Paweł Fijak
Wat zijn persoonlijke gegevens?
AVG updates om rekening mee te houden
Wat is de AVG?
De Algemene Verordening Gegevensbescherming, ofwel de AVG, is de nieuwste privacywetgeving van de Europese Unie (EU). Deze is in werking getreden op 25 mei 2018. Deze wetgeving heeft ingrijpende gevolgen voor bedrijven van elke omvang die zaken doen binnen de EU.
De AVG is ingevoerd om de persoonlijke gegevens van personen te beschermen. Dus alles met betrekking tot de AVG draait om persoonlijke gegevens.
De AVG vereist dat bedrijven:
- expliciete toestemming krijgen voor elke activiteit met betrekking tot persoonlijke gegevens die een bedrijf uitvoert
- individuen kunnen laten zien welke van hun persoonlijke gegevens worden verwerkt
- zorgen dat individuen volledig uit het systeem van een bedrijf kunnen worden gewist
- als er sprake is van een datalek heeft het individu het recht om binnen enkele dagen op de hoogte gesteld te worden dat er een inbreuk op persoonlijke gegevens heeft plaatsgevonden
Dit zijn slechts enkele gebieden waarop de AVG betrekking heeft. De wet bevat nog veel meer elementen, hieronder bespreken we enkele hoogtepunten en belangrijke zaken voor de e-commerce.
Wat zijn Persoonlijke Gegevens?
Voordat we dieper ingaan op de details van de AVG willen we het hebben over wat de AVG als persoonlijke gegevens beschouwt. De term “persoonlijke gegevens” kan een beetje vaag zijn, dus dat willen we eerst verduidelijken.
Persoonlijke gegevens zijn alle gegevens die kunnen worden gebruikt om een persoon te identificeren. Dit kan een e-mailadres, IP-adres, naam, telefoonnummer, zakelijk e-mailadres en zelfs een zakelijk IP-adres zijn. Houd er rekening mee dat dit slechts enkele voorbeelden van persoonlijke gegevens zijn.
Bron: Iocea
Wat dit overzicht van persoonlijke gegevens laat zien is dat zowel persoonlijke als zakelijke gegevens als persoonlijke gegevens worden beschouwd. Dat betekent dat consumentenmerken en B2B-merken in gelijke mate worden beïnvloed door de AVG.
Rollen in de AVG
Bedrijven en particulieren spelen verschillende rollen in de AVG. Individuen worden betrokkenen genoemd. Maar een bedrijf kan een paar dingen zijn. Bedrijven kunnen gegevensbeheerders, gegevensverwerkers of beide zijn. Een bedrijf kan zelfs een gegevensbeheerder zijn voor sommige gegevens en alleen een gegevensverwerker voor andere gegevens.
Het kan een beetje verwarrend zijn, maar elk van deze drie rollen is als volgt gedefinieerd.
Betrokkene
De AVG definieert een “betrokkene” als:
“een geïdentificeerde of identificeerbare natuurlijke persoon of personen.”
Een betrokkene is het individu. De AVG is ontworpen om dit individu te beschermen. En het is de betrokkene waarnaar wordt verwezen wanneer naar persoonlijke gegevens wordt verwezen. De betrokkene wordt geïdentificeerd door persoonlijke gegevens zoals het e-mailadres, de naam en het IP-adres.
Gegevensbeheerder
Een andere belangrijke rol is de gegevensbeheerder. De AVG definieert de "gegevensbeheerder" als:
“De natuurlijke of rechtspersoon, overheidsinstantie, het agentschap of andere instantie die, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens bepaalt; wanneer het doel en de middelen van een dergelijke verwerking worden onder de wetgeving van de Unie of de lidstaat vallen, kan de voor de verwerking verantwoordelijke, of de specifieke criteria voor de aanwijzing ervan, worden geregeld door de wetgeving van de Unie of de lidstaat”.
Kortom, de gegevensbeheerder is de partij die de gegevens opslaat en verwerkt. Zij bezitten de servers waar de gegevens worden bewaard. En zij zijn eigenaar van de gegevensverwerkingsprocessen.
De gegevensbeheerder heeft een belangrijke verantwoordelijkheid tegenover de betrokkene en zijn persoonlijke gegevens.
Gegevensverwerker
De derde belangrijke rol is die van de gegevensverwerker. De AVG definieert de “gegevensverwerker” als:
“Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of andere instantie die persoonsgegevens verwerkt namens de gegevensbeheerder”.
