Partout d.n.a.
Blog

Algemene Verordening Gegevensbescherming (AVG)

Welke gevolgen heeft de nieuwe privacywet van 2018 voor jouw database en e-mail strategie?

Geschreven door Britt van Keulen op 25 oktober 2017

In 2018 verandert de privacy wetgeving omtrent de verwerking van persoonsgegevens. De huidige Wet bescherming persoonsgegevens vervalt. De nieuwe wet moet ervoor zorgen dat persoonsgegevens beter beveiligd worden en dat de consument meer te zeggen heeft over zijn gegevens. ‘Toestemming’ is hierbij hét sleutelwoord.

25 mei 2018, van WBP naar AVG

In 2016 werd de nieuwe Europese privacywet, de zogenaamde General Data Protection Regulation (GDPR-wet), aangenomen. In Nederland wordt deze wet de Algemene Verordening Gegevensbescherming (AVG) genoemd. De AVG gaat officieel gelden vanaf 25 mei 2018. Zorg dat je voorbereid bent!

De vervanging van de huidige Wet Bescherming Persoonsgegevens (WBP) door de nieuwe Europese verordening vraagt waarschijnlijk om een aantal aanpassingen van jouw strategie rondom e-mailmarketing en databasemanagement.

Waarom wordt de privacy wetgeving veranderd?

De huidige Europese privacyrichtlijn stamt nog uit 1995. Niet zo verrassend dus dat deze niet meer aansloot op onze huidige digitale wereld. Daarnaast mocht tot nu toe elk land gedeeltelijk zelf invullen hoe er omgegaan werd met bescherming van gegevens. Het doel van de nieuwe verordening voor gegevensbescherming is om de privacy en omgang met persoonsgegevens in de gehele EU zo veel mogelijk gelijk te trekken.

De nieuwe privacywet moet zorgen voor meer duidelijkheid op het gebied van privacy en omgang met persoonsgegevens, zowel aan consumentenkant als aan bedrijfskant. Daarnaast is een belangrijk onderdeel van de wet dat persoonsgegevens beter beschermd worden.

De wet voor databescherming geldt overigens niet alleen voor Europese organisaties die persoonsgegevens verwerken. Ook organisaties buiten de EU die gegevens verwerken van EU inwoners moeten zich conformeren aan de Europese Algemene Verordening Gegevensbescherming.

Wat hebben de veranderingen van de AVG voor invloed op e-mail- & databasemarketing?

Een samenvatting van de complete Algemene Verordening Gegevensbescherming, bestaande uit 88 pagina’s, kun je hier lezen. Speciaal voor marketeers hebben wij de belangrijkste veranderingen voortkomend uit de nieuwe AVG in begrijpelijke taal op een rij gezet:

Toestemming

  • De regels ten aanzien van het verzamelen van toestemming (opt-in) zijn strikter en strenger; er moet expliciete toestemming gegeven worden.
    • Het is verboden om een opt-in checkbox al aangevinkt te hebben staan. Er moet sprake zijn van een actieve handeling. Bovendien moet er in begrijpelijke, gewone taal, vermeld worden waarvoor er precies toestemming gevraagd wordt.
    • Een opt-in moet los uitgevraagd worden en mag niet dubbelzinnig zijn of onderdeel zijn van algemene voorwaarden.
    • Bij toestemming voor verschillende doeleinden (bijvoorbeeld een maandelijkse nieuwsbrief en een wekelijkse aanbiedingsmail) moet er voor ieder doel apart toestemming worden gevraagd.
  • Er zijn nieuwe eisen voor het bijhouden van toestemming. Tenminste de volgende punten moeten in je database bijgehouden worden:
    • Wanneer een opt-in is gegeven.
    • Waarvoor de opt-in is gegeven (bijvoorbeeld voor de B2B nieuwsbrief of de B2C nieuwsbrief).
    • Waarvoor toestemming is gegeven (exacte opt-in-tekst).
    • De manier waarop toestemming is gegeven (bijvoorbeeld met een double opt-in).

Verwerking

Naast het bijhouden van herkomst en waarvoor toestemming gegeven is, moet ook de huidige database in lijn gebracht worden met de nieuwe richtlijnen.

