avg bescherming gegeven

Wat de nieuwe wet AVG concreet voor jou betekent

Op 25 mei 2016 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden als opvolger van de Wet bescherming persoonsgegevens. Iedereen die persoonsgegevens verwerkt, heeft twee jaar de tijd gekregen om aan de nieuwe voorwaarden te voldoen. Dat betekent, wil je een (flinke) boete voorkomen, dat je je vanaf 25 mei 2018 aan de AVG moet houden. We snappen dat deze introductie misschien niet uitnodigt om door te lezen, maar doe het toch maar, want de kans is zeer groot dat ook jij persoonsgegevens verwerkt.

avg bescherming gegeven

Waarom de AVG?

Oké, even in het kort. We hebben deze nieuwe wet te danken aan het feit dat alle persoonsgegevens in Europese lidstaten gestandaardiseerd worden. ‘Persoonsgegevens’ klinkt alsof het om geheime informatie gaat, maar een naam en e-mailadres zijn ook al persoonsgegevens.

Het doel van de AVG is vooral om burgers en hun gegevens beter te beschermen tegen ongevraagde reclame en spam. Hé, dat klinkt eigenlijk best goed! Want als we ergens een hekel aan hebben, dan is het wel aan ongevraagde e-mailnieuwsbrieven.

Wat betekent de AVG voor jou?

Maar wat betekent de AVG nu concreet voor jou? Goede vraag. Ik heb de wet zelf niet doorgenomen, maar wel een hoop artikelen over dit onderwerp gelezen. In mijn verhaal komen niet alle punten uit de wet naar voren. Ik probeer me te beperken tot de punten waar jij actie op moet ondernemen om te zorgen dat je aan de wet voldoet. Deze punten hebben betrekking op je website, e-mailmarketing en social advertising.

Dit is wat je voor 25 mei 2018 te doen hebt om aan de AVG te voldoen

Houd er rekening mee dat dit mijn interpretatie is van wat ik gelezen heb en dat ik geen rechten heb gestudeerd. Als je dus echt 100% zeker wilt zijn dat je website en e-mailmarketing aan alle eisen voldoen, schakel dan een advocaat in. Aan het einde van deze blog, drop ik de naam van een topper op dit gebied.

1. Schrijf een nieuwe privacyverklaring

In een privacyverklaring leg je aan de bezoekers van je website uit welke gegevens je verzamelt en wat je daar mee doet. Je privacyverklaring moet beknopt zijn en iedereen moet het kunnen begrijpen. Onze tip: schrijf je privacyverklaring zelf en laat hem daarna door een advocaat controleren. Zorg dat deze 11 punten in je verklaring terugkomen.

2. Controleer je opt-in formulieren

Het verzenden van commerciële e-mails mag alleen naar contacten waar je óf expliciet toestemming van krijgt óf waar je een betaalrelatie mee hebt. Je mag alleen commerciële e-mails sturen die betrekking hebben op de dienst die bij je afgenomen is. Daarnaast moet je ook vermelden hoe vaak iemand mails kan verwachten. Dit laatste staat in de Telecommunicatiewet en daar verandert niets aan.

Wat betekent dit? Dat het niet toegestaan is om bij een formulier standaard het vinkje aan te zetten bij de vraag of de inzender ook een nieuwsbrief wil ontvangen. Dat is geen expliciete toestemming. Je kunt de vraag dus wel stellen, maar het vakje mag nog niet aangevinkt zijn. Pas als de inzender dat zelf aanvinkt, wordt er expliciet toestemming gegeven. Een voorbeeld van een goede zin is “Ja, ik wil graag 1-2 keer per maand tips over online marketing per e-mail ontvangen”. Je kunt het natuurlijk nog iets aantrekkelijker schrijver, maar vermeld in ieder geval wat de persoon ontvangt en hoe vaak.

De nieuwe AVG betekent ook dat je bezoekers die een gratis weggever downloaden niet zomaar op je nieuwsbrieflijst mag zetten. Ze downloaden immers een gratis weggever, maar geven niet expliciet toestemming voor het ontvangen van commerciële e-mails. Ook bij je gratis weggever zul je dus aan moeten geven dat ze na het downloaden van de gratis weggever ook 1-2 keer per maand mail van je zullen ontvangen over een specifiek onderwerp.

