Welke gevolgen heeft de nieuwe privacywet van 2018 voor jouw database en e-mail strategie?

In 2018 verandert de privacy wetgeving omtrent de verwerking van persoonsgegevens. De huidige Wet bescherming persoonsgegevens vervalt. De nieuwe wet moet ervoor zorgen dat persoonsgegevens beter beveiligd worden, en dat de consument meer te zeggen heeft over zijn gegevens. ‘Toestemming’ is hierbij hét sleutelwoord.

Onzid webdesign, ben jij klaar voor de AVG

25 mei 2018, van WBP naar AVG

In 2016 werd de nieuwe Europese privacywet, de zogenaamde General Data Protection Regulation (GDPR-wet), aangenomen. In Nederland wordt deze wet de Algemene Verordening Gegevensbescherming (AVG) genoemd. De AVG gaat officieel in op 25 mei 2018 en de Nederlandse overheid moet verplicht handhaven, zorg er dus dat je voorbereid bent.

De vervanging van de huidige Wet Bescherming Persoonsgegevens (WBP) door de nieuwe Europese verordening vraagt waarschijnlijk om een aantal aanpassingen van jouw strategie rondom bijvoorbeeld e-mailmarketing en databasemanagement.

Waarom wordt de privacy wetgeving veranderd?

De huidige Europese privacyrichtlijn stamt nog uit 1995. Niet meer dan logisch dus dat deze niet meer aansloot op onze huidige digitale wereld. Daarbij mocht ieder land gedeeltelijk invullen hoe er omgegaan werd met bescherming van gegevens. Het doel van de nieuwe verordening voor gegevensbescherming is om de privacy en omgang met persoonsgegevens in de gehele EU zo veel mogelijk gelijk te trekken.

De nieuwe privacywet moet zorgen voor meer duidelijkheid op het gebied van privacy en omgang met persoonsgegevens, zowel aan consumentenkant als aan bedrijfskant. Daarnaast is een belangrijk onderdeel van de wet dat persoonsgegevens beter beschermd worden.

De wet voor databescherming geldt overigens niet alleen voor Europese organisaties die persoonsgegevens verwerken. Ook organisaties buiten de EU die gegevens verwerken van EU inwoners moeten zich conformeren aan de Europese Algemene Verordening Gegevensbescherming.

Wat hebben de veranderingen van de AVG voor invloed op e-mail- & databasemarketing?

Een samenvatting van de complete Algemene Verordening Gegevensbescherming, bestaande uit 88 pagina’s, kun je hier lezen. Speciaal voor marketeers hebben wij de belangrijkste wijzigingen op een rij gezet:

Toestemming

  • De regels ten aanzien van het verzamelen van toestemming (opt-in) zijn strikter en strenger; er moet expliciete toestemming gegeven worden.
    • Het is verboden om een opt-in checkbox al aangevinkt te hebben staan. Er moet sprake zijn van een actieve handeling. Bovendien moet er in begrijpelijke, gewone taal, vermeld worden waarvoor er precies toestemming gevraagd wordt.
    • Een opt-in moet los uitgevraagd worden en mag niet dubbelzinnig zijn of onderdeel zijn van algemene voorwaarden.
    • Bij toestemming voor verschillende doeleinden (bijvoorbeeld een maandelijkse nieuwsbrief en een wekelijkse aanbiedingsmail) moet er voor ieder doel apart toestemming worden gevraagd.
  • Er zijn nieuwe eisen voor het bijhouden van toestemming. Tenminste de volgende punten moeten in je database bijgehouden worden:
    • Wanneer een opt-in is gegeven.
    • Waarvoor de opt-in is gegeven (bijvoorbeeld voor de B2B nieuwsbrief of de B2C nieuwsbrief).
    • Waarvoor toestemming is gegeven (exacte opt-in-tekst).
    • De manier waarop toestemming is gegeven (bijvoorbeeld met een double opt-in).

Verwerking

Naast het bijhouden van herkomst en waarvoor toestemming gegeven is, moet ook de huidige database in lijn gebracht worden met de nieuwe richtlijnen.

  • Voorbeeld: heb je in het verleden gewerkt met verschillende opt-in teksten? Zorg dan dat deze teksten aan je database toegevoegd worden. Er moet per e-mailadres teruggevonden kunnen worden, met welke opt-in-tekst men een opt-in afgegeven heeft.
  • Alleen persoonsgegevens die noodzakelijk voor het doel zijn mogen verwerkt worden
  • Persoonsgegevens moeten op een transparante manier worden verwerkt
  • Persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen
  • Verwerk je niet zelf alle gegevens en werk je samen met een bureau voor (bijvoorbeeld) je e-mailmarketing activiteiten? Zorg dan dat je vóór 25 mei 2018 met elke partij die voor jou data verwerkt een bewerkersovereenkomst vastlegt (mocht dat nog niet zo zijn).

Nieuw in de AVG (GDPR) is dat je een aantal verplichte onderdelen moet noemen in deze overeenkomst:

  • Doel van de verwerking;
  • soort persoonsgegevens;
  • betrokkenen die werkzaam zijn met de betreffende data;
  • dat passende beveiligingsmaatregelen zullen worden genomen;
  • dat de bewerker zich aan alle verplichtingen houdt;
  • dat na afloop van de verwerking de persoonsgegevens geretourneerd worden aan de verantwoordelijke of vernietigd worden;
  • dat er pas een 3e partij ingeschakeld wordt na schriftelijke toestemming van de verantwoordelijke.
  • Protocol datalekken: sinds 2016 is het al verplicht een datalek te melden. Nieuw bij de AVG (GDPR) is dat de bewerker verplicht is een melding te doen bij opdrachtgever (na een lek) en een melding bij de toezichthouder als er daadwerkelijk data is gelekt.
    • Heb je nog geen procedure voor datalekken? Stel deze dan op.
  • Organisaties die bij het uitvoeren van hun kernactiviteiten bijzondere persoonsgegevens verwerken, zoals gezondheidsgegevens, moeten een zogenaamde ‘Functionaris Gegevensbescherming’ aanstellen.
  • Bij meer dan 250 medewerkers of wanneer er gevoelige data wordt verwerkt, moet er met een register gewerkt worden waarin bijvoorbeeld wordt bijgehouden welke medewerker met de data gewerkt heeft of welke medewerker aanpassingen gedaan heeft.

Recht van de betrokkene

  • Je dient als bedrijf helder te communiceren waarvoor gegevens gebruikt worden en hoe een klant dit kan wijzigen of stopzetten.
    • Persoonsgegevens mogen alleen voor het omgeschreven doel worden opgeslagen. Daarnaast mag je alleen de gegevens opslaan die noodzakelijk zijn. Een rekeningnummer hoeft bijvoorbeeld niet opgeslagen te worden in een e-maildatabase: dit is niet noodzakelijk en dus niet toegestaan.
    • Personen in jouw database hebben het recht om vergeten te worden; dat wil zeggen dat je op verzoek alle gegevens van iemand moet wissen.
  • Ook bedrijfsgegevens, zoals een zakelijk e-mailadres of een zakelijk telefoonnummer, vallen straks onder de noemer ‘persoonsgegevens’.
    • Voorheen werd er nog wel eens vanuit gegaan dat een zakelijk e-mailadres dat gepubliceerd stond op een website een uitnodiging was om contact op te nemen en dat dat e-mailadres toegevoegd mocht worden aan een mailinglist. Dit is niet toegestaan. Zulke gegevens mogen alleen opgeslagen worden bij expliciete toestemming.