Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Vanaf deze datum geldt dezelfde privacywetgeving in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De nieuwe wetgeving heeft grote consequenties voor digital marketing, analytics en de wijze waarop organisaties om moeten gaan met privacygevoelige data. Wij delen een korte GDPR checklist waar je vanaf nu rekening mee moet houden.
1. Expliciete toestemming
Vanaf 25 mei mag je alleen nog marketingmails versturen naar mensen die actief hebben aangegeven dat zij die communicatie van jou willen ontvangen, dit moet via een single opt-in en mag niet van tevoren aangevinkt zijn. Heb je dit niet, dan horen de emailadressen ook niet thuis op je mailinglijst.
2. Het recht om vergeten te worden
Consumenten en gebruikers mogen op ieder moment van jouw bedrijf eisen om “vergeten” te worden. Dit betekent: persoonlijke gegevens van de consument verwijderen uit je database of systemen. Wanneer jij als verwerker die gegevens hebt doorgegeven aan andere partijen, zoals een online marketing agency of een software leverancier, dan is het jouwverantwoordelijkheid om ervoor te zorgen dat zij de gegevens daar ook verwijderen.
3. Documentatieplicht
Je dient bij te houden waar en hoe je de aanwezige persoonsgegevens hebt verzameld en wat je ermee doet. De bron en het doel van die gegevens moeten ook op ieder moment terug te vinden zijn, zodat je bij een eventuele controle of een geschil kunt aantonen waar je de gegevens vandaan hebt. Gegevens waarvan je de bron niet meer weet, moeten dan ook verwijderd worden.
4. Procedure bij gegevensverlies
Een van de vereisten van de AVG is dat je de verzamelde gegevens goed en veilig beheert. Dat betekent: de gegevens beschermen tegen toegang door onbevoegden en beschermen tegen diefstal, misbruik en vernietiging. Als je ondanks alle maatregelen toch het slachtoffer wordt van een datalek, ben je verplicht om dit te melden bij de Autoriteit Persoonsgegevens en aan de gebruikers zelf.
5. Documenteren van automatische profilering
Wanneer je gebruikmaakt van doelgroepen in Google Analytics, bv. voor RLSA, Remarketing of voor Facebook, dan is de kans groot dat je aan automatische profiling doet “doelgroepen maken op basis van gelijkwaardige kenmerken van bezoekers of op basis van bezoekersgedrag“. Dit mag nog steeds, maar dan moet je dit wel duidelijk vermelden in je privacy policy.
6. Verwerkersovereenkomst
Net als onder de Wbp is het onder de AVG/GDPR verplicht om een overeenkomst af te sluiten met verwerkers van de gegevens. Nieuw is dat de GDPR een aantal verplichte onderdelen van deze overeenkomst noemt, waaronder:
– het doel van de verwerking;
– het soort persoonsgegevens dat wordt verwerkt;
– de categorieën van betrokkenen;
– dat er passende beveiligingsmaatregelen zullen worden genomen;
– dat de verwerker meewerkt aan audits om te controleren of de verwerker zich aan alle verplichtingen houdt en na afloop van de verwerking de persoonsgegevens vernietigt of retourneert aan de verantwoordelijke.
– Ook mag de verwerker niet meer een derde partij inschakelen zonder de voorafgaande schriftelijke toestemming van de verantwoordelijke
Als je deze korte AVG/GDPR checklist doorleest… is jouw organisatie dan al GDPR compliant?
Doe onze scan!
Deze scan dient om in kaart te brengen welke online wijzigingen er nodig zijn om te voldoen aan de wetswijziging AVG/GDPR. In deze scan zullen wij aan de hand van een door ons gemaakte checklist jouw website in kaart brengen en de volgende onderdelen controleren:
– Privacyverklaring
– Verwerkersovereenkomst
– Voorwaarden voor alle optins/formulieren op je website
– Cookies
– Informatie in mailings en bestaande e-maillijsten