De nieuwe privacy wet (AVG) Wat betekent dit voor jouw website en online marketing?

privacy-wetgeving-avg-websites-online-marketing

De nieuwe privacy wet (AVG) Wat betekent dit voor jouw website en online marketing?

Naast tegenvallende rankings in de zoekresultaten en websites met te weinig conversie  is op dit moment veruit de grootste zorg van website eigenaren en bedrijven bij wie de online marketing draait rond het verzamelen van data. Want ondanks het feit dat de verplichte uitrol van AVG (25 mei 2018) nog even duurt, wordt er heel veel van je bedrijf verwacht om te voldoen aan de GDPR richtlijnen.

Wat is GDPR?

De GDPR (General Data Protection Regulation, of in het Nederlands Algemene Verordening Gegevensbescherming (AVG) is een Europese wet die als doel heeft de om bescherming van persoonlijke gegevens op een gestructureerde manier te waarborgen. De wetgeving is vooral om consumenten te beschermen tegen allerlei malafide praktijken waarbij persoonlijke gegevens wordt gebruikt voor discutabele doeleinden als spamming en phishing. De basis van AVG is relatief eenvoudig uit te leggen in een aantal punten:

Explicit consent

Heel wat bedrijven sturen de ene spam-mailing na de andere uit naar ontvangers die in een ver verleden een keertje hun gegevens hebben achtergelaten, of nog erger: naar hele lijsten die via koud bellen, het opkopen van gegevens of andere louche praktijken zijn vergaard. De AVG moet hier een einde aan maken, want vanaf 25 mei 2018 mag je alleen nog marketingmails versturen naar mensen die ook effectief hebben aangegeven dat ze die communicatie van jou willen ontvangen, dit via een single opt-in. Heb je die niet, dan horen de adressen ook niet thuis in je mailinglijst.

Single opt-in

Bij opt-in heeft de eigenaar van een e-mailadres expliciet en aantoonbaar toestemming gegeven voor het ontvangen van e-mail van een bepaalde mailinglist. De e-mailberichten zijn gewenst, in tegenstelling tot spam.

 

Right to be forgotten

Consumenten of gebruikers kunnen op ieder moment van jouw bedrijf eisen om ‘vergeten’ te worden. Dat betekent: de persoonlijke gegevens van je consument verwijderen uit je database of systemen. Wanneer jij als verwerker  die gegevens hebt doorgegeven aan andere partijen, zoals aan een online marketingbedrijf of aan softwareleveranciers, dan is het jouw verantwoordelijkheid om ervoor te zorgen dat hun gegevens ook daar worden verwijderd.

Verwerker

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

 

Documentatieplicht

De documentatieplicht houdt in dat je moet bijhouden waar en hoe je de aanwezige persoonsgegevens hebt verzameld en wat je ermee doet. De bron en het doel van die gegevens moeten ook op ieder moment terug te vinden zijn, zodat je bij een eventuele controle of een geschil kunt aantonen waar je de gegevens vandaan hebt. Gegevens waarvan je de bron niet meer weet, moeten dan ook verwijderd worden.

Procedure bij gegevensverlies

Een van de vereisten van de AVG is dat je de verzamelde gegevens goed en veilig beheert. Dat betekent beschermen tegen toegang door onbevoegden en beschermen tegen diefstal, misbruik en vernietiging.

Wanneer je ondanks alle maatregelen toch het slachtoffer van een datalek? Dan ben je verplicht om dit binnen de 72 uur te melden bij de Autoriteit Persoonsgegevens en aan de gebruikers zelf. Een vooropgestelde noodprocedure is dan ook geen overbodige luxe. Want een datalek zit heel vaak in een klein hoekje.

Documenteren van automatische profilering

Maak je gebruik van remarketing d.m.v. Google Adwords, Facebook of iets anders? Dan is de kans groot dat je aan automatische profiling doet: het invullen van een bepaald profiel op basis van gelijkwaardige kenmerken met andere personen van de doelgroep of op basis van bezoekersgedrag. Dit mag nog steeds, maar je moet het duidelijk melden in je privacy policy.