Kortom, de gegevensverwerker is als een soort gegevensbemiddelaar. Een typische gegevensverwerkerrelatie is wanneer een bedrijf software van derden gebruikt. Het bedrijf verzamelt de gegevens en slaat deze vervolgens op met software van derden. In dit geval is het bedrijf de gegevensverwerker en de software van derden de gegevensbeheerder.
Het onderscheid tussen deze drie rollen is belangrijk. Het belangrijkste onderscheid is tussen de gegevensbeheerder en de gegevensverwerker. Omdat elk van deze verschillende verantwoordelijkheden heeft.
Zorg dat u bij het implementeren van uw AVG-strategie begrijpt wat uw rol is in een bepaalde situatie.
AVG Updates Om Rekening Mee Te Houden
Zorg dat u de juiste voorzorgsmaatregelen heeft genomen voor de AVG. Sommige zijn eenvoudig, andere technisch en sommige vereisen een organisatorische verandering.
Enkele van de belangrijkste updates die u moet doorvoeren zijn de volgende.
Geef uw privacybeleid een update
Aangezien de AVG draait om privacy, is het van essentieel belang dat er een bijgewerkt en AVG-conform privacybeleid is. Het beleid moet ook makkelijk te lezen zijn, wat betekent dat gecompliceerd juridisch taalgebruik niet is toegestaan.
Bovendien moet elk contact dat u als gegevensbeheerder of gegevensverwerker in uw database invoert, het privacybeleid accepteren. Dit betekent dat formulieren op uw website hiervoor een melding moeten weergeven.
Maak een Cookiebeleid
Daarnaast is het belangrijk dat elke website die aan een EU-ingezetene wordt getoond de bezoeker moet informeren over het gebruik van cookies. Daarnaast moet de website een cookiebeleid hebben. Het cookiebeleid moet gedetailleerd beschrijven hoe cookies worden gebruikt en welke cookies worden gebruikt.
Net als het privacybeleid moet dit in niet-juridische taal worden gedaan.
Toestemming van de Betrokkene
Het volgende belangrijke onderdeel van de AVG is toestemming. Een betrokkene moet voor alles afzonderlijk toestemming geven. Dit betekent dat er geen “gebundelde” toestemming kan worden gegeven.
Dit kan een beetje verwarrend zijn, dus laten we een voorbeeld gebruiken.
Een voorbeeld is wanneer iemand een eBook downloadt, deze persoon zich kan aanmelden voor een nieuwsbrief. Door een webformulier in te vullen, stemmen ze alleen in met dat eBook, tenzij ze zich ook afzonderlijk aanmelden voor de nieuwsbrief.
Om e-mails te ontvangen, buiten dat eBook, moet elke keer afzonderlijk toestemming worden gegeven.
Maar maakt u zich geen zorgen, in het volgende onderdeel wordt besproken hoe u uw formulieren kunt structureren voor juiste opt-ins.
Formulieren voor opt-ins
Ook de formulieren moeten nu worden bijgewerkt. We mogen niet langer verborgen velden en velden gebruiken die "vooraf zijn aangevinkt". Met andere woorden, een "zachte opt-in".
Alle opt-ins moeten expliciet zijn. Dat betekent dat formulieren een regelitem moet hebben voor elke gegevensverwerkingsactiviteit die u wilt uitvoeren met de contactgegevens.
Vraag een Gegevensverwerkingsrapport aan
Een belangrijke onderdeel van de AVG is dat een betrokkene het recht heeft om te vragen welke gegevens u verwerkt. Dat betekent dat een bedrijf, als een betrokkene daarom vraagt, alle gegevens moet verstrekken die worden verzameld en verwerkt.
Meestal, als er software van derden wordt gebruikt, zoals Shopify of Magento, bestaat deze mogelijkheid al. Zorg ervoor dat de software van derden AVG-compatibel is.
Het recht om vergeten te worden
Het laatste punt dat we zullen bespreken is het recht om vergeten te worden. Dit betekent dat een betrokkene kan verzoeken om uit uw database te worden verwijderd. Hieraan moet u voldoen, de betrokkene moet uit uw database en van uw servers worden verwijderd. Het is alsof u de betrokkene nooit hebt gekend.
Nogmaals, deze software moet zijn ingebouwd in AVG-compatibele software van derden.
Dit is niet alles dat in AVG moet worden opgenomen. Maar dit zijn enkele van de meest urgente onderdelen die van invloed zijn op e-commercebedrijven.
