De AVG: niet afwachten, maar dóen!

Van diverse klanten kreeg ik vragen over de wetswijziging persoonsgegevens (AVG) die per 25 mei 2018 inging. Zelf had ik ook vragen, dus ben ik in de wetgeving gedoken. Ik heb wat dingen op een rijtje gezet. Dit is een uitgebreide blog geworden betreft de AVG. Ga er even voor zitten, pak een kop thee, want het is best veel. Ik heb geprobeerd om het duidelijk en overzichtelijk te verwoorden.

Allereerst is het belangrijk om te weten dat ik geen jurist ben. Ik deel met jou de antwoorden die ik tegenkwam tijdens mijn zoektocht. Ik heb besloten om het maken van Algemene Voorwaarden en Privacy Verklaringen niet als diensten aan te bieden. Ieder van ons bepaalt zelf welke voorwaarden hij/zij ergens aan verbindt en ieder weet zelf het beste hoe hij met persoonsgegevens omgaat. Ik zal je hieronder aanwijzingen en tips geven, waar je waarschijnlijk al goed mee uit de voeten kunt. Wanneer je formulieren klaar hebt, is het verstandig om ze te laten controleren door een jurist, alvorens ze op je website te publiceren. Elk bedrijf en iedere ZZP-er is zélf verantwoordelijk voor de volledigheid van de formulieren. Ik moet de mijne ook nog herzien trouwens, ‘ze’ weten het weer leuk te verzinnen.. Tot slot zal ik aangeven waarbij ik je op websitegebied kan helpen.

AVG (GDPR): Algemeen

De AVG (in het Engels GDPR) is de nieuwe wet voor persoonsgegevens en vervangt hiermee sinds 25 mei 2018 de huidige Wet Bescherming Persoonsgegevens. Onder persoonsgegevens vallen alle gegevens die naar een natuurlijk persoon leiden. Een e-mailadres wat begint met naam@… is persoonlijk. Een algemeen e-mailadres van een bedrijf wat met info@… begint, is niet te herleiden naar een persoon, tenzij diegene een ZZP-er is. Een mobiel nummer is persoonlijk, een algemeen nummer van een bedrijf niet. Het is dus niet zo dat je helemaal geen gegevens meer mag vragen, maar je moet in je Privacy Statement vastleggen welke persoonsgegevens jij verzamelt en wat je er mee doet. Daarnaast heeft degene van wie de persoonlijke gegevens zijn, diverse rechten waar hij aanspraak op mag doen. Even op een rijtje:

  • Recht op inzage: Een klant moet ten allen tijde zijn persoonlijke gegevens bij je op kunnen vragen en in kunnen zien. Binnen 30 dagen dien je op zo’n verzoek te reageren.
  • Recht op rectificatie en aanvulling: Wanneer gegevens van een klant onjuist blijken te zijn, mag de klant eisen dat het aangepast wordt.
  • Recht op beperking van verwerking: Alleen gegevens verzamelen die je echt nodig bent van mensen. Deze gegevens mag je niet zomaar met anderen delen.
  • Recht op automatisering/ besluitvorming: Wanneer bijvoorbeeld via automatische mailing iemand iets wordt toegekend en diegene ontvangt niks. Dan mag diegene eisen dat er een natuurlijk persoon naar kijkt.
  • Recht op dataportabiliteit: Een klant mag zijn persoonsgegevens/ inlogcodes bij je opvragen en meenemen naar een andere dienstverlener.
  • Recht op vergetelheid: het moet mogelijk zijn dat alle data van een klant wordt verwijderd. Wijs klanten er wel op wat bij het verwijderen van inloggegevens de gevolgen zijn. De klant heeft bijvoorbeeld geen toegang meer tot het (aangekochte) online programma.

Inventariseren

Het is als eerste belangrijk om onderstaande punten na te gaan en te noteren in een document. Dit wordt de opbouw van je Privacy Statement, zodat het voor iedereen inzichtelijk is wat er met zijn gegevens gebeurt. Het Privacy Statement moet voor iedereen te lezen en te begrijpen zijn, dus schrijf het in Jip-en-Janneke-taal. Het Privacy Statement plaats je op je website en stuur je mee met contracten/ overeenkomsten. Daarnaast verwijs je d.m.v. een link vanaf diverse punten op je website naar je Privacy Statement. De hoofdpunten van je Privacy Statement zijn:

    1. Welke gegevens verzamel je van je klanten?

      Wat moet iemand invullen om je weggever te krijgen, wat moet iemand invullen op je contactformulier? Wat vult iemand in bij een bestelling in de webshop? Verzamel je ook nog op een andere manier persoonlijke informatie? Denk aan Google Analytics, Facebook Pixel, Active Compaign of een andere Email Service Provider (ESP).

