Per 25 mei 2018 is het zover: de AVG Wet wordt bekrachtigd in de gehele EU. De meeste mensen weten dat het over persoonsgegevens en privacy gaat, maar wat betekent het concreet? Het is duidelijk dat het niet naleven van de wet een behoorlijke boete kan opleveren. Het is zaak om de belangrijkste punten van de AVG wet goed in kaart te brengen. Hoewel er altijd eerst een waarschuwing volgt bij eventuele misstappen, blijft voorkomen beter dan genezen.
De AVG-wet vanwege het privacyprobleem
Er is heel veel te doen om de opslag van data, en volgens velen is er sprake van een privacyprobleem. Het is duidelijk dat het een uitdaging is om goede afspraken te maken op het gebied van klantgegevens en data.
Het is goed om dit alles positief in te zien en de kansen die eruit voortkomen te grijpen. Je hebt altijd te maken met klanten, niet met hun gegevens. Als dit het uitgangspunt is, veranderd er niet zoveel. De geest van deze wet – namelijk om de privacy tot op zekere hoogte te beschermen – is eigenlijk de ideale mogelijkheid om een zo goed mogelijke customer experience te creëren en tevens het privacyprobleem serieus te nemen.
De andere kant van de medaille van de AVG-wet
Stiekem is deze wetgeving allemaal zo slecht nog niet. Hoeveel klanten zijn er wel niet op de mailinglijst gekomen die daar eigenlijk niets mee doen?
Klanten die zich nu inschrijven hebben daar wat moeite voor gedaan. De kwantiteit gaat misschien wat omlaag, maar de kwaliteit gaat wel omhoog. Tevens is het goed om te tonen dat je als bedrijf dit serieus neemt en zorgvuldig met privacy omgaat.
AVG-wet: de veranderingen voor individuen
De wetgeving komt niet uit de lucht vallen en is ook niet nieuw. Er was al een privacywetgeving, maar de AVG Wet komt hiervoor in de plaats. Deze wet beschermt de gegevens van individuen en geeft ze meer grip op deze data. Mensen maken zich zorgen over hun privacy, en via deze wet kunnen die zorgen wat worden weggenomen. Consumenten worden beschermd tegen het volledig opslaan van hun dataverkeer.
AVG-wet: de veranderingen voor bedrijven
De veranderingen (kansen) voor bedrijven zijn als volgt:
- Bedrijven worden door de wet verplicht zorgvuldig met data om te springen.
- Ook moet kunnen worden aangetoond hoe deze worden verkregen. Het is essentieel nu helder te krijgen welke gegevens worden verzameld, waarom ze worden verzameld, waar ze worden bewaard en wie er allemaal toegang tot hebben. Het is verstandig om de hoeveelheid gegevens die je vraagt te beperken.
- Consumenten moeten ook toestemming geven over gebruik van hun gegevens. Dit is eigenlijk niet anders dan wat het al was onder de Wet bescherming persoonsgegevens (Wbp). Dit komt tot uiting in het accepteren van de cookies, maar ook het gebruik van emailmarketing. Hierover zometeen meer.
- Ook de beveiliging wordt nu steeds belangrijker. Als er gegevens op straat komen te liggen, moet dit bij de Autoriteit Persoonsgegevens worden gemeld. Het is belangrijk ook de website te beschermen. Hierdoor wordt een https-website essentieel. Bij J&R Marketing kunnen we u aan deze bescherming helpen.
Acht zaken om op te letten bij de AVG-wet
Hieronder volgt nog een checklist die je kunt afwerken om te voldoen aan de AVG-wetgeving:
- Alleen écht vereiste gegevens vragen (naam, mailadres)
- Het gebruik maken van cookies vereist expliciete toestemming van de bezoeker. Een cookie is een klein tekstbestand dat informatie over de bezoeker opslaat. Er zijn noodzakelijke cookies op de website te laten functioneren, maar ook niet-noodzakelijke cookies die belangrijk zijn voor statistiek en marketing. Hier moet expliciet toestemming voor komen. Bij J&R Marketing hoef je je hier geen zorgen over te maken: wij zijn hier op voorbereid en doen er alles aan tegelijkertijd transparant en waardevol mogelijk te zijn. Zo moeten bezoekers straks toestemming geven om hun surfgedrag op de website bij te houden. Door dit op een speelse en makkelijke manier in te steken, is de kans op vrijwillige toestemming het grootst.