3. Schoon je e-maillijsten op

Je moet aan kunnen tonen hoe je aan een e-mailadres gekomen bent. Dat geldt niet alleen voor de e-mailadressen die je vanaf 25 mei 2018 verzamelt, maar ook voor alle e-mailadressen die je al hebt. Staat dit niet duidelijk in jouw e-mailmarketingsysteem? Dan zul je een mailing naar al je adressen moeten verzenden met de vraag of ze expliciet toestemming willen geven om mails te ontvangen.

Niet leuk, I know. De kans dat je flink wat inschrijvers gaat verliezen, is groot. Maar als je je aan de wet wilt houden, is het wel nodig. En eerlijk is eerlijk: het af en toe opschonen van je lijst kan sowieso geen kwaad. Hierdoor blijven alleen de lezers over die echt betrokken en geïnteresseerd zijn.

Opt-in gegevens Mailchimp AVG-proof

In Mailchimp kun je zien met welk e-mailadres iemand zich ingeschreven heeft en op welke datum en welk tijdstip ze dat hebben gedaan. De signup source staat meestal op ‘unknown’. Om aan de AVG te voldoen, moet je weten via welke opt-in iemand binnengekomen is. Als je op je website opt-in formulier van Mailchimp hebt staan, kun je met behulp van een verborgen veld toevoegen welk formulier er gebruikt is.

Opt-in gegeven Active Campaign AVG-proof

In Active Campaign kun je ook zien hoe iemand op je lijst gekomen is. Als je naar Contacts gaat en op de naam van een contactpersoon klikt, krijg je rechts de recente activiteiten te zien. Scroll helemaal naar beneden om te ontdekken via welke opt-in en wanneer toestemming gegeven heeft.

Reactivatie campagne

Reactivatie campagne, re-permission campaign, hoe je het ook noemt, het komt op hetzelfde neer: aan al je contacten toestemming vragen om hun gegevens te bewaren en in de toekomst te gebruiken. Omdat ze expliciet toestemming moeten geven, kom je er niet mee weg om te zeggen “Als je je niet uitschrijft voor deze mail, ga ik er van uit dat je onze e-mailt wilt blijven ontvangen”. Ten eerste kun je niet bewijzen dat ze de mail gelezen hebben en zich bewust niet hebben uitgeschreven. Ten tweede hebben ze geen expliciete toestemming gegeven. Expliciet is het sleutelwoord.

Aanpak re-permission campagne in Active Campaign

Hoe kun je zo’n campagne nou aanmaken? Wij gebruiken zelf Active Campaign voor onze e-mailmarketing. 2/3 van onze contacten heeft een tag. Door die tag weten we hoe ze in ons systeem terechtgekomen zijn. De meesten zijn klant of hebben ons gratis e-book gedownload. Maar bij 1/3 van de contacten staat geen tag. Dat komt doordat we voorheen Mailchimp gebruikten. We hebben de contacten uit Mailchimp overgezet in Active Campaign, maar ze hebben toen niet allemaal een tag gekregen. Deze inschrijvingen moeten we dus reactiveren.

De inschrijvingen met de tag “e-book” zijn ook twijfelachtig, want we hebben bij de gratis download niet altijd heel duidelijk vermeld dat de inschrijvers ook mails van ons zouden krijgen. Dus om het echt netjes te doen, moeten we die mensen ook een mail sturen.

We maken een nieuwe lijst waar we alle contacten opzetten van wie we expliciet toestemming hebben of met wie we een betaalrelatie hebben. De mensen zonder tag of met de tag “e-book” sturen we een e-mail met daarin de vraag of we hun gegevens mogen bewaren zodat we mails kunnen blijven sturen. In de mail plaatsen we een button die naar een bedankpagina op onze website linkt. Iedereen die op de button klikt, komt op de nieuwe lijst terecht. Vervolgens gaan we de nieuwe lijst gebruiken voor onze mailings zodat we zeker weten dat we van iedereen expliciete toestemming hebben.

4. Controleer je e-mails

Lezers moeten zich altijd kunnen uitschrijven voor je commerciële mailings. Zorg dat er in al je commerciële mails een duidelijke afmeldlink staat. Controleer vanaf welk e-mailadres de mails verzonden worden. Het moet duidelijk zijn van wie de mails komen; een no-reply adres mag dus niet.