Privacy policy

Een privacy policy (ook wel privacy statement of privacyverklaring genoemd) een juridisch document. In dat document wordt omschreven wat een bedrijf doet met de persoonsgegevens die verzamelt worden via bijvoorbeeld de website of webwinkel.

 

AVG en online marketing

De grootste gevaren liggen bij het gebruik van gegevens in zogenaamde third party tools, het koppelen van anonieme data aan reeds bekende gegeven. Een paar voorbeelden:

Third party tools:
Laten we Facebook en AdWords even als voorbeeld nemen. Remarketing acties opzetten op basis van een lijst mailadressen? Handig en vaak garant voor goede resultaten. Maar wat gebeurt er bij die bedrijven met die data, waar jij verantwoordelijk voor bent? Zorg er dus voor dat je goed in kaart hebt gebracht waar je adressen vandaan komen en check met deze leveranciers hoe zij omgaan met deze gegevens en datalekken.

Google Analytics:
In principe zou het aanvinken van ‘cookies toestaan’ in je browser volstaan als toestemming voor het gebruik van Analytics. Maar er zijn een paar zaken die extra aandacht vereisen. Staan onderstaande opties actief in je Google Analytics? Voeg dan maar meteen een melding toe aan je privacy policy.

google analytics remarketing

Opletten, dus. En vooral een duidelijke cookie policy opstellen die duidelijk maakt voor welke doeleinden je die Analytics data gaat gebruiken.

Inbound marketing:
Bij inbound marketing gaat het erom dat je gevonden wordt. SEO oftewel zoekmachine optimalisatie is de belangrijkste factor. Potentiele klanten zoeken online naar informatie en door slimme inbound marketing technieken wordt jouw content gevonden en zorg je er ook voor dat deze potentiele klanten met jou in contact willen blijven.

In tegenstelling tot andere marketingtechnieken, draait Inbound Marketing en rond de aandacht van mensen. Door het inzetten van landingspagina’s en formulieren, verzamel je toestemming van potentiele klanten om hun content toe te sturen.

Hier is het invoeren van een double opt-in  een vereiste. Eenvoudig op te lossen met een selectievinkje onder je formulier, dat vraagt of mensen je mails willen ontvangen nadat ze het formulier hebben ingevuld.

Double opt-in

Net als bij gewone single opt-in geeft de eigenaar van een e-mailadres  toestemming voor het gebruik van zijn adres voor bijvoorbeeld het ontvangen van een nieuwsbrief via e-mail. Bij een double opt-in wordt deze toestemming 2x bevestigd. Bijvoorbeeld doordat de abonnee van een nieuwsbrief na de inschrijving via de website deze inschrijving nogmaals dient te bevestigen via een klik op een unieke link in een activatiemail.

 

Let op: geen vooraf aangevinkte vakjes. De AVG vereist een actie van de gebruiker zelf voor toestemming, een vooraf aangevinkte vakje is dat dus niet. Daarnaast vereist de AVG ook dat je vermeldt waarom je deze gegevens verzamelt. Je kunt dus ook het beste de volgende zaken benoemen.
-Waarvoor de data wordt gebruikt
-Een link naar je privacy policy
-Duidelijke opt-in en opt-out regels (ook in je privacy policy)

Beveiliging

Je bent zelf verantwoordelijkheid voor de veiligheid van je website. Denk hierbij aan het pro-actief beveiligen van je website, het op de juiste manier updaten van thema’s / plugins en het maken van dagelijkse back-ups. Ben je hier niet goed in thuis of ontbreekt het je aan de tijd om dit te doen? Dan kun je deze taken d.m.v. een onderhoudspakket voor jouw website aan ons overdragen.

Onder de AVG ben je verplicht om te zorgen voor een optimale beveiliging van persoonsgegevens. Sla je formulieren of (nieuwsbrief-) aanmeldingen op via je site? Dan is een SSL certificaat (HTTPS) verplicht. Uiteraard geldt dit ook voor alle webshops. Lees hier meer over in het artikel het gebruik van een SSL certificaat.

Wat kan ik zelf doen?

