Vragen over de nieuw AVG druppelen bij ons binnen. Natuurlijk is iedere site eigenaar zelf verantwoordelijk voor zijn eigen privacy policy en dergelijke, maar wij geven graag tips en antwoorden. Er is veel online te vinden over de AVG. Wij gaan dan ook niet hier in detail uitleggen wat het inhoud, maar gaan er kort op in wat je zoal geregeld moet hebben.
Geel gemarkeerde delen in de tekst hieronder zijn zaken waar wij je bij kunnen helpen. Het meeste kunt u zelf doen zoals het schrijven van uw Privacy policy maar er zijn ook zaken waar je wellicht hulp en ondersteuning bij wilt hebben zoals het plaatsen van de voorwaarden of het maken van de nodige links in je footer of bij je nieuwsbrief inschrijf gedeelte op je website of het maken van een cookie melding. Dit zijn geen grote wijzigingen dus meestal zijn de kosten daarvan ook laag.
Een veel gestelde vraag aan ons is wat voor type cookies de site (van de betreffende klant) gebruikt. Klik hier voor meer informatie.
We hebben onlangs ook een Online aanvraagformulier gemaakt waar onze klanten gebruik van kunnen maken. Wanneer je die invult weet je direct wat er nog moet gebeuren en kunnen wij direct voor je aan de slag. Om deze in te vullen klik je hier.
AVG of GDPR voor iedereen van toepassing
AVG of GDPR wat betekend dat? AVG staat voor Algemene Verordening Gegevensbescherming en de engelse vertaling is GDPR ofwel General Data Protection Regulation. Alle webshopeigenaren of online ondernemers moeten deze nieuwe privacywetgeving echt naleven vanaf 25 mei 2017. Dus stel het niet uit en zorg er voor dat je hier aan voldoet.
Als mkb-ondernemer zijn onder andere dit jouw verplichtingen volgens de nieuwe wet:
- Je moet duidelijk zichtbaar een privacyverklaring op je website hebben
- Je hebt toestemming nodig van de personen van wie je gegevens verwerkt
- Personen van wie je gegevens verwerkt, hebben het recht hun persoonsgegevens in te zien, aan te passen en te verwijderen
- Je bent verplicht bewerkersovereenkomsten te hebben met alle bedrijven die voor jou persoonsgegevens verwerken denk daarbij aan online boekhoudsystemen of online nieuwsbriefsystemen.
- Personen van wie je gegevens verwerkt, hebben het recht op indienen van een klacht bij de Autoriteit Persoonsgegevens (AP)
- Je hebt meldplicht bij datalekken, dat doe je bij het Meldloket datalekken AP
Stap 1. Verse privacyverklaring
Zorg voor een nieuwe privacyverklaring die helemaal klaar is voor 25 mei. Als je aangesloten bent bij een keurmerk, dan zou je kunnen navragen welke rol zij hierin kunnen betekenen. Van Thuiswinkel.org weet ik dat zij een handige Privacy Policy generator hebben voor leden.
In een privacyverklaring staat in elk geval het volgende beschreven:
- Je bedrijfsgegevens
- Doeleinden (reden van de verwerking van de persoonsgegevens)
- Gevolgen van niet verstrekken van gegevens of bij uitschrijving
- Bewaartermijn
- Recht op inzage, aanpassing en verwijdering
- Klachtenafwikkeling
- Persoonsgegevens (welke persoonsgegevens verwerk je)
- Beveiligingsmaatregelen.Denk aan SSL en Onderhoud(scontract)
- Cookies
Om aan de nieuwe wetgeving te voldoen, moet in de cookiemelding te lezen zijn dat cookies pas geplaatst worden als mensen:
- Actief aangeven dat ze hiermee akkoord gaan, of
- Als ze verder navigeren door de website. Dit laatste is voor nu is de makkelijkste oplossing.
Google Analytics werkt op basis van IP-adressen, die je kunt herleiden naar personen en dat is daarom niet anoniem.
Om aan de nieuwe wetgeving te voldoen, moet in de cookiemelding te lezen zijn dat cookies pas geplaatst worden als mensen:
- Actief aangeven dat ze hiermee akkoord gaan, of
- Als ze verder navigeren door de website. Dit laatste is voor nu is de makkelijkste oplossing.
Bij Autoriteit Persoonsgegevens vind je daarvoor een handleiding. Wel mis je hiermee een aantal handige zaken, zoals de mogelijkheid van remarketing. Wil je deze wel (blijven) gebruiken, dan moet je de bezoeker wel vragen om de cookies van jouw website te accepteren. Wil je hiermee geholpen worden? Schakel dan een Google Analytics-expert in.
Maak in je footer een duidelijke link naar je privacyverklaring-pagina.
SSL-certificaat is noodzakelijk en het up-to-date houden van je website ook.
Informeer glashelder
Op het moment dat gebruikers persoonsgegevens achterlaten op je website, bijvoorbeeld met een e-mail opt-in, moet voor deze gegevens helder zijn waarom je ze nodig hebt en hoe je ze gaat gebruiken. Je moet bij het verzamelen van gegevens altijd verwijzen naar de privacyverklaring van jouw website of onderneming.
Duidelijk beschrijven waar iemand zich voor inschrijft, hoe vaak er wordt verstuurd en dat je je heel makkelijk – op elk gewenst moment – weer uit kan schrijven (opt-out). Bovendien moet de opt-in een duidelijke en bevestigende actie zijn. Verwijs bij elke opt-in met een link naar de privacyverklaring.