    2. Met welk doel verzamel je de gegevens?

      Zodra je de gegevens hebt ontvangen, waar ga je ze dan voor gebruiken?

    3. Waar bewaar je de informatie?

      Op welke apparaten komt bijvoorbeeld je mail binnen? Waar sla je alles op? Denk aan: mobiel, tablet, pc, harde schijf, externe harde schijf, NAS, Dropbox, Cloud, etc..

    4. Voor hoe lang bewaar je dit?

      Nu kan het zijn dat je gegevens bewaart, omdat het ‘ooit’ nog handig kan zijn om ze te gebruiken. Bij de AVG mag dit niet meer. Bewaar alleen de gegevens van iemand die je echt nodig hebt.

    5. Hoe heb je de gegevens beveiligd?

      Heeft je website een SSL Certificaat, waardoor ingevulde persoonsgegevens al versleuteld verstuurd worden? Dit kun je zien aan een groen slotje in de adresbalk voor de link van je website. Wanneer hier een grijs rondje voor staat met een uitroepteken er in, dan betekent het dat je géén SSL Certificaat hebt en je deze aan moet vragen. Hoe heb je daarnaast je gegevens op apparaten en in de Cloud beveiligd? Wie kan hier bij? Denk ook aan je papieren administratie.

    6. Wie heeft als derde inzage in de gegevens?

      Denk hierbij aan o.a. een boekhouder, het bedrijf wat de cloud beheert, het bedrijf waar je website gehost is, degene die je website beheert. Met deze bedrijven moet je een verwerkersovereenkomst sluiten. Hierin geef je aan wie verantwoordelijk is voor de gegevens.

    7. Hoe kan iemand zich uitschrijven voor je nieuwsbrief / mailings?

      Onderaan je nieuwsbrief moet de mogelijkheid tot uitschrijven staan en je dient hiernaar te verwijzen in de nieuwsbrief-zelf.

    8. Hoe kan iemand gebruik maken van zijn rechten?

      Beschrijf hier welke acties je neemt als iemand aanspraak doet op een bepaald recht. De rechten staan hierboven beschreven, onder het kopje ‘Algemeen’.

Offline persoonsgegevens

Naast informatieverzameling via je website, zullen sommige bedrijven ook in intakegesprekken (bijzondere) persoonsgegevens verzamelen. Bijvoorbeeld welke aandoeningen iemand heeft. Hier geldt weer een andere wet voor. Waarschijnlijk kan de brancheorganisatie, als je hierbij aangesloten bent, er meer over vertellen. De kans is groot dat je via je brancheorganisatie ook richtlijnen en formulieren kunt krijgen betreft de AVG. Ook handig om dit als één van de eerste stappen te nemen, voordat je het wiel opnieuw uitvindt. Wie weet hebben zij een concept voor een Privacy Statement, waar je bovenstaande punten eenvoudig in kunt verwerken. Wanneer je ‘gewone’ persoonsgegevens tijdens gesprekken verzamelt, bedenk dan hoe je notities bewaart. Zit het achter slot en grendel of kan een ander er eenvoudig bij?

Klantenmailings

Huidige en nieuwe klanten mag je overigens gewoon mailen, mits de e-mails aansluiten op eerder gekochte producten of diensten. Je mag dus niet zomaar een mailing doen over een nieuw product of dienst. Daarnaast moet je de inschrijving kunnen bewijzen d.m.v. een datum van de inschrijving en op welke manier de persoon op je mailinglist is gekomen. Je hebt dus bewijsplicht.
Er zijn partijen die beweren dat je met een dubbele opt-in kunt bewijzen dat iemand jouw toestemming geeft om zijn e-mailadres toe te voegen aan je lijst. Dit is echter niet zo. Dubbele opt-in houdt in dat de inschrijver (voor je nieuwsbrief of weggever) een mailtje ontvangt om zijn e-mailadres te bevestigen. Volgens de AVG moet vóór de inschrijving al duidelijk zijn waar diegene zich voor inschrijft. Dit moet heel concreet, waarbij je noemt dat diegene bijvoorbeeld je weggever ontvangt en je nieuwsbrief zal ontvangen. Het moet vóór de inschrijving duidelijk zijn op welke onderwerpen je nieuwsbrief gericht is en hoe frequent je de nieuwsbrief stuurt.