5. Controleer je Facebook advertentie doelgroepen

Heb je op Facebook retargeting advertenties draaien op basis van een e-mailadres? Dan moet je ook daar expliciet toestemming voor vragen. Je deelt immers persoonsgegevens (e-mailadres) met een 3e partij, Facebook. Het wordt wat veel om dit allemaal bij een opt-in formulier te vermelden. Je kunt het daarom ook in je privacyverklaring melden en daar vanuit je opt-in formulier naar verwijzen.

Uit onderzoek van de Consumentenbond blijk overigens, dat veel grote bedrijven persoonsgegevens met Facebook delen zonder dat ze daar expliciet toestemming voor hebben gevraagd. Hiermee overtreden ze massaal de Wet bescherming persoonsgegevens. Een aantal van die bedrijven zijn er mee gestopt, nadat de Consumentenbond hen er op aangesproken had.

Aan de slag

Ik begrijp volledig dat dit ingewikkelde materie is (het heeft me zo’n 5 uur gekost om me in te lezen en dit blog te schrijven), maar het is wel iets waar je mee aan de slag moet. Net doen alsof je nergens van weet, denken dat het alleen voor anderen geldt of dat jij alles vast wel op orde hebt, is struisvogelgedrag. Je vindt het zelf niet fijn als jouw gegevens ongevraagd gebruikt worden, dus doe dat ook niet met de gegevens van je klanten/bezoekers. Bijt je er een keer in vast en zorg dat je alles voor 25 mei 2018 geregeld hebt.

Wil jij een begrijpelijke privacyverklaring die aan alle eisen voldoet? Dan raden wij je aan om contact op te nemen met Charlotte’s Law. Voor € 372 ex BTW stellen zij de perfecte privacyverklaring voor je op. En nee, we hebben geen affiliate link, we hebben geen deal, we verdienen hier op geen enkele manier geld aan. We willen alleen het beste voor jou en in dit geval is dat Charlotte.

>> Op de hoogte blijven van alle ontwikkelingen omtrent de AVG? Laat hier je gegevens achter!

31 antwoorden
  1. Céline Rohrer zegt:

    Ha Rosanne, super om te lezen, dank je wel! Waar kan iemand het beste een privacy verklaring op de website zetten? Volgens mij had ik er voorheen namelijk eentje helemaal onderaan de website, het stuk onder dan de footer. Maar weet niet waar dit nu dient te staan.

    Beantwoorden
    • Rosanne van Staalduinen zegt:

      Hi Céline. Dat is nog steeds een prima plekje. Het fijne ervan is dat de privacy policy dan vanaf elke pagina op je website te bereiken is. En als je er vanuit een opt-in formulier ook nog eens naar linkt, kunnen bezoekers die hun e-mailadres achterlaten dit niet over het hoofd zien.

      Beantwoorden
  2. Ingrid zegt:

    Super duidelijk. Als je op het formulier van je weggever vermeld dat ze bij het downloaden akkoord gaan om in vervolg op je nieuwsbrief lijst te komen en ze downloaden dan alsnog, volstaat dit dan? Of moet er meer toegevoegd worden? Of zou je dan een blokje in het formulier moeten toevoegen die ze verplicht moeten aanvinken om verder te gaan? Groeten, ingrid

    Beantwoorden
    • Rosanne zegt:

      Hi Ingrid,

      Daar zijn nog een hoop onduidelijkheden over. Begin januari gaan we ons daar verder in verdiepen en volgt er een blog over. Als je je inschrijft voor de updates, houden we je op de hoogte!

      Beantwoorden
    • Rosanne zegt:

      Hi Albert,

      Zoals ik in het blog ook al schreef, ben ik geen expert op dit gebied. Ik heb me goed ingelezen, maar ik kan niet op alle vragen antwoord geven. Als je een 100% juridisch waterdicht antwoord wilt, raad ik je aan contact op te nemen met een advocaat. Dat gezegd hebbende … volgens mij heb je geen privacyverklaring nodig als je geen persoonsgegevens via je website verzamelt. Ik zie inderdaad geen (contact)formulieren staan op je website. Maar gebruik je Google Analytics, een Facebook pixel of een andere vorm van site tracking? Dan heb je als nog een privacyverklaring nodig.