- Voor het verzamelen van persoonsgegevens bestaat momenteel al de Telecommunicatiewet die stelt dat je een opt-in (expliciet toestemming geven om op de mailinglijst te komen door je gegevens achter te laten) moet vragen. Dit blijft zoals het is: je hebt dus geen toestemming nodig om mailings aan klanten te versturen. Wat veranderd is de bewijslast: je moet kunnen aantonen dat de opt-in op de juiste wijze is gegaan, ook met terugwerkende kracht. Als je heldere, vrijwillig gegeven opt-ins hebt dan is er niets aan de hand, behalve dan dat je het moet opslaan. Als je gebruik maakt van mailingproviders zoals MailChimp of ActiveCampaign, dan doe je dit in principe automatisch.
- De AVG geeft geen exacte tijdslimiet voor het bewaren van persoonsgegevens, maar stelt dat het doel waarvoor de gegevens verzameld zijn als termijn dient. Zijn de gegevens nog nodig voor dat doel? Dan mag het gebruikt worden.
- Het gebruik van Google Analytics moet toestemming krijgen van de gebruiker. Als je dat niet wilt, kun je instellingen aanpassen binnen Analytics. Dan hoef je geen toestemming te vragen. Dit kan als je:
a) een bewerkersovereenkomst met Google sluit.
b) de ip-adressen anoniem verwerkt. Dit kun je gewoon aanvinken.
c) ervoor zorgt dat je het delen van gegevens met Google uitzet. - d) informeer je bezoekers dat er Google Analytics wordt gebruikt. Dit kun je in de disclaimer aangeven. Je stipt aan dat er Analytics Cookies worden gebruikt en dat je alle bovenstaande punten hebt uitgezet. Tevens vermeld je dat of er gebruik gemaakt van andere Google-services icm Google Analytics.
- Wat betreft emailmarketing kun je je huidige mailinglijst gewoon blijven gebruiken als ze op de juiste wijze zijn verkregen. Vanaf 25 mei echter moet er expliciete toestemming komen van mensen die zich inschrijven op de mailinglijst. Ook moet er een privacy policy komen.
- Als een organisatie de verwerking van persoonsgegevens uitbesteedt aan een andere organisatie, is er een zogeheten verwerkersovereenkomst Hierin dienen zaken als geheimhouding, beveiliging en instructies voor de verwerkende partij.
- Het wordt verplicht om te kunnen aantonen dat je op de correcte wijze omspringt met de persoonsgegevens. Door in een document vast te leggen wat je doet, kun je dit gemakkelijk laten zien. In dit document noteer je waarom je de gegevens verzamelt, hoe je dit doet, wanneer dit is gedaan en wie dit heeft gedaan. Ook bij uitbesteding van het verzamelen van de persoonsgegevens dien je dit in het document mee te nemen. Verzamel in dit document ook de manier waarop je toestemming hebt verkregen, simpelweg door er een screenshot in te plaatsen.
- Inzage in de persoonsgegevens: Betrokkenen hebben recht om inzicht te krijgen in hun persoonsgegevens. Dit moet te allen tijde gratis. Ook hebben mensen het recht om vergeten te worden. Door een goede documentatie kun je dit overleggen.
AVG-wet als kans
In conclusie kunnen we zeggen dat het extra werk vraagt. Dit is zeker waar, en tegelijkertijd is het een kans om te laten zien dat je consumenten en privacy serieus neemt. Door in te zetten op kwalitatief goede bezoekers die echt iets van je bedrijf willen, ben je misschien wel veel efficiënter. Bovendien kun je door het zogeheten gerechtvaardigd belang gewoon nog identificeerbare data gebruiken voor je marketing.
Het is belangrijk klaar te zijn voor de AVG-wetgeving, en dit ook duidelijk naar buiten toe laten merken: dan is dit een hele grote kans, in plaats van een last.