Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. In Nederland ook wel over de Algemene Verordening Gegevensbescherming (AVG). Deze nieuwe Europese wet vervangt nationale wetten zoals de Wet bescherming persoonsgegevens* (Wbp) en heeft dus betrekking op de privacy. De wet geldt voor alle lidstaten van de Europese Unie.
Over de GDPR
Deze nieuwe Europese privacywet is in 2016 is goedgekeurd door de Europese Commissie en vervangt een eerdere Europese privacyrichtlijn namelijk de Richtlijn 95/46/EG. Deze Richtlijn is sinds 1995 de basis van de Europese wetgeving inzake bescherming persoonsgegevens*.
De AVG is een bindende handeling, die in zijn geheel door alle lidstaten moet worden opgevolgd. Door dataregulatie Europees vast te leggen, moet de AVG wet zorgen voor meer duidelijkheid voor zowel aan consumenten als bedrijven. De GDPR regelt, onder andere, hoe personen en organisaties persoonlijke gegevens kunnen verkrijgen, gebruiken, opslaan en verwijderen en zal daarom een grote impact hebben op vele bedrijven waaronder;
- In de EU gevestigde organisaties
- Organisaties die betrokken zijn bij de verwerking** van persoonsgegevens*.
De AVG is van toepassing op elke organisatie die persoonsgegevens van EU-burgers verwerkt, ongeacht waar deze is gevestigd en ongeacht waar de verwerkingsactiviteiten plaatsvinden. Ook in het buitenland gevestigde bedrijven zullen moeten nagaan of ze persoonsgegevens van EU-burgers verwerken en zullen de nodige maatregelen moeten treffen. De GDPR geldt voor alle sectoren.
De veranderingen
Voor vrijwel iedere organisatie zullen er veranderingen plaatsvinden. De grootte van deze veranderingen is afhankelijk van meerdere factoren. De belangrijke aandachtspunten hebben we hieronder opgesomd:
- Uitbreiding van de reikwijdte
De AVG is van toepassing op alle in de EU gevestigde organisaties of organisaties die gegevens verwerken van EU-burgers. De nieuwe wetgeving reikt dus verder dan de Europese grenzen. - Uitbreiding van definities van persoonlijke en gevoelige gegevens
- Uitbreiding van individuele rechten
Nieuwe rechten zullen worden toegekend aan EU-burgers, waaronder het recht om te worden vergeten, het recht om bezwaar aan te tekenen, het recht op rectificatie van persoonsgegevens, het recht op toegang en het recht op meeneembaarheid/overdracht van persoonsgegevens. Deze rechten moeten worden opgenomen indien persoonsgegevens van EU-burgers worden verwerkt.
- Het recht om te worden vergeten:
Een persoon kan vragen dat een organisatie alle gegevens over die persoon zonder onnodige vertraging verwijdert. - Recht op bezwaar:
Een persoon kan bepaalde gegevensgebruiken verbieden. - Recht op rectificatie:
Contactpersonen hebben het recht dat onjuiste of onvolledige data worden ingevuld of gecorrigeerd. - Recht van toegang:
Contactpersonen hebben het recht om te weten welke gegevens over hen worden verwerkt en hoe. - Recht van verhuizing:
Individuen kunnen verlangen dat persoonlijke gegevens van de ene organisatie naar een andere worden verhuist.
- Toestemmingsvereisten worden aangescherpt
U moet toestemming vragen aan uw nieuwsbriefabonnees en contactpersonen voor elk gebruik van hun persoonlijke gegevens, tenzij de persoon van wie de gegevens verwerkt worden op de hoogte is en hier toestemming voor heeft gegeven en zijn rechten dus kent.Te ondernemen acties:
- Er moet expliciet toestemming worden gegeven op basis van interesse, persoonskenmerken of gedrag. Dit moet bij het aanmeldformulier worden vermeld. Link hierbij naar de Privacy pagina waarin dit punt kan worden uiteengezet.
- Contactpersonen moeten zich expliciet aanmelden voor de opslag, het gebruik en het beheer van hun persoonlijke gegevens. Het is niet toegestaan checkboxes vooraf aan te vinken voor bijvoorbeeld het ontvangen van een nieuwsbrief.
- Indien de persoonsgegevens voor verschillende acties worden gebruikt moet er per actie toestemming worden verkregen.
- Verwerkingseisen
Contactpersonen hebben recht op juiste en transparante informatie over de verwerking van hun persoonlijke gegevens, waaronder:
- Contactgegevens:
- Doel