      Beantwoorden
  3. Jitske zegt:

    Is dit ook nodig voor een kleine praktijk ( nergens bij aangesloten) of alleen bij praktijken met dan zoveel (bv 100) klanten. Van de klein aantal klanten heb ik meestal een telefoonnummer en emailadres mocht er onverhoopt wat tussenkomen

    Beantwoorden
    • Rosanne zegt:

      Hi Jitske,

      Het maakt in principe niet uit hoe groot je praktijk of bedrijf is. Alleen al doordat je een contactformulier op je website hebt staan, heb je een privacyverklaring nodig waarin je uitlegt wat er met de gegevens gebeurt die via het formulier verzonden worden. Helaas :-(

      Beantwoorden
  4. Sander zegt:

    Mailchimp lijkt erg discutabel omdat het op eigen initiatief en voor eigen doeleinden jouw gebruikers informatie inzet – ze volgen gebruikers, houden persoonsgegevens bij en laten daar analyses op los. Ze doen meer met de gegevens dan noodzakelijk en daarnaast ook op eigen iniatied. Je zult je gebruikers dus actief om toestemming moeten vragen om hun gegevens aan mailchimp te mogen verstrekken.

    (Wij zelf gaan op zoek naar een partij die wat meer avg-bestendig is)

    Beantwoorden
    • Rosanne zegt:

      Hi Sander,

      Mailchimp is, net als veel andere e-mailmarketing automation software, bezig om wijzigingen door te voeren zodat ze voldoen aan de GDPR. Ze schrijven hier op hun website af en toe iets over. Ik twijfel of er andere partijen zijn die de boel al helemaal goed op orde hebben. Wij werken zelf met Active Campaign, maar ook die zijn nog hard aan het werk om aan alle eisen te voldoen. Er komt natuurlijk ook nogal e.e.a. bij kijken. We zijn benieuwd bij welke partij jullie uitkomen!

      Beantwoorden
    • Rosanne zegt:

      Hi Victor,

      Goede vraag! Wij hebben onze Algemene Voorwaarden niet bijgewerkt. We hebben de privacy verklaring alleen op de website geplaatst. We hebben voor de footer gekozen, zodat de verklaring op elke pagina opgevraagd kan worden. Dit is in principe voldoende. Wij hebben van onze jurist niets gehoord over het aanpassen van de Algemene Voorwaarden in deze, dus we gaan er vanuit dat dat niet nodig is.

      Beantwoorden
      • Victor zegt:

        Dank je Rosanne.

        En hoe zit het nu met die ‘verwerkingsovereenkomst’? Daar lees ik in je blog niets over terwijl dat wel overal terugkomt. Ik ben benieuwd of ik dat nodig heb en waar dat uit bestaat.

        Beantwoorden
        • Rosanne zegt:

          Hi Victor,

          Dit blog is al in november 2017 geschreven. We hadden ons toen nog niet verdiept in verwerkersovereenkomsten. En in principe hebben die ook niet zoveel met je website te maken, behalve dan dat je er een met je webbouwer af moet sluiten als hij/zij toegang tot je website heeft.

          Als je meer over verwerkersovereenkomsten wilt weten, verwijzen we je graag door naar dit blog over verwerkersovereenkomsten van Charlotte’s Law.

          Beantwoorden
  5. Paternoster zegt:

    Twee vragen:
    1. Weet u of het voor een culturele vereniging, die informatie geeft over beeldende kunsten en af en toe eens uitnodigt naar een vernissage, ook verplicht is om de expliciete toestemming te hebben van de leden?
    2. Als mensen vroeger hun gegevens hebben doorgegeven door ze eigenhandig op te schrijven op een invulformulier, (naam, voornaam, adres, e-mailadres, telefoonnummer, gsmnummer), geldt dat dan ook als expliciete toestemming?

    Bij voorbaat dank voor jullie mening

    Beantwoorden
    • Rosanne zegt:

      1: Als het betalende leden zijn, zijn het klanten. Die mag je altijd mailen, dus daar zien we geen problemen in. En ook als ze niet betalen, ben je wel lid van een vereniging wat je misschien ook als klant-zijn zou kunnen zien, maar dat durven we niet te garanderen.

      2: Alleen als ze hebben aangegeven een nieuwsbrief te willen ontvangen. Als ze hun gegevens achterlaten voor een ander doel (bv om lid te worden), dan is dat geen expliciete toestemming. Maar dan verwijs ik terug naar antwoord 1: als ze lid zijn, is er verder een expliciete toestemming nodig.

