Heb je hem gezien? Streng keek Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), in meerdere camera’s om uit te leggen dat de nieuwe privacyregels van de AVG écht op 25 mei ingaan.
En betere privacy voor gebruikers is een goede zaak. Hoewel het geruime tijd bekend is dat die nieuwe regels zullen ingaan, is de aandacht ervoor pas de laatste maanden toegenomen. Dus is het weer een heel gedoe.
Voor kleine bedrijven is het doorvoeren vaak iets dat er tussendoor moet. Die hebben geen Privacy Officer. De sancties kunnen serieus slecht voor je uitpakken, maar gelukkig gaat het er ook om je goede intenties te laten blijken. Mocht je nog niet zover zijn, dan zou ik daar nu echt mee beginnen.
Hoewel enige relativering ook op z’n plaats is. De AP is aan zijn stand verplicht om flink op de trommel te slaan, maar het ontbreekt ze aan capaciteit om al die websites te controleren. Eerst de ‘big boys’ dus, maar uiteindelijk moet iedere organisatie er aan voldoen.
Wat is de AVG?
Met de Algemene Verordening Gegevensbescherming (AVG of GDPR) worden er in de Europese Unie vanaf 25 mei 2018 nieuwe regels van kracht voor de bescherming van privacy en dataverzameling.
De regels gaan vooral om de bescherming van tot de persoon herleidbare data. De AVG geeft individuen het recht:
- geïnformeerd te worden over het gebruik van hun data
- van toegang tot eigen data
- om gegevens te rectificeren
- van verwijdering van data
- om het verwerken van gegevens te beperken
- om eigen data te verhuizen
- bezwaar te maken
- en rechten met betrekking tot geautomatiseerde besluitvorming en profilering
Personen krijgen dus meer rechten over hun eigen data en dat is niet verkeerd. Wel schept het problemen met het goed uitvoeren van deze regels en soms zijn de regels niet eenduidig.
De AVG maakt onderscheid tussen de opdrachtgever (eigenaar website) als verantwoordelijke en een verwerker (een tussenpersoon en/of geautomatiseerd systeem). Die verwerker moet expliciet toestemming krijgen (in een overeenkomst) van de opdrachtgever om met die gegevens te werken.
De verwerker heeft daarbij een eigen verantwoordelijkheid. Welke data worden er nog aan toegevoegd? Schakelt de verwerker (als hoofdaannemer) weer een andere partij in dan moet ook dat onderling worden vastgelegd, onder verantwoordelijkheid van de verwerker, lijkt het.

Rechtmatig en hoognodig
Daarnaast moet het verzamelen van gegevens een ‘rechtmatige grondslag’ hebben: het moet een doel dienen en beperkt blijven tot het hoognodige (dataminimalisatie). Naam en e-mailadres zijn alleen bedoeld voor een bericht via de website en dus niet gelijk ook een inschrijving voor een nieuwsbrief.
Toestemming van een opdrachtgever moet dus expliciet zijn. Zo moet een gebruiker apart en actief toestemmen voor een nieuwsbrief en voor een online aanmelding voor een lezing.
Bij nieuwsbriefsysteem Mailchimp, waar ik veel mee werk, wordt dat grotendeels opgelost door de double optin-methode. Dacht ik. Maar er moet ook aantoonbaar bewijs van zijn van die toestemming. Voor ieder type van gegevens overdracht: voor een aanmelding, voor een bijeenkomst, voor een download.
Dat is nog wel ‘een dingetje’.
Bekijk nu je website
Meerdere onderdelen van een website zijn verzamelen data: reacties op je blog, contact- of aanmeldformulieren en inschrijfformulieren voor nieuwsbrieven. En dan hou ik het simpel.
Grote en veelbezochte websites, zoals Marktplaats, Bol.com en Booking.com, plaatsen vele cookies en trackers die live je surfgedrag volgen en onthouden. En dat zijn ook weer verwerkers, derde partijen met bijbehorende overeenkomst. En ook met de meldplicht voor datalekken.
Voor WordPress websites heeft de update (4.9.6) de mogelijkheid data te laten inzien, aanpassen en verwijderen. Daarmee zijn een aantal data-ingangen hopelijk gedekt, zoals blogs en reacties. Dat is het basissysteem, dus niet de plugins die in de praktijk onderdeel zijn van de meeste WordPress websites. Met formulieren ligt het daardoor anders, want die worden vaak gemaakt met plugins.
