Sinds mei 2018 is de Algemene Vordering Gegevensbescherming van kracht. Dit betekent dat er op elke website duidelijk vermeld moet worden voor welke doeleinden persoonsgegevens worden gebruikt. Dit verwerk je in een privacyverklaring. Dit wekte bij de invoering van deze wet veel onrust, want hoe krijg je je privacyverklaring op orde? Wij helpen je!
Wat is een privacyverklaring?
Het wordt op prijs gesteld om aan te geven in je privacyverklaring welke gegevens je verzamelt, hoe deze informatie wordt gebruikt en wie er controle heeft over deze gegevens. Maakt je op jouw website gebruik van cookies? Dat moet er duidelijk worden aangegeven dat cookies ook persoonsgegevens bevatten.
Waarom een privacyverklaring?
In heel Europa geldt de AVG wet. Deze nieuwe privacywet sluit beter aan op het digitale tijdperk. De wet zorgt ervoor dat organisaties en bedrijven verantwoordelijker omgaan met persoonsgegevens. De privacyverklaring is er om voor transparantie te zorgen.
De gedachte hierachter is dat de bezoeker moet weten wat er met zijn of haar gegevens gebeurt en waar ze voor gebruikt worden. De gebruiker die over wilt gaan tot koop kan op basis van de privacyverklaring, ook ervoor kiezen dit niet te doen.
Hoe maak je een privacyverklaring?
Het belangrijkste is, dat er tijdens het schrijven van de privacyverklaring gebruikt wordt gemaakt van begrijpelijke, transparante en beknopte taal.
De privacyverklaring moet in ieder geval voldoen aan de volgende punten:
• Je bedrijfsgegevens
• Doeleinden (reden van de verwerking van de persoonsgegevens)
• Gevolgen van niet verstrekken van gegevens of bij uitschrijving
• Bewaartermijn
• Recht op inzage, aanpassing en verwijdering
• Klachtenafwikkeling
• Persoonsgegevens (welke persoonsgegevens verwerk je)
• Beveiligingsmaatregelen. Denk aan SSL en Onderhoud (contract)
• Cookies
Om aan de nieuwe wetgeving te voldoen, moet er in de cookiemelding vermeld staan dat cookies pas geplaatst worden als mensen:
• Actief aangeven dat ze hiermee akkoord gaan, of
• Als ze verder navigeren door de website
Maak in je footer een duidelijke link naar je privacyverklaring-pagina.
SSL-certificaat is noodzakelijk en het up-to-date houden van je website ook.
Informeer glashelder
Op het moment dat gebruikers persoonsgegevens achterlaten op je website, bijvoorbeeld met een e-mail opt-in, moet voor deze gegevens helder zijn waarom je ze nodig hebt en hoe je ze gaat gebruiken. Je moet bij het verzamelen van gegevens altijd verwijzen naar de privacyverklaring van jouw website of onderneming.
Duidelijk beschrijven waar iemand zich voor inschrijft, hoe vaak er wordt verstuurd en dat je je heel makkelijk – op elk gewenst moment – weer uit kan schrijven (opt-out). Bovendien moet de opt-in een duidelijke en bevestigende actie zijn. Verwijs bij elke opt-in met een link naar de privacyverklaring.
Voor de duidelijkheid: een opt-in is waar de eigenaar van een e-mailadres expliciet en aantoonbaar toestemming geeft voor het ontvangen van e-mail van een bepaalde mailinglist. Een opt-out daarentegen is exact het tegenovergestelde: waar je je kunt afmelden.
Accounts en instelling
Men moet zich ook specifiek kunnen afmelden voor dataprofilering. Dit is – heel eenvoudig gesteld – het opdelen van de doelgroep in groepen, zodat je deze een nog beter toegespitste boodschap kunt voorleggen, die hoogstwaarschijnlijk eerder leidt tot conversie. Onze nieuwsbrief-systemen doen dat al en geven dat ook aan in de footer van een nieuwsbrief, er staat dan zoiets als ‘klik hier om jouw profiel te wijzigen’.
Legale lijsten
Je moet al je e-mail opt-ins ‘registreren’. Achteraf moet je kunnen aantonen hoe je ze hebt verkregen en waarvoor deze personen precies toestemming hebben gegeven. Zo moet je dus onderscheid maken tussen opt-ins die worden verkregen als iemand een bestelling doet en bijvoorbeeld voor opt-ins die verkregen hebt via een pop-up of lead magnet (een gratis aanbod dat je doet aan je bezoeker in ruil voor het e-mailadres van deze bezoeker).