Voor de duidelijkheid: een opt-in is waar de eigenaar van een e-mailadres expliciet en aantoonbaar toestemming geeft voor het ontvangen van e-mail van een bepaalde mailinglist. Een opt-out daarentegen is exact het tegenovergestelde: waar je je kunt afmelden.
Accounts en instelling
Men moet zich ook specifiek kunnen afmelden voor dataprofilering. Dit is – heel eenvoudig gesteld – het opdelen van de doelgroep in groepen, zodat je deze een nog beter toegespitste boodschap kunt voorleggen, die hoogstwaarschijnlijk eerder leidt tot conversie. Onze nieuwsbriefsystemen doen dat al en geven dat ook aan in de footer van een nieuwsbrief, er staat dan zoiets als ‘klik hier om jouw profiel te wijzigen’.
Legale lijsten
Je moet al je e-mail opt-ins ‘registreren’. Achteraf moet je kunnen aantonen hoe je ze hebt verkregen en waarvoor deze personen precies toestemming hebben gegeven. Zo moet je dus onderscheid maken tussen opt-ins die worden verkregen als iemand een bestelling doet en bijvoorbeeld voor opt-ins die verkregen hebt via een pop-up of lead magnet (een gratis aanbod dat je doet aan je bezoeker in ruil voor het e-mailadres van deze bezoeker).
Maak verschillende groepen of lijsten binnen je nieuwsbriefsysteem. Als je de opt-ins automatisch koppelt met een universele plug-in, dan zal in de database duidelijk en eenvoudig terug te kijken zijn wanneer wie, waar en hoe iemand zich heeft aangemeld.
Let op! Kun je dit niet aantonen voor je huidige klantenbestand? Zorg dan nu eerst voor een e-mail met daarin een opt-in voor de daadwerkelijke e-maillijst, van waaruit je vervolgens gaat e-mailen. Alleen mensen die zich dan actief aanmelden zul je mogen blijven mailen. Overigens mag je klanten met wie je een betaalrelatie hebt, nog wel zonder actieve opt-in mailen over soortgelijke producten of diensten (yes!). Zelf zou ik altijd het zekere voor het onzekere nemen, heel transparant blijven communiceren én altijd een heel duidelijke opt-out bieden (mogelijkheid tot uitschrijving).
Tip! Stel een automatische mailing in om de nieuwe abonnees te verwelkomen. Zet hierin een aantrekkelijke (!) welkomsttekst met de informatie dat de ontvanger vanaf nu mail kan verwachten én die duidelijke opt-out. Vergeet daarin niet de links naar al je socialmedia-accounts te vermelden. Misschien wil de ontvanger geen nieuwsbrief van je, maar je wel volgen via social media.
Leg vast hoe lang je persoonsgegevens bewaart
Eigenlijk mag je persoonsgegevens niet langer bewaren dan noodzakelijk voor het doel van je verwerking. Onder het mom van statistische doeleinden kun je deze termijn vrij lang maken. Statistische doeleinden zijn als je de gegevens gebruikt voor bijvoorbeeld de opbouw van je statistieken of onderzoek. Beschrijf dit wel goed in je privacyverklaring. Overigens is dit (nog) een grijs gebied. Volg de berichtgeving over dit onderwerp dus goed.
Bewerkersovereenkomsten
Je hebt een bewerkersovereenkomst (ook wel DPA – data processing agreement genoemd) nodig met alle partijen die toegang hebben tot de persoonsgegevens die jij verzamelt. Dit is het vervelendste punt van die hele AVG, hoewel het niet nieuw is. De verwachting is dat er veel strenger gecontroleerd gaat worden en ook zijn er een aantal verplichte zaken bijgekomen.
Het betreft dus een overeenkomst die je afsluit met partijen als Google Analytics, MailChimp, hostingbedrijf, programmeur, et cetera. De overeenkomst biedt garanties dat de bescherming van de rechten van personen wordt gewaarborgd. Als er problemen ontstaan, kan de verwerker hier verantwoordelijk en aansprakelijk voor zijn.
Actie! Maak een lijstje van de partijen waarmee jij samenwerkt inzake de verwerking van persoonsgegevens. Ga na hoe dit eventueel nu is geregeld. Er bestaat een grote kans dat de betreffende partij al zo’n overeenkomst heeft klaarliggen. Is er geen overeenkomst, zorg dan dat dit in orde komt. Er zijn diverse modelovereenkomsten in omloop, zoals deze van Juridox. Veel meer over bewerkingsovereenkomsten lees je bij Justitia.
Extra to-do’s voor je nieuwsbrief
- Zorg dat alle opt-ins die je hebt binnen je website, shop, social media en landingspagina’s voldoen aan de eisen die hierboven staan beschreven. Vergeet ook je lead-magnets niet!
- Als iemand nog geen 16 jaar is, moet iemand met ouderlijk gezag (mede)toestemming geven
- Overbodig om te vermelden eigenlijk, maar toch: je mag iemand natuurlijk niet meer mailen als iemand zich uitschrijft voor je nieuwsbrieven
- Een ‘noreply@’-e-mailadres mag onder de nieuwe wetgeving niet meer. Als je dat nu gebruikt als afzender voor je (nieuwsbrief)mailverkeer, dan moet je dat aanpassen naar een adres waar de ontvanger wel naar kan mailen
- Alleen iemands naam en mailadres vallen onder ‘gewone informatie’ die je mag opvragen. Vraag je bijvoorbeeld om een geboortedatum, dan moet je laten weten waarom (een verrassing op je verjaardag). Zulke data niet verplicht moeten zijn om je te kunnen aanmelden.
- Ga na of de softwareleverancier van jouw nieuwsbrief AVG-proof is