Volgens de AVG moet je bij de inschrijving voor een weggever zó specifiek zijn dat de inschrijver een vinkje zet:
1. Dát hij een nieuwsbrief wil ontvangen,
2. Op welke onderwerpen de nieuwsbrief gericht is of aanbiedingen in welke productcategorie,
3. De frequentie van de mailing.
Als voorbeeld: Ik geef bij mijn weggever aan dat je 1x per maand een mailtje kunt verwachten over alle belangrijke punten voor een website. Dan mag ik niet ineens wékelijks een mailtje sturen en daarin mijn dienst aanbieden voor webhosting. Hier hebben degenen op mijn mailinglijst geen toestemming voor gegeven (geen vinkje voor gezet).

(Huidige) mailinglijst

Daarnaast mag je je mailinglijst niet delen met iemand anders. Stel je geeft een workshop samen met een mede professional en je stuurt e-mailadressen door van jouw inschrijvers naar diegene, dan mag dat dus niet. Wat betreft je huidige e-maillijst, kun je nog niet heel veel doen. De personen op je huidige lijst moeten zich eigenlijk nogmaals inschrijven, zodat jij hier een bewijs van hebt. Maar de ESP’s (email server providers, zoals Active Compaign) zijn op het moment van schrijven nog niet zover dat dit al volgens de nieuwe wet kan plaatsvinden.

Zodra ik hier meer over te weten kom en hoe we dit op onze websites moeten communiceren, zal ik hier een nieuw blog over schrijven.

 

Wat moet er gebeuren op website-gebied?

  1. Algemene voorwaarden en Privacy Statement duidelijk zichtbaar/ vindbaar op je website plaatsen.
  2. Bij alle formulieren/ inschrijfmogelijkheden moet een link komen te staan naar je Privacy Statement.
  3. Cookiebeleid. Er moet een melding op de website komen dat je cookies verzameld.
  4. Zorgen dat je regelmatig updates uitvoert voor je content managementsysteem (bijv. Worpress) inclusief de plugins en het thema, zodat gegevens op je website veiliger staan. Sinds kort heb ik een nieuwe dienst: het “Compleet up-to-date”-pakket. Met dit pakket doe ik 1x per kwartaal op je website een controle voor updates. Eventuele nieuwe updates test ik één voor één op een kopie van je website. Zo kan ik zien of alles na de update, gewoon blijft werken. Na de test voer ik de updates door op de website. Bij problemen kan ik gelijk zien welke update dit veroorzaakt en kan ik hier op inspelen. Ik reken hier normaal €90,- voor per kwartaal (€35,- per maand). Maar tot 20 juli 2018  is de prijs €45,- per kwartaal (€17,50 per maand). Daarna gaat de prijs omhoog. Voor klanten waarvoor ik hun website heb ontworpen, is de vaste prijs €45,- per kwartaal.

 

Wat is nu het vóórdeel van de AVG? Ehhh…Is die er dan?
-Jazeker!-

  • Je staat bewust stil bij welke gegevens jij verwerkt, dat is niet verkeerd om (eindelijk) eens te doen.
  • Je schoont je administratie op.
  • En het belangrijkste voor jou en je bedrijf: Je hebt straks een mailinglijst van mensen die geïnteresseerd zijn in jou en in je diensten en producten; je ideale klanten dus. Zelf heb ik liever een lijst van 50 personen waarvan ik weet dat ze wat aan mijn tips, tricks en diensten hebben, dan een lijst van 500 mensen die mijn e-mailtjes ongeopend verwijderen. Dan weet ik voor wie ik het doe.

Er is nog geen duidelijkheid over hoe alles in de praktijk met de AVG zal werken. Zodra er meer punten voor je website komen, dan zal ik het hier posten. Bovenstaande punten zijn voor nu eerst de meest urgente.

Ik heb dus geprobeerd om het hier duidelijk en overzichtelijk te verwoorden, maar het blijft een brij aan informatie.

Wil je méér overzicht en een helder stappenplan, zodat je:

  1. Weet waar je moet beginnen?

  2. Preciés weet wat je moet doen?

Lees dan hier verder.

Mocht je vragen hebben, dan kun je altijd contact met me opnemen!