Maak verschillende groepen of lijsten binnen je nieuwsbrief-systeem. Als je de opt-ins automatisch koppelt met een universele plug-in, dan zal in de database duidelijk en eenvoudig terug te kijken zijn wanneer wie, waar en hoe iemand zich heeft aangemeld.
Let op! Kun je dit niet aantonen voor je huidige klantenbestand? Zorg dan nu eerst voor een e-mail met daarin een opt-in voor de daadwerkelijke e-maillijst, van waaruit je vervolgens gaat e-mailen. Alleen mensen die zich dan actief aanmelden zul je mogen blijven mailen. Overigens mag je klanten met wie je een betaalrelatie hebt, nog wel zonder actieve opt-in mailen over soortgelijke producten of diensten (yes!). Zelf zou ik altijd het zekere voor het onzekere nemen, heel transparant blijven communiceren én altijd een heel duidelijke opt-out bieden (mogelijkheid tot uitschrijving).
Tip! Stel een automatische mailing in om de nieuwe abonnees te verwelkomen. Zet hierin een aantrekkelijke (!) welkomsttekst met de informatie dat de ontvanger vanaf nu mail kan verwachten én die duidelijke opt-out. Vergeet daarin niet de links naar al je socialmedia-accounts te vermelden. Misschien wil de ontvanger geen nieuwsbrief van je, maar je wel volgen via social media.
Leg vast hoe lang je persoonsgegevens bewaart
Eigenlijk mag je persoonsgegevens niet langer bewaren dan noodzakelijk voor het doel van je verwerking. Onder het mom van statistische doeleinden kun je deze termijn vrij lang maken. Statistische doeleinden zijn als je de gegevens gebruikt voor bijvoorbeeld de opbouw van je statistieken of onderzoek. Beschrijf dit wel goed in je privacyverklaring. Overigens is dit (nog) een grijs gebied. Volg de berichtgeving over dit onderwerp dus goed.
Bewerkersovereenkomsten
Je hebt een bewerkersovereenkomst (ook wel DPA – data processing agreement genoemd) nodig met alle partijen die toegang hebben tot de persoonsgegevens die jij verzamelt. Dit is het vervelendste punt van die hele AVG, hoewel het niet nieuw is. De verwachting is dat er veel strenger gecontroleerd gaat worden en ook zijn er een aantal verplichte zaken bijgekomen.
Het betreft dus een overeenkomst die je afsluit met partijen als Google Analytics, MailChimp, hostingbedrijf, programmeur, et cetera. De overeenkomst biedt garanties dat de bescherming van de rechten van personen wordt gewaarborgd. Als er problemen ontstaan, kan de verwerker hier verantwoordelijk en aansprakelijk voor zijn.
Actie! Maak een lijstje van de partijen waarmee jij samenwerkt inzake de verwerking van persoonsgegevens. Ga na hoe dit eventueel nu is geregeld. Er bestaat een grote kans dat de betreffende partij al zo’n overeenkomst heeft klaarliggen. Is er geen overeenkomst, zorg dan dat dit in orde komt. Er zijn diverse modelovereenkomsten in omloop, zoals deze van Juridox. Veel meer over bewerkingsovereenkomsten lees je bij Justitia.
Extra to-do’s voor je nieuwsbrief
- Zorg dat alle opt-ins die je hebt binnen je website, shop, social media en landingspagina’s voldoen aan de eisen die hierboven staan beschreven. Vergeet ook je lead-magnets niet!
- Als iemand nog geen 16 jaar is, moet iemand met ouderlijk gezag (mede)toestemming geven
- Overbodig om te vermelden eigenlijk, maar toch: je mag iemand natuurlijk niet meer mailen als iemand zich uitschrijft voor je nieuwsbrieven
- Een ‘noreply@’-e-mailadres mag onder de nieuwe wetgeving niet meer. Als je dat nu gebruikt als afzender voor je (nieuwsbrief)mailverkeer, dan moet je dat aanpassen naar een adres waar de ontvanger wel naar kan mailen
- Alleen iemands naam en mailadres vallen onder ‘gewone informatie’ die je mag opvragen. Vraag je bijvoorbeeld om een geboortedatum, dan moet je laten weten waarom (een verrassing op je verjaardag). Zulke data niet verplicht moeten zijn om je te kunnen aanmelden.
- Ga na of de softwareleverancier van jouw nieuwsbrief AVG-proof is
Kom je er niet uit en zou je wat hulp kunnen gebruiken? Neem gerust contact met ons op!