      Dit is overigens onze interpretatie. Wij zijn geen juristen, dus we kunnen geen garanties bieden.

      Beantwoorden
  6. Hans zegt:

    Bedankt voor de tips en info. Wij zijn momenteel zelf bezig met de overstap van MailChimp naar ActiveCampaign en moeten dus ook zorgen dat de toestemming wordt veiliggesteld. Me dunkt dat als bewijs nodig is dat het moeilijk is te geven als het bestaat uit tags en velden die door de organisatie zijn aan te passen. Je zou dan eigenlijk moeten aantonen hoe de velden precies hun inhoud hebben gekregen en op basis waarvan, toen deze inhoud ontstond. Bij het overstappen van de ene dienst naar de andere zouden de providers dan onderling moeten uitwisselen op een manier die deze toestemming zonder tussenkomst van hun klant overdraagt. In dat geval zou een mailchimp of een ActiveCampaign kunnen garanderen dat de historie behouden blijft. Dus als bewijs nodig is zal dit waarschijnlijk te complex worden en het is dus de vraag hoe het uitwerkt in evt. jurispudentie. Die test moet nog plaatsvinden. Op dit moment heb je eigenlijk alleen je eigen kladblaadjes om op terug te vallen en maakt AVG het lastiger om van E-mail serviceprovider te wisselen.

    Wat ik me nog afvraag is waarom je denkt dat er een vinkje toegevoegd moet worden aan formulieren die als enige doel hebben om aan te melden voor bepaalde informatie. Het inzenden van het formulier zonder vinkje lijkt dan zinloos en het inzenden van de gegevens heeft in dat soort gevallen al een expliciet doel wanneer duidelijk is waar het formulier voor aanmeldt. Als het gebruik van de informatie direct uit het formulier blijkt en het verder geen ander doel dient. Is dat dan niet voldoende? Sommige opt-in WordPress plugins concluderen expliciet dat een vinkje in om die reden en in dat geval onnodig is. Wat is waar en waarom? Ikzelf denk dat een vermelding van het doel van een formulier ook kan fungeren als expliciete toestemming, aangezien een verzendknop ook een expliciete actie is. Bij het toevoegen van een opt-in aan een andere formulier, zoals een afrekenpagina in een winkel, is het natuurlijk wat anders. Dan geldt ofwel de betalende relatie zoals je aangeeft als basis voor verzending, ofwel moet expliciet voor het alternatieve gebruik toestemming worden verleend.

    Een ander aspect speelt bij het gebruik van een een Privacy reglement/pagina. Als een bepaald gebruik op het moment van aanmelding nog niet op die pagina was vermeld en later wel is toegevoegd, is er feitelijk nog geen toestemming verleend. Je zult dus ook rekening moeten houden met versies van dit reglement en desnoods alsnog toestemming moeten halen voor een nieuw gebruik van de gegevens is toegevoegd. Ik vermoed dat ook dit vaak niet gebeurd.

    Beantwoorden
    • Rosanne zegt:

      Beste Hans,

      In Active Campaign kun je zien hoe en wanneer iemand een tag krijgt, dus op zich kun je dat aardig dichttimmeren. Maar het blijft een hele lastige situatie die volgens mij nooit echt 100% waterdicht gemaakt kan worden. Dat de AVG het moeilijker maakt om van e-mail provider te wisselen, ben ik met je eens omdat je de toestemming niet echt kunt meeverhuizen. Ik ben heel erg benieuwd of we over een aantal jaar oplossingen voor dit soort vraagstukken hebben gevonden.

      Als een formulier slechts één doel dient, namelijk het inschrijven voor een mailinglijst, dan hoef je er geen vinkje bij te zetten. Mits je dus duidelijk in de tekst omschrijft dat het om inschrijving voor een mailinglijst gaat, hoe vaak er mail verwacht kan worden en waarover. Maar vaak zie je dat je je opgeeft voor een webinar of iets dergelijks en dat je dan ook gelijk op de mailinglijst komt te staan. Dat mag dus niet meer, daar moet nu apart toestemming voor gevraagd worden.

      Voor zover we begrepen hebben, is een privacyreglement alleen een informatiedocument en hoef je daar geen toestemming voor te vragen. Je moet inderdaad wel versiebeheer toepassen.

      Beantwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *