Wat zijn persoonsgegevens volgens AVG?
Persoonsgegevens wordt door AVG omschreven als ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Dat zijn onder andere NAW-gegevens, e-mailadressen, ip-adressen, een foto, BSN-nummer maar bijvoorbeeld ook de aankoopgeschiedenis die je in de afgelopen jaren zorgvuldig hebt opgebouwd.
Aan welke eisen moet je voldoen:- toestemming van de personen van wie je gegevens verwerkt;
- geef aan voor welke doeleinden de gegevens gevraagd en verwerkt worden;
- je moet kunnen aantonen hoe je de gegevens hebt verkregen en waar deze personen toestemming voor hebben gegeven;
- personen hebben het recht hun persoonsgegevens in te zien, aan te passen, te verwijderen en over te dragen naar een andere partij (dataportabiliteit);
- personen hebben het recht op indienen van een klacht bij de Autoriteit Persoonsgegevens;
- bedrijven/organisaties hebben meldplicht bij datalekken;
- je moet een DPIA (data protection impact assessment) uitvoeren als de beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt;
- beveiliging moet op orde zijn. Denk aan de verplichting van een SSL-certificaat (HTTPS) voor je formulieren;
- je bent verplicht bewerkersovereenkomsten te hebben met alle bedrijven die persoonsgegevens voor je verwerken;
- je moet duidelijk zichtbaar, bijvoorbeeld in de footer, een privacyverklaring op je website hebben. De privacyverklaring moet nóg transparanter worden;
- je verzamelt niet meer persoonsgegevens dan nodig en je moet actief informatie verwijderen wanneer deze niet meer relevant is;
- maak je interesseprofielen van klanten of websitebezoekers, dan moet je inzage kunnen geven over hoe dat gebeurt en wat je met die gegevens doet;
- Google Analytics: sluit met Google een verwerkingsovereenkomst. Dit is eenvoudig aan te passen in de accountinstellingen. Stop met delen van gegevens met Google Analytics. Pas de trackingcode aan en anonimiseer het ip-adres van de gebruiker (let op: dit heeft gevolgen op bijvoorbeeld remarketing). Als je Analytics volledig gebruikt dan moet je expliciet toestemming vragen aan je websitebezoekers;
- sommige organisaties kunnen verplicht worden om een functionaris voor gegevensverwerking aan te stellen (denk aan grote overheidsinstellingen).
Privacy by design en default
Privacy by design houdt in dat je bij het ontwerpen van producten en diensten (bijvoorbeeld een website) zorgt dat persoonsgegevens goed worden beschermd. Bijvoorbeeld door gegevens zo veel mogelijk te pseudonimiseren en anonimiseren
Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat standaard alléén persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.
E-mailmarketing en AVG
De AVG vervangt niet de huidige Telecomwet. Als je dus de Telecomwet naleeft is er niet veel aan de hand. Wel is het zo dat je persoonsgegevens alleen mag inzetten voor het doel waarvoor je ze hebt verzameld. Stuur je meerdere nieuwsbrieven, dan moet je voor elk soort nieuwsbrief toestemming hebben om te versturen. Heb je een mailadres verkregen voor het versturen van nieuwsbrieven met tips over tuinieren, dan mag je hetzelfde mailadres niet gebruiken voor het sturen van aanbiedingen.
Een dubbele opt-in is niet per se nodig, maar wel verstandig. De e-mail opt-in moet een specifiek, ondubbelzinnig en een bevestigende actie zijn en moet worden opgeslagen in een e-mailmarketingdatabase. Je moet hierin aan kunnen tonen waarom je nieuwsbrief stuurt en per mail-onderwerp de frequentie en het doel aangeven.
Wat te doen met huidige data?
Bij ingang van de nieuwe wetgeving moet je kunnen aantonen hoe je data – bijvoorbeeld opt-in nieuwsbrief - hebt verkregen. Dat houdt in dat de opt-in status, hoe en wanneer je de opt-in hebt verkregen en welke toestemming is gegeven, aan moet kunnen tonen. Heb je de opt-in niet goed geregeld? Mail diegene voor 25 mei 2018 met de vraag of ze nog ingeschreven willen blijven – inclusief een duidelijke aanmelding - voor de nieuwsbrief. Bij een ‘nee’ of geen antwoord moet diegene uit de lijst gehaald worden.
Hoe verder? Zorg ervoor dat de juiste mensen binnen je organisatie op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.
Heb je hier hulp bij nodig? Maak een
AVG update afspraak met AdActive Online Marketing. Wij nemen de verdere achtergrondinformatie omtrent de AVG met je door, bekijken de huidige situatie en geven advies over het juist toepassen van de AVG.
Deze post is een beknopte samenvatting van de AVG. Dit is geen juridisch advies en hieraan kunnen geen rechten ontleend worden.