GDPR/AVG: enkele praktische tips

Je hebt natuurlijk al gehoord over GDPR, AVG of Algemene Verordening Gegevensbescherming: de nieuwe privacyverordening van de Europese Unie die geldt vanaf 25 mei 2018 voor alle websites met bezoekers/klanten/contacten binnen de Europese Unie. Op de website van de Privacycommissie lees je er alles over. Of bekijk deze geanimeerde infographic.

De AVG kan leiden tot acute hoofdpijn of lichte paniek, maar ik denk niet dat dit nodig is.

Ik stel hieronder een aantal tools ter beschikking die je als kleine organisatie*, zelfstandige of K(M)O helpen om GDPR te implementeren op je website en in je digitale communicatie. Heb je hierbij hulp nodig? Contacteer mij dan gerust.

Wil je volledig in regel zijn met de AVG, dan doorloop je best dit stappenplan en doe je ook een audit, zorg je voor IT-beveiliging, een crisisplan enzovoort.

*Ook non-profitorganisaties, scholen, sportclubs et cetera vallen onder de AVG als zij adressenbestanden beheren en verwerken.

GDPR: tips, tricks & tools

Gebruik eenvoudige taal

Schrijf je communicatie over gegevensverwerking in klare, eenvoudige taal, op maat van de doelgroep. Laat je teksten nalezen en bijschaven door een copywriter.

Hou een dataregister bij

Je bent verplicht in een dataregister bij te houden welke gegevensverwerkingen je doet. Voorbeeldinhoud vind je hier en een modelregister rechtsboven op deze pagina. Op deze website vind je nog meer templates, doordacht opgesteld voor kleinere organisaties.

Zorg voor een veilige verbinding (https://) én dito website

Gebruikersgegevens (uit formulieren, voor Google Analytics, boekingsysteem …) moeten via een beveiligde verbinding worden versluisd. Daarom heb je een SSL-certificaat nodig en moet je website een https-verbinding hebben. Ik kan je helpen om over te schakelen naar https als dat nodig is.

Google zal binnenkort aangeven of een website al dan niet veilig is. Bovendien is het een ranking factor.

Is je website gebouwd in een bepaald systeem, zorg dan dat je templates en plugins up-to-date zijn, plaats een spamfilter en beveiliging tegen hacken op je website. Voor WordPress en Wix kan ik je bijstaan in bange tijden.

Privacyverklaring

Waarschijnlijk verwerk je nu al gebruikersinformatie en heb je een privacyverklaring op je website. Evalueer die privacyverklaring en pas ze aan waar de AVG dat vereist.

By the way: de AVG verwacht dat je de hele privacy-uitleg beknopt verwoordt. Dat is een catch 22, want de vereisten zijn zo uitgebreid dat van ‘beknopt’ sowieso geen sprake kan zijn.

Ik deed een poging tot privacyverklaring. Die kan je aanpassen en gratis overnemen (de sympathieke mensen onder u storten een kleine bijdrage – zie onderaan).

Let op: een privacyverklaring op je website is verplicht als je persoonsgegevens opvraagt. Dus: contactformulier op je website = privacyverklaring!

Nieuwsbrieven: vraag om expliciete toestemming

Abonnees op je nieuwsbrief moeten zich inschrijven via een opt-in en dus expliciet toestemming geven om de nieuwsbrief te ontvangen.

Het vakje op het inschrijfformulier staat niet op voorhand aangevinkt. En je voegt geen mensen ‘automatisch‘ aan je database toe.

Je kan deze tekst bij het aanvinkvakje voor je nieuwsbriefabonnement plaatsen:

noun_620634_ccNeem een abonnement op onze nieuwsbrief met informatie en aanbiedingen. Door dit vakje aan te vinken, geef je toestemming om je naam en e-mailadres te gebruiken. Je hebt steeds het recht om je gegevens te wijzigen of te schrappen. Jouw persoonsgegevens worden beveiligd opgeslagen en niet doorgegeven aan derden. Lees hierover meer in de privacyverklaring.

Systemen als Mailchimp (waar ik graag mee werk) bieden de mogelijkheid tot ‘double opt-in‘. De gebruiker krijgt dan nog een e-mail om het abonnement te bevestigen. Lekker duidelijk en eerlijk.