Het verwarrende aan de AVG
Omdat de AVG de nieuwste wetgeving is, begrijpen we niet alles. Sommige taal is expliciet, andere niet. Als we naar de AVG kijken, zijn er een paar onduidelijkheden. Dit zijn de onderwerpen waarmee we voorzichtig moeten zijn.
Het Concept van Legitiem Belang
Het eerste punt is dat van legitiem belang. Dit is een bijzonder concept met betrekking tot het e-mailen van contacten die zich niet expliciet hebben aangemeld voor een bericht. Dit kan een eenmalige e-mail zijn. Of onderdeel van een koude campagne voor potentiële klanten.
Nu kunt u dit wel doen, maar er moet een legitiem belang worden vastgesteld. Dit betekent dat moet worden aangetoond dat de betrokkene een legitiem belang heeft bij de aangeboden dienst.
Omdat dit vrij onduidelijk is, kan het de moeite waard zijn om voorzichtig te zijn. Of dit gewoon niet te doen. Wat u ook besluit, raadpleeg eerst een advocaat en een specialist.
Dubbele Opt-In
Er is veel verwarring rondom de “Dubbele Opt-In”. Deze term wordt ook niet specifiek vermeld, daarom is het het beste om deskundige hulp op dit gebied te zoeken. Dit geldt voor toestemming voor het verkrijgen van een dubbele opt-in. En het gaat erom hoe u met uw huidige database omgaat en of er al dan niet sprake is van een dubbele opt-in.
Nogmaals, dit is een gebied waarvoor u het best deskundig en juridisch advies kunt zoeken.
Dit zijn slechts twee voorbeelden van vage taal in de AVG. En het is altijd het beste om een expert en een advocaat te raadplegen met betrekking tot de AVG.
AVG Privacy Tools
Omdat de AVG invloed heeft op ons werk hebben we hulp nodig bij de implementatie. Het beheren van de privacy van onze (potentiële) klanten zal niet eenvoudig zijn. Daarom bekijken we een paar hulpmiddelen om ons te helpen.
Dit zijn enkele tools die we hebben gevonden die u kunnen helpen:
- Privacy Insights – Bieden uitgebreide hulp in Nederland.
- OneTrust – Robuuste AVG management Software.
- Privacy Perfect – AVG Compliance Software.
Hier zijn ook nog enkele bronnen met wat uitgebreidere analyses van de AVG en privacytools
- Een overzicht van 50 toonaangevende AVG tools
- 14 Tools om u te helpen met AVG Compliance
Hopelijk kunnen deze tools u helpen om ervoor te zorgen dat uw e-commerce AVG-compatibel wordt.
Hoe de AVG ons werk verandert
De AVG zal ons werk ongetwijfeld beïnvloeden. In het bijzonder onze marketing. Het is ook niet noodzakelijk slecht, hopen we tenminste. Een van de positieve punten is dat we misschien een meer betrokken doelgroep kunnen bereiken.
Wat ook kan werken is het implementeren van Toestemmingsmarketing. Mocht u deze term nog niet kennen, dit is een marketingtheorie van Seth Godin. Het werd eind jaren negentig als boek gepubliceerd. Een beroemde uitspraak van hem hierover is dat hij hierdoor bijna weggestuurd werd bij het Direct Marketing Institute.
Toestemmingsmarketing gaat over het verkrijgen van toestemming van onze (potentiële) klanten om de volgende vraag te stellen. En de volgende stap in het koopproces te nemen. Dat is misschien wel wat de AVG marketeers gaat dwingen te doen.
Dus hoewel onze acquisitiekosten in het begin kunnen stijgen, kunnen we misschien klanten krijgen die ons meer toestemming en meer betrokkenheid geven.
Privacy wordt steeds belangrijker naarmate meer mensen meer dingen online doen.
Er zijn datalekken. Er is identiteitsdiefstal. En tot nu toe was er heel weinig uitgebreide wetgeving om consumenten te beschermen.
Dat eindigt met de AVG. Deze dwingt bedrijven om de privacy en toestemming van hun (potentiële) klanten serieus te nemen.
Met de AVG is het tijd om een paar last-minute items met betrekking tot de EU-wetgeving te bekijken.
Het is belangrijk om op te merken dat niets van het onderstaande als juridisch advies kan worden geïnterpreteerd. We zijn geen advocaten en we proberen ook niet te doen alsof. Maar we hebben wel wat onderzoek gedaan en we willen een paar dingen delen die we hebben geleerd. We raden u ten zeerste aan juridisch advies in te winnen voor specifieke details, vragen en de implementatie van de AVG.
Laten we eens kijken wat we weten over de AVG.