTPS draaien, zodat er een groen veilig-symbool in de browser verschijnt.
  • Voor elke website van onze klanten moeten de privacystatement en algemene voorwaarden bijgewerkt worden.
  • We hebben verwerkingsovereenkomsten afgesloten met al onze klanten en leveranciers, of staan op het punt om dat te doen.

Gevolgen voor profiling

Voor onze klanten verrichten wij ook profiling. Dit is het vergaren, analyseren en combineren van persoonsgegevens, zodat we een profiel kunnen toekennen aan websitebezoekers. Ook remarketing gebeurt op basis van profiling. Met de komst van de GDPR moeten bezoekers vooraf weten wat de gevolgen zijn van profiling en ze moeten ook de mogelijkheid voor opt-out krijgen.

Veranderingen voor Google Analytics

We gebruiken analytische cookies om persoonsgegevens van sitebezoekers te verwerken in Google Analytics. Ook hierbij moeten we voldoen aan de GDPR. Daarvoor hebben we een bewerkersovereenkomst afgesloten met Google Analytics, maken we het IP-adres anoniem en we delen geen statistieken met Google. Uiteraard informeren we de bezoekers ook dat we Google Analytics gebruiken, maar dat hun gegevens anoniem worden verwerkt.

Meer weten over de gevolgen van de GDPR voor jouw online marketing? Neem contact met ons op!

Zoek je hulp bij de AVG/GDPR, lees dan hieronder meer informatie over de QuickScan Privacy & Informatiebeveiliging & Templates.

QuickScan Privacy & Informatiebeveiliging & Templates

Wil je de AVG-GDPR niet helemaal zelf uitzoeken en concreet snel geholpen worden? Laat ons dan een Quickscan Privacy en informatiebeveiliging uitvoeren. Dit gaat dus VEEL verder dan online marketing. je krijgt de risico analyse en templates die je kan invullen. Het laten uitvoeren van de scan laat (ook achteraf) zien dat je het onderwerp serieus hebt genomen!

Wat krijg je?

Eerst hebben we een persoonlijk gesprek over jouw bedrijf. Hierin bespreken we onder andere de volgende onderwerpen:

  • Hoe goed kun je nu al aantonen wat je in verband met de AVG doet?
  • Heb je goed in beeld welke persoonsgegevens jij verwerkt, en heb je de (verplichte) administratie op orde?
  • Hoe heb je de controle over de toegang tot de persoonsgegevens geregeld?
  • Heb je al een datalekprocedure?
  • Zijn al je leveranciers ‘onder controle’?
  • Is de infrastructuur van jouw bedrijf AVG-proof?
  • Je geeft aan met welke vragen over de AVG en privacy jij specifiek worstelt.

Uit de resultaten van het interview maakt de AVG specialist na afloop een risicoanalyse. Tien tot vijftien risico’s staan hierin centraal. De analyse richt zich op zowel voldoen aan de AVG als informatiebeveiligingsrisico’s.

Je ontvangt binnen één week het volgende:

  • De resultaten van de risicoanalyse;
  • Een rapport met daarin een analyse van jouw situatie;
  • Aanbevelingen voor het oppakken van de belangrijkste risico’s;
  • Sjablonen waarmee je de grootste risico’s omlaag kunt brengen, zoals:
  • Voorbeeld overeenkomsten:
    • AVG/GDPR geheimhouding,
    • AVG/GDPR Verwerkersovereenkomst
  • AVG/GDPR Privacybeleid
  • AVG/GDPR Verwerkingenregister
  • AVG/GDPR Personeelschecklisten
  • AVG/GDPR Leveranciersregistratie
  • AVG/GDPR Datalekprocedure
  • AVG/GDPR PIA-sjabloon
  • AVG/GDPR Calamiteitenplan

Het pakket met rapport en de sjablonen krijg je per (beveiligde) mail toegestuurd.

Voor de Privacy/IB-Quickscan wordt € 749 ex BTW in rekening gebracht. Inclusief reiskosten. De scan wordt door een zeer ervaren Privacy en Security officer uitgevoerd.

Neem contact met ons op!

Bronnen en aanbevolen lezen: