AVG/GDPR voor Online Marketing

Alle bedrijven moeten voldoen aan de nieuwe privacy wetgeving

Alle, maar dan ook echt alle bedrijven moeten voldoen aan de GDPR. Sinds 2018 is deze privacywet van kracht. Toch hebben niet alle ondernemers er werk van gemaakt. Ze weten vaak niet dat ze zelf verantwoordelijk zijn voor de data die ze opslaan, beheren en bewerken. Hoe zit dat bij jou? Om je te helpen leggen we dit complexe verhaal simpel uit. We vertellen hoe we zelf omgaan met GDPR en geven handige tips om boetes te voorkomen. Zo weet je zeker dat jij je zaakjes op orde hebt.

Hoog in Google komen? Neem contact op!

Bel ons op 020 308 0030 of laat je contact gegevens achter, dan reageren wij binnen een werkdag!

Vrijblijvend advies

Vul hieronder je gegevens in en ontvang binnen één werkdag advies

  • Voer een getal tussen 22 en 22 in.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Wat is AVG en wat is GDPR?

AVG staat voor Algemene Verordening Gegevensbescherming. Dit is de Nederlandse uitvoering van de Europese GDPR (General Data Protection Regulation). Ieder bedrijf moet zich aan deze privacywet houden. Van eenmanszaak tot multinational: iedereen slaat klantgegevens op. In de nieuwe privacywet staan nieuwe en herziene richtlijnen op het gebied van het verzamelen van data. De wet is ontwikkeld om vooral de privacy van de burger beter te beschermen. Het is van invloed op nagenoeg alle activiteiten van een organisatie. Tenminste, als het aankomt op de verwerking van persoonsgegevens van Europese burgers. Maar wat verandert er nu eigenlijk door de GDPR en waarom?

Volgens de wet moet jij er álles aan doen om de privacy van burgers te beschermen. Dit is een technisch klusje. Je moet veel duidelijker communiceren wat je met gegevens doet en vaker toestemming krijgen en vastleggen. Verder ben je verplicht om procedures op te stellen en inzicht te hebben in alles wat met data te maken heeft. Alles bij elkaar is het erg veel werk.

Dankzij GDPR heeft iedere EU-burger recht op:

  • Toegang tot zijn eigen persoonsgegevens;
  • Kennis over opslag en gebruik van de gegevens en met wie deze zijn gedeeld;
  • Verwijdering uit het gegevensbestand;
  • Opslag van persoonsgegevens in beveiligde en versleutelde omgevingen;
  • Vooraf opgestelde, snelle en correcte procedures rondom datalekken.

Een groter territoriaal gebied

De grootste verandering op het gebied van dataprivacy heeft te maken met de vergrote rechtsmacht van de GDPR. Het is namelijk van toepassing op alle bedrijven die persoonlijke data van EU-burgers verwerken. Concreet zijn dat bijna alle bedrijven, ook kleinere bedrijven. De EU ziet persoonsgegevens namelijk erg breed. Ook IP-adressen, cookies en Twitter gebruikersnamen zien zij als persoonsgegevens. Het maakt daarbij niet uit waar het bedrijf gevestigd is.

Voorheen was de territoriale toepasbaarheid van de richtlijnen op meerdere manieren te interpreteren. Dankzij een aantal rechtszaken is de toepasbaarheid van de GDPR nu heel duidelijk: “GDPR is van toepassing op het verwerken van persoonsgegevens door controleurs en verwerkers in de EU, waarbij het niet uitmaakt of het proces wel of niet in de EU gebeurt.”

Ook als de controleur of verwerker niet in de EU zit, is de GDPR van toepassing. Namelijk als de activiteiten te maken hebben met het aanbieden van goederen of diensten aan inwoners van de EU (waarbij een betaling niet van belang is), en het monitoren van het gedrag plaatsvindt in de EU. Bedrijven buiten de EU die data verwerken van EU-inwoners moeten een vertegenwoordiger in de EU aanwijzen.

Flinke boetes op inbreuken

Als je een boete krijgt voor het niet opvolgen van de GDPR, dan kan het bedrag oplopen tot 4% van je wereldwijde jaaromzet of 20 miljoen euro. Hierbij kijkt men naar welk bedrag het grootst is. Dit is de maximum boete voor de meest erge inbreuken. Een boete van 2% kun je krijgen als jij je papieren niet op orde hebt (artikel 28). Of als je de toezichthouder en de betrokkene niet op de hoogte brengt van een inbreuk, of geen effectbeoordeling uitvoert. Deze regels gelden voor zowel controleurs als verwerkers, wat inhoudt dat ‘clouds’ niet vrijgesteld worden.

Je klant moet toestemming geven

De voorwaarden voor toestemming zijn ook sterker. Bovendien zijn ellenlange onleesbare voorwaarden uit den boze. Je klant moet toestemming geven via een begrijpelijk en toegankelijk formulier waarbij het doel voor de gegevensverwerking duidelijk staat aangegeven.

Wat mag er niet?