Er zijn al heel wat dingen die je momenteel zelf kunt uitvoeren om jezelf ‘AVG proof’ te maken:

  1. Screen je bestaande database met persoonsgegevens en identificeer de personen die je geen expliciete toestemming hebben gegeven.
  2. Stel een plan van aanpak op om hen alsnog om toestemming te vragen.
  3. Maak een overzicht van de manier waarop jij persoonsgegevens verzameld en analyseer de mogelijke fouten daarin.
  4. Zorg voor een duidelijke privacy policy op je site: eentje die duidelijk is, transparant en volledig.
  5. Zorg er voor dat je op een juiste manier informeert over het gebruik van cookies op je website. Maak dus een goede cookie disclamer. Lees het artikel cookies op WordPress website voor mee informatie.
  6. Geef in je Algemene Voorwaarden of in een bijlage daarvan duidelijk aan hoe jij omgaat met de AVG en de regels en afspraken daaromtrent.
  7. Zoek een partij die jou kan helpen met het onderhoud en up-to-date houden van jouw website.
  8. Schaf een SSL certificaat aan. Dit kan bijvoorbeeld heel eenvoudig en voordelig hier: SSL certificaat bestellen.

Veelgestelde vragen over de AVG

1. Is AVG van toepassing op mijn bedrijf?

Als jouw bedrijf persoonsgegevens verwerkt, dan is AVG van toepassing op jouw bedrijf. Concreet betekent het dat elk bedrijf dat data verzamelt die gekoppeld kan worden aan privé-gegevens als naam of mailadres gebonden is aan AVG. Die privé-gegevens zijn onder meer expliciete data als de voornoemde naam of email, maar ook zaken als IP-adressen, social media. Ook niet Europese bedrijven die gegevens van EU personen verwerken, moeten zich houden aan deze regels.

2. Wat is een DPO en heb ik er een nodig?

Een DPO of Data Protection Officer is een data expert die voortdurend toezicht houdt op de naleving en implementatie van AVG binnen een bedrijf. Oorspronkelijk werd gezegd dat alle bedrijven van meer dan 250 werknemers een DPO moeten aanstellen.

3. Wanneer moet ik alles op orde hebben m.b.t. de AVG en wat zijn de mogelijke gevolgen als dat niet het geval is?

De nieuwe wetgeving rond AVG wordt actief op 25 mei 2018. Bedrijven die op die datum niet in orde zijn met AVG en worden aangeklaagd door een gebruiker, kunnen boetes krijgen die kunnen oplopen to 4% van de omzet, met een maximum van 20 miljoen euro.

4. Hoe lang mag ik data dan eigenlijk bijhouden?

Niet langer dan nodig. Er wordt van bedrijven verwacht dat ze verantwoord omgaan met data van klanten en leads en enkel bijhouden wat relevant is, zolang het relevant is.

5. Moet ik mensen informeren over gegevens verzameling?

JA! Een degelijke privacy policy met een verplichte melding van gebruikte cookies en andere manieren om data te verzamelen, samen met uitleg en redenen waarom die gegevens worden verzameld en wat er vervolgens mee gebeurt, is dan ook verplicht.

6. Mag ik alle gegevens die ik wil verzamelen?

Nee. De AVG voorziet alleen in het verzamelen van gegevens die relevant zijn voor je bedrijf of promotie. Het verzamelen van een telefoonnummer, e-mailadres of functie is algemeen aanvaard, maar onderwerpen zoals leeftijd, bedrijfsomzet of voorkeuren kunnen als niet relevant en overbodig beschouwd worden.

Tot slot

Wanneer je onderhoudscontract hebt voor je website zorgen wij voor het plaatsen van o.a. de algemene voorwaarden, de privacy disclamer en de cookie meldingen voor je. Ook de updates van thema’s en plugins nemen dit voor onze rekening. Als er bij het updaten iets misgaat, dan lossen wij het op. Het onderhoud van je website is namelijk onze verantwoordelijkheid geworden. Naast de updates maken we ook extra dagelijkse backups van de database en wekelijkse backups van de gehele website. Ook ben je zeker van een beveiligde website d.m.v. een SSl certificaat.

Dit is geen juridisch artikel en hieraan kunnen geen rechten worden ontleend.

Reacties

reacties

Send this to a friend