  • Voorbeeld: heb je in het verleden gewerkt met verschillende opt-in teksten? Zorg dan dat deze teksten aan je database toegevoegd worden. Er moet per e-mailadres teruggevonden kunnen worden, met welke opt-in-tekst men een opt-in afgegeven heeft.
  • Alleen persoonsgegevens die noodzakelijk voor het doel zijn mogen verwerkt worden
  • Persoonsgegevens moeten op een transparante manier worden verwerkt
  • Persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen
  • Verwerk je niet zelf alle gegevens en werk je samen met een bureau voor (bijvoorbeeld) je e-mailmarketing activiteiten? Zorg dan dat je vóór 25 mei 2018 met elke partij die voor jou data verwerkt een bewerkersovereenkomst vastlegt (mocht dat nog niet zo zijn). Nieuw in de AVG (GDPR) is dat je een aantal verplichte onderdelen moet noemen in deze overeenkomst:
    • Doel van de verwerking;
    • soort persoonsgegevens;
    • betrokkenen die werkzaam zijn met de betreffende data;
    • dat passende beveiligingsmaatregelen zullen worden genomen;
    • dat de bewerker zich aan alle verplichtingen houdt;
    • dat na afloop van de verwerking de persoonsgegevens geretourneerd worden aan de verantwoordelijke of vernietigd worden;
    • dat er pas een 3e partij ingeschakeld wordt na schriftelijke toestemming van de verantwoordelijke.
  • Protocol datalekken: sinds 2016 is het al verplicht een datalek te melden. Nieuw bij de AVG (GDPR) is dat de bewerker verplicht is een melding te doen bij opdrachtgever (na een lek) en een melding bij de toezichthouder als er daadwerkelijk data is gelekt.
    • Heb je nog geen procedure voor datalekken? Stel deze dan op.
  • Organisaties die bij het uitvoeren van hun kernactiviteiten bijzondere persoonsgegevens verwerken, zoals gezondheidsgegevens, moeten een zogenaamde ‘Functionaris Gegevensbescherming’ aanstellen.
  • Bij meer dan 250 medewerkers of wanneer er gevoelige data wordt verwerkt, moet er met een register gewerkt worden waarin bijvoorbeeld wordt bijgehouden welke medewerker met de data gewerkt heeft of welke medewerker aanpassingen gedaan heeft.

Recht van de betrokkene

  • Je dient als bedrijf helder te communiceren waarvoor gegevens gebruikt worden en hoe een klant dit kan wijzigen of stopzetten.
    • Persoonsgegevens mogen alleen voor het omgeschreven doel worden opgeslagen. Daarnaast mag je alleen de gegevens opslaan die noodzakelijk zijn. Een rekeningnummer hoeft bijvoorbeeld niet opgeslagen te worden in een e-maildatabase: dit is niet noodzakelijk en dus niet toegestaan.
    • Personen in jouw database hebben het recht om vergeten te worden; dat wil zeggen dat je op verzoek alle gegevens van iemand moet wissen.
  • Ook bedrijfsgegevens, zoals een zakelijk e-mailadres of een zakelijk telefoonnummer, vallen straks onder de noemer ‘persoonsgegevens’.
    • Voorheen werd er nog wel eens vanuit gegaan dat een zakelijk e-mailadres dat gepubliceerd stond op een website een uitnodiging was om contact op te nemen en dat dat e-mailadres toegevoegd mocht worden aan een mailinglist. Dit is niet toegestaan. Zulke gegevens mogen alleen opgeslagen worden bij expliciete toestemming.

 Wat betekent de AVG verordening voor jou?

Voor de meeste bedrijven is er nog werk aan de winkel om vóór 25 mei 2018 alles op orde te krijgen conform de nieuwe wet voor databescherming. Voor jou ook?

Om je te helpen de wijzigingen inzichtelijk te maken hebben we een handige AVG checklist gemaakt. Met deze checklist kun je eenvoudig zien wat er in jouw organisatie (of bij partners/bureaus) nog aangepast moet worden om onder andere de e-mailmarketing en database werkzaamheden aan te passen binnen de nieuwe privacy wetgeving.

Vraag hier de gratis AVG checklist aan!

Ontdek wat jouw actiepunten zijn voor de nieuwe privacywet (AVG / GDPR).

Download de checklist AVG

Onze expert zegt:

Britt,
Digital Marketeer
  • Bereid je voor op 25 mei 2018.
  • De belangrijkste wijzigingen in één overzicht.
  • Inzichtelijk maken waar je als organisatie nu staat.
Download de checklist AVG

 

Bij Partout digital native agency zien we de nieuwe regels niet als beperking. Eerder als een verduidelijking van een eerder grijs gebied binnen e-mailmarketing. De nieuwe regels dwingen je toe te werken naar een kwalitatief betere database. Alleen ontvangers die expliciet toestemming gegeven hebben, ontvangen straks jouw mailings, voor zover dat niet al is! Dat wil dus zeggen dat je database straks bestaat uit mensen die écht je mailings willen ontvangen. En dat zal je statistieken ten goede komen.

Hoe nu verder met gegevensbescherming?

Download onze AVG checklist en maak voor jezelf inzichtelijk wat er nog moet gebeuren. Zorg dat alles geregeld is voor mei 2018 want de AVG/GDPR maakt het voor de Autoriteit Persoonsgegevens (die gaan toezien op de nieuwe wetgeving) mogelijk om hogere boetes op te leggen. Voldoe je niet aan de regels? Dan wacht je (maximaal) een boete van 20 miljoen euro of 4% van de wereldwijde omzet!

Heb je hulp nodig om alles voor 25 mei af te ronden of wil je vrijblijvend advies voor het op orde brengen van je database? Wij kijken graag met je mee. Neem vrijblijvend contact met ons op voor een kennismakingsgesprek.

7Vacatures open!