Wellicht vraag jij je nu af: waar kan ik een boete voor krijgen? Hieronder vind je voorbeelden van acties die strafbaar zijn: 

  • Per mail een klantendatabase versturen.
  • Plain text wachtwoord versturen per mail.
  • Inloggegevens van de klantendatabase delen met het hele bedrijf.
  • Gegevens delen met Amerikaanse partijen zonder dat hierbij speciale aandacht is voor de gegevensbescherming en de verwerkingsovereenkomst.
  • Zonder expliciete toestemming sollicitanten opslaan met naam en toenaam, voor latere analyse.
  • Persoonsgegevens vragen zoals leeftijd en geslacht zonder dat je daar een specifieke noodzakelijke reden voor hebt.
  • Computers waar klantgegevens in staan, zonder wachtwoord in een algemene ruimte plaatsen.
  • Gegevens van medewerkers in een algemene kast opslaan.
  • Het privéadres van medewerkers naar een klant sturen t.b.v. kerstcadeautjes.
  • IP-adressen van prospects opslaan.
  • Marketing cookies plaatsen zonder toestemming van de klant.
  • Samenwerken met partijen waarbij je privégegevens deelt zonder verwerkingsovereenkomst.
  • Lijsten met e-mailadressen kopen en/of gebruiken.
  • Privéprofielen opstellen van prospects zonder hen daarvan op de hoogte te stellen.

De GDPR: heb jij het op orde?

Aangezien de GDPR ook van invloed is op jouw bedrijf, is het belangrijk om dit goed ingeregeld te hebben. Zeker gezien de hoge boetes die je boven het hoofd hangen als jij je zaakjes niet op orde hebt. Goed om te weten: je bent zelf verantwoordelijk voor het juist inregelen van de GDPR. Dit zijn tien belangrijke punten om GDPR-compliant te worden:

  1. Maak (nieuwe) medewerkers binnen je bedrijf bewust van de GDPR-regelgeving. Zo kun je de gevolgen van de GDPR beter inschatten en eventuele wijzigingen binnen je organisatie doorvoeren.
  2. Maak een dataregister aan met daarin een overzicht van de persoonsgegevens die je verwerkt. Bepaal waar ze vandaan komen en met wie je ze deelt.
  3. Onderzoek kritisch waarom je bepaalde data hebt en of die wel echt nodig zijn. Zo mag je persoonlijke gegevens niet onbeperkt bewaren. Alleen in kaart brengen is niet genoeg. Het is verplicht om het kenbaar te maken in een privacyverklaring.
  4. Controleer de toestemming die je aan bezoekers vraagt. De wijze waarop je toestemming vraagt om iemands persoonsgegevens te verwerken moet volgens de GDPR vrij, specifiek, geïnformeerd en ondubbelzinnig zijn.
  5. Communiceer helder en duidelijk over je privacybeleid. Kijk nog eens goed naar je bestaande privacyverklaring met de GDPR in je achterhoofd en herschrijf deze waar nodig.
  6. Besteed aandacht aan privacyverhogende maatregelen bij het ontwikkelen van (nieuwe) producten en diensten zoals websites.
  7. Stel een procedure op zodat je een helder antwoord hebt als particulieren vragen hebben over hun persoonsgegevens.
  8. Stel een plan op voor het geval er toch een data lek optreedt. Zo kun je datalekken snel opsporen, onderzoeken en melden.
  9. Ga na of het voor jouw organisatie nodig is om een data protection officer (dpo) aan te stellen. Overheden en verwerkers die regelmatig en stelselmatig privacygegevens op grote schaal observeren, moeten een dpo aanstellen. Dat mag ook een externe adviseur zijn.
  10. Controleer de datastromen die naar niet-EU-landen gaan. Check of dat land over eenzelfde soort wetgeving beschikt als dat van de EU.

Data verzamelen in 3 categorieën

Als je data van gebruikers wilt verzamelen of opslaan, dan moeten gebruikers van je website daar vooraf duidelijke toestemming voor geven. Deze gegevens kun je onderverdelen in drie categorieën: persoonsgegevens, pseudo-anonieme data en anonieme data.

Onder persoonsgegevens vallen bijvoorbeeld de NAW-gegevens, een IP-adres of device-ID’s. Pseudo-anonieme data zijn persoonsgegevens die zo verwerkt worden dat ze niet langer herleid kunnen worden zonder het gebruik van aanvullende informatie, maar die wel een persoon individueel maken. Zoals bijvoorbeeld een versleuteld mailadres of gebruikers-ID. Anonieme data zijn uiteraard niet te herleiden tot persoonsgegevens.

Voor elke categorie gelden andere regels wat betreft toestemming en gegevensbescherming. Let hier dus goed op als je verschillende soorten klantdata hebt. Of het nu gaat om je CRM-systeem, klantenbestanden in Excel of een ander programma, je e-mailsysteem of een andere verzameling: alles valt onder de GDPR.

Stramark en GDPR

Uiteraard heeft de nieuwe wet ook gevolgen voor de werkzaamheden die we bij Stramark uitvoeren namens onze klanten. Denk daarbij aan remarketing, click/mouse tracking, Google Analytics en e-mailmarketing. Bij al deze werkzaamheden zijn we bezig met persoonsgegevens, al dan niet (pseudo-)anoniem. Daarom nemen wij o.a. deze maatregelen:

  • Elke website en server waar wij mee werken, moet helemaal up-to-date zijn. Dus alle security updates moeten snel draaien.
  • Elke website moet op het beveiligde protocol HTTPS draaien, zodat er een groen veilig-symbool in de browser verschijnt.
  • Onze klanten moeten voor hun website het privacystatement en de algemene voorwaarden bijwerken.
  • We hebben verwerkingsovereenkomsten afgesloten met al onze klanten en leveranciers, of zij staan op het punt om dat te doen.

Gevolgen voor profiling

Voor onze klanten doen wij ook profiling. Dit is het vergaren, analyseren en combineren van persoonsgegevens. Hiermee kennen we een profiel toe aan websitebezoekers. Ook remarketing gebeurt op basis van profiling. Met de komst van de GDPR moeten bezoekers vooraf weten wat de gevolgen zijn van profiling. Ze moeten ook de mogelijkheid voor een opt-out krijgen. Dat houdt in dat een bedrijf zonder voorafgaand signaal boodschappen mag versturen. Maar het bedrijf is verplicht om gegevens onmiddellijk te schrappen als bezoekers daarom vragen.

Veranderingen voor Google Analytics

We gebruiken analytische cookies om persoonsgegevens van sitebezoekers te verwerken in Google Analytics. Ook hierbij moeten we voldoen aan de GDPR. Daarvoor hebben we een bewerkersovereenkomst afgesloten met Google Analytics. We maken het IP-adres anoniem en we delen geen statistieken met Google. Uiteraard informeren we bezoekers dat we Google Analytics gebruiken, en dat we hun gegevens anoniem verwerken.

Wil jij weten wat de gevolgen zijn van de GDPR voor jouw online marketing? Neem contact met ons op.

Zoek je hulp bij het juist doorvoeren van de AVG/GDPR? Lees dan hieronder meer informatie over de QuickScan Privacy & Informatiebeveiliging en templates.

QuickScan Privacy & Informatiebeveiliging en templates

AVG/GDPR is een complex verhaal. Het is heel begrijpelijk als je geen tijd hebt om dit zelf uit te zoeken. Schakel dan een gespecialiseerde partij in die een Quickscan Privacy en informatiebeveiliging uitvoert. Dit gaat veel verder dan online marketing. Van de specialist krijg je een risicoanalyse en templates die je zelf invult. Het laten uitvoeren van de scan laat zien dat je het onderwerp serieus neemt, ook als je dit pas achteraf doet.

Om je een beeld te geven van wat je kunt verwachten, vind je hieronder een aantal vragen die aan bod komen. Zoals je ziet is het geen checklist die je zomaar even invult:

  • Hoe goed kun je nu al aantonen wat je doet voor de AVG?
  • In hoeverre heb je goed in beeld welke persoonsgegevens je verwerkt, en heb je de (verplichte) administratie op orde?
  • Hoe heb je de controle over de toegang tot de persoonsgegevens geregeld?
  • Hoe staat het met je datalekprocedure?
  • Staan al je leveranciers ‘onder controle’?
  • In hoeverre is de infrastructuur van jouw bedrijf AVG-proof?
  • Met welke vragen over de AVG en privacy worstel jij?

Op basis van de resultaten van het interview maakt de AVG-specialist een risicoanalyse. Hierbij staan tien tot vijftien risico’s centraal. De analyse richt zich op zowel het voldoen aan de AVG als informatiebeveiligingsrisico’s. Het bestaat vaak uit:

  • De resultaten van de risicoanalyse;
  • Een rapport met daarin een analyse van jouw situatie;
  • Aanbevelingen voor het oppakken van de belangrijkste risico’s;
  • Sjablonen waarmee je de grootste risico’s verkleint, zoals:
  • Voorbeeld overeenkomsten:

          – AVG/GDPR Geheimhouding
          – AVG/GDPR Verwerkersovereenkomst

  • AVG/GDPR Privacybeleid
  • AVG/GDPR Verwerkingenregister
  • AVG/GDPR Personeelschecklisten
  • AVG/GDPR Leveranciersregistratie
  • AVG/GDPR Datalekprocedure
  • AVG/GDPR PIA-sjabloon
  • AVG/GDPR Calamiteitenplan

Natuurlijk kost het inregelen van alle belangrijke zaken tijd en dus ook geld. Denk eraan dat het goedkoper is om het goed voor elkaar te hebben dan geconfronteerd te worden met de gevolgen voor jouw klanten, bezoekers en medewerkers. Vergeet ook niet dat de autoriteit persoonsgegevens stevige boetes oplegt. Het is de investering dus zeker waard.

Handige bronnen en leesvoer die wij aanraden:

Call Now Button