Ik ben heel erg voorstander van het zogenaamde ‘Privacy by design‘ en ‘by default‘ waarbij je er van bij het ontwerp voor zorgt dat de privacyregels gevolgd worden. Double opt-in is daarvan een voorbeeld.

Wat met bestaande contacten?

Je moet expliciete toestemming hebben van je respondenten om hen een nieuwsbrief te mogen toesturen. En je moet kunnen bewijzen dat je die toestemming kreeg.

Nu, wie zit er in je database?

  • Contacten die via een opt-in toestemming gaven.
  • Klanten, cliënten van je organisatie, mensen die een contract afsloten …
  • Contacten van wie je het e-mailadres ergens ‘vond’.

In principe moet je die opt-in-contacten en ‘klanten’ niet opnieuw om toestemming vragen. Maar behalve van de opt-in contacten kan je waarschijnlijk niet bewijzen dat mensen expliciete toestemming gaven.

Met andere woorden: dit is grond voor discussie en de GDPR/AVG hecht meer geloof aan het verhaal van de gebruiker dan van de gegevensverwerker. Kan je de expliciete toestemming niet aantonen, dan hangt er je een boete (en eventuele reputatieschade) boven het hoofd.

Formulieren: welke informatie, waarvoor toestemming vragen?

Principes:

  • Verzamel enkel de gegevens die je nodig hebt.
  • Vertel waarvoor je ze zal gebruiken (transparantie!).
  • Vraag de gebruiker om toestemming voor dit gebruik.

Voorbeeld
Welke informatie vraag je om een nieuwsbrief te mailen?
Naam en e-mailadres.
Het telefoonnummer is niet nodig, de schoenmaat ook niet en burgerlijke staat ook niet. Staan zulke velden toch nog in je formulier voor nieuwsbrieven, schrap ze dan.

Aan het verzamelen en verwerken van gegevens zijn voorwaarden gekoppeld. Daarover vertelt de overheid meer.

Kort samengevat: er zijn ‘wettelijke grondslagen‘ om iemands gegevens te verwerken. Bijvoorbeeld om een loon te storten, een factuur te sturen, een nummerplaat aan te vragen, boeken te ontlenen enzovoort.

E-marketing is – o verrassing – geen ‘wettelijke grondslag’, je hebt dus expliciete toestemming nodig van de betrokkene.

Nog een voorbeeld: je doet boekingen voor je yogacursussen per telefoon. In je contactformulier staat dus een vak voor het telefoonnummer, want dit is relevant.

Schrijf er dan bijvoorbeeld bij: ‘We gebruiken je telefoonnummer enkel om je lessen te boeken, geven het niet door aan derden en bewaren het beveiligd.’

Je kan deze tekst in het formulier plaatsen om toestemming te vragen.
Door dit formulier te versturen, geef je toestemming aan <naam organisatie> om de ingevulde gegevens te verwerken. De informatie wordt enkel gebruikt om je vraag te beantwoorden <of, bijvoorbeeld ‘om je abonnement te beheren’, ‘lesinformatie door te sturen’, ‘je opmerking verder op te volgen’>. De informatie wordt over een beveiligde verbinding verstuurd en niet gedeeld met derden.
Wij respecteren je privacy, lees onze privacyverklaring voor meer informatie.

Eventueel combineer je dit met een aanvinkvakje voor een nieuwsbriefabonnement.

Toestemming van kinderen

Naar het gebruik van informatie over minderjarigen, is de nieuwe privacywetgeving extra streng. Je hebt best een systeem dat de leeftijd van de gebruiker nagaat en vraagt de ouder(s) of voogd(en) om toestemming voor gegevensverwerking.

Hoe lang bewaar je de gegevens?

Je mag gebruikersgegevens slechts bijhouden tot zolang je ze nodig hebt voor het beoogde doel en tot maximaal 5 jaar na het laatste gebruik.

Stop je bijvoorbeeld met het versturen van een nieuwsbrief, dan moet je database met abonnees ook verdwijnen (en mag je die niet voor iets anders gebruiken).

Schermafbeelding 2018-04-20 om 10.22.00

Ook in Google Analytics moet je aangeven hoe lang de informatie bewaard mag blijven.