Dat betekent dat ze moeten worden voorzien van een verplichte checkbox voor akkoord, waarvan de website-eigenaar een kopie als bewijs moet kunnen tonen. De meeste plugins kunnen dat gelukkig. Maar zolang je de gegevens van iemand bewaart, zul je ook de toestemming moeten bewaren.
Hier wordt opnieuw je bewustwording aangesproken: hoe lang is het echt nodig die gegevens te bewaren? Kan het niet gewoon weg, na beantwoording, na een paar maanden?

De AVG en e-mailabonnees
Organisaties met een e-mailnieuwsbrief – of brieven moeten volgens de AVG niet alleen nieuwe abonnees laten instemmen met de verwerking van hun gegevens, maar ook bestaande. Mailchimp heeft dat goed opgepakt. Ik neem aan andere – opnieuw – verwerkers ook, want het is hun handeltje.
Toch schrikt dit sommige mensen en bedrijven af. Dat verzoek tot toestemming zou namelijk best kunnen leiden tot een weigering die toestemming te geven. Wil je die e-mails nu wel of niet blijven ontvangen? En daarmee lijkt een daling van het aantal abonnees onafwendbaar.
Bewustwording van eigen en andermans data hoort ook bij de AVG. Maar mensen hebben de sterke neiging om te denken dat hoe meer e-mails je verstuurt hoe beter. Massa is kassa, dat idee.
Toch ligt daar ook een kans. Hoeveel mensen openen en reageren (conversie) werkelijk op die e-mails? Is de inhoud wel aantrekkelijk genoeg? Kan dat niet beter? Gaan die e-mails eigenlijk niet meestal richting de digitale shredder?
Mensen die wel toestemming geven zijn misschien wel je echte fans en gebruikers. Heb je die niet veel liever?
Mailchimp & WordPress
Voor Mailchimp -gebruikers staat er een aardig pakketje klaar om hun te helpen hun lijst geschikt voor de AVG te maken: van een sjabloon tot het segmenteren van een bestaande lijst met toestemmers. Wel mis ik nog het geschikt maken van invoegbare formulieren.
Voor WordPress zijn er meerdere plugins waarmee je een aanmeldformulier kunt maken voor je website, maar die zijn nog lang niet allemaal in lijn met het opslaan van de toestemming bij Mailchimp. En met iedere e-mailabonnee wil je zorgvuldig omgaan.
Maak een privacyverklaring
Lang niet alle websites hebben een privacyverklaring. De komst van de AVG is een goed moment om dat wel te doen. Voor Het Beeldbedrijf heb ik een verklaring gemaakt bij de intrede van de ‘cookiewet’, een onderwerp dat je zeker als onderdeel van de privacyverklaring moet opnemen.
Om het geen juridische haarkloverij te laten zijn, zou ik die verklaring in gewoon leesbaar Nederlands (B1) opstellen. Zeg gewoon wat je doet met data van mensen, hoe en waarom. Dan ben je al een heel eind. Laat er dan eens een jurist naar kijken.
Verwerker
Ben je zelf in de positie van verwerker, heb je klanten voor wie je met data omgaat dan zal er naast je algemene voorwaarden ook een verwerkersoverkomst moeten komen.
Daarin moet zijn afgesproken:
- voor welke doelen je de gegevens gaat verwerken
- met welke middelen je de gegevens gaat verwerken (kan dus Mailchimp zijn)
- aan wie je de gegevens mag afstaan
- welke maatregelen je hebt genomen (of gaat nemen) om opgeslagen gegevens te beveiligen
- hoe aan de controle- en correctierechten van de betrokkene wordt voldaan
- dat de klant je vrijwaart van aanspraken van derden met betrekking tot de persoonsgegevens
Dat heb ik wel (overgenomen) van een juridische dienstverlener.
En bijna verwerkt. :-)
Doe direct de AP Regelhulptest
…en download het rapport…
Zie ook: AVG Dossier van de Autoriteit Persoonsgegevens
PS: Ben je benieuwd naar de hele presentatie van Stefan van Nifterick neem dan even contact op, dan stuur ik hem door.