Zet je schrap voor vragen en verzoeken van de gebruiker

Het is de bedoeling dat je transparant bent in je datagebruik, daarom heeft de persoon van wie je gegevens bijhoudt het recht om:

  • te weten waarvoor zijn gegevens gebruikt worden,
  • zijn gegevens in te kijken,
  • zijn gegevens te (laten) corrigeren of te wissen,
  • de verwerking van zijn gegevens te beperken,
  • bezwaar aan te tekenen tegen het gebruik voor marketingactiviteiten,
  • de gegevens in handen te krijgen,
  • vergeten te worden.

De laatste twee zijn nieuw.

Door ‘Het recht om gegevens in handen te krijgen‘ moet je de gebruiker zijn gegevens kunnen overdragen, gestructureerd, in een gangbare vorm, op papier of elektronisch.

Het recht om vergeten te worden‘, wil zeggen dat iemand kan vragen om uit je database geschrapt te worden, voor eeuwig en altijd. Je mag die persoon dan niet meer contacteren.

Je moet snel en adequaat op een verzoek van een gebruiker kunnen reageren. Dat wil zeggen, binnen 30 dagen. Zorg dat daarvoor een procedure is in de organisatie. Wie doet dit? In welke databestanden moet de schrapping of wijziging gebeuren? Hoe breng je de persoon op de hoogte dat de vraag uitgevoerd werd? Op welke manier ga je gegevens meedelen?

De eenvoudigste manier lijkt me om de gegevensflow zoveel mogelijk te automatiseren en de gebruiker duidelijk te vertellen bij wie hij terecht kan met z’n verzoek.

Mailchimp laat de respondent toe om zélf zijn gegevens te wijzigen of te schrappen. In de nieuwsbrieffooter (onderste balk) staat hoe de respondent op de mailinglijst terecht kwam en waarvoor de info gebruikt wordt. Ik geef steeds de mogelijkheid om gegevens aan te passen of zich uit te schrijven. Dit proces verloopt automatisch, maar uiteraard grijp ik manueel in als iemand dat vraagt.

Vermeld een e-mailadres dat direct naar de verantwoordelijke voor gebruikersverzoeken verwijst.

Of plaats een formulier op je site dat gebruikers toelaat rechtstreeks contact op te nemen met de persoon die verantwoordelijk is voor het adresbeheer.

Verstuur je verschillende nieuwsbrieven, dan kan je de gebruiker naar een webpagina leiden waar hij zelf aanduidt welke nieuwsbrief hij wil ontvangen.

Een formulier voor wijziging/schrapping van persoonsgegevens kan er zo uitzien:

  • Voornaam:
  • Naam:
  • E-mailadres:
  • Mijn gegevens worden door uw organisatie gebruikt voor …
  • Ik wil deze gegevens wijzigen/schrappen.
  • Gelieve deze wijzigingen door te voeren …

Verlies je hierdoor veel contacten? Nee, zelden schrijven mensen zich uit. En als ze dat toch doen, is dat geen ramp. Beter een kwalitatief adressenbestand dan een massa ongeïnteresseerden en geïrriteerden.

Cookies

Plaats onderstaand bericht op je website zodat de surfer kan aangeven dat hij akkoord is met het verzamelen van cookies.

Deze site maakt gebruik van cookies voor analyse en gebruikscomfort. Door op ‘akkoord’ te klikken, geef je hiervoor toestemming. Cookies kan je steeds wissen of uitschakelen in je browser. Er wordt geen persoonlijke informatie opgeslagen. Lees onze privacyverklaring en het cookiebeleid voor meer informatie.

Wat met tracking-cookies?

Cookies komen in drie varianten:

  • Functionele-cookies zijn nodig om een site goed te doen werken.
  • Analytische-cookies: deze helpen je om het verkeer op je website te analyseren.
  • Tracking-cookies houden het surfgedrag bij en presenteren bijvoorbeeld ‘reclame op maat’.

Tracking-cookies zorgen ervoor dat je reclame voor – zeg maar – Nike sneakers te zien krijgt in Facebook nadat je de dag voordien googelde op ‘Nike sneakers’ (retargetting of remarketing).

Die tracking-cookies dringen dus binnen in de privacybubbel van de gebruiker. Het lijkt een beetje alsof je je ziel verkocht hebt aan de duivel (dat heb je niet gedaan, je hebt je ziel gratis en voor niets weggegeven, maar daarover een andere keer meer).

In de heel nabije toekomst zal de duivel toestemming moeten vragen om surfers te volgen én hen advertenties en andere informatie op maat aan te bieden. Browsers zullen dat trouwens by default afblokken. Als internetgebruiker krijg je dus meer controle over wat er met je info gebeurt, als marketeer zal je de bezoeker zover moeten krijgen dat hij toestemming geeft.

Dit zet je op je site als cookie-disclaimer als je tracking-cookies toepast:

En Google Analytics?

Google Analytics werkt met analytische cookies en valt dus onder de vernieuwde privacyregels. Je mag Google Analytics blijven gebruiken onder deze drie voorwaarden:

  • Je sluit een bewerkingsovereenkomst met Google Analytics.
  • Je maakt IP-adressen anoniem.
  • Je deelt je statistieken niet met Google.

En ook nog …

Samenwerker en leverancier

Je werkt samen met andere ondernemingen, organisaties en platformen voor gegevensverwerking? Sluit een verwerkersovereenkomst en check of die partner de AVG-regels naleeft. Je mag niet zomaar gegevens uitwisselen.Bedrijven als Mailchimp en Google zijn aan het zorgen dat ze in overeenstemming zijn met de GDPR, je vindt hierover documentatie op hun websites.

Zo lek als een datazeef

Je moet natuurlijk voorkomen dat gebruikersgegevens die je opslaat worden ontvreemd. Treedt er toch een datalek op, dan moet je dit binnen 72 uur melden aan de Privacycommissie. Is het lek héél nadelig voor de gebruikers, dan moeten zij op de hoogte worden gebracht. Denk aan diefstal van creditcardgegevens.Voorkomen is beter dan genezen: encrypteer gevoelige informatie en gebruik beveiligde servers.

Je bent verplicht een document op te stellen, een Persoonlijke Impact Analyse (PIA) waarin staat welke gegevens je verwerkt en wat de impact is bij verlies, diefstal of verkeerd gebruik.

Back-up

Met een back-up kan je data herstellen als er iets fout gaat. Dit komt je eigen werking en de privacy van gebruikers ten goede.

En dan?

Als je de wetgeving niet volgt, riskeer je een boete. Zo eenvoudig is het. Dé reden om de AVG te volgen is dat je het vertrouwen van je websitebezoekers, klanten, abonnees van je nieuwsbrief … niet wil beschamen.

Tot slot

Deze vernieuwde regelgeving maakt het verzamelen en gebruiken van gegevens er niet makkelijker op. Je zal gebruikers een goede reden moeten geven om zich in te schrijven op je nieuwsbrief of voor andere marketingredenen informatie door te geven. Laten we creatief zijn!

Ik heb heel wat tijd en energie in deze samenvatting geïnvesteerd. Ik stel deze informatie graag ter beschikking en je mag de documenten op mijn website zomaar gebruiken.

Wil je bijdragen aan de inspanning, klikt dan op ‘Vrije bijdrage’ of stort oldskool op rekeningnummer BE34 3770 7128 0990 (op naam van David Van Bambost).

Vrije bijdrage

De startprijs staat op 5 euro, je kan dat naar eigen vrijgevigheid vermenigvuldigen.

€5,00

© David Van Bambost

Disclaimer: aan deze tekst kunnen geen rechten worden ontleend en ik ben niet aansprakelijk voor eventuele juridische gevolgen op basis van deze inhoud. Voor een volledig waterdichte GDPR/AVG-werking raad ik je aan om een jurist te raadplegen.

2 gedachten over “GDPR/AVG: enkele praktische tips

Voeg uw reactie toe

  1. Hi,

    Leuk artikel, informatie en met humor.
    Je kan natuurlijk nog veel meer vertellen maar als eerste indruk voldoet het prima.

    Er viel me wel iets op.
    U spreekt van een Persoonlijke Impact Analyse; bedoeld u een Privacy Impact Analyse?

    Vr.gr. Peer

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s

WordPress.com.

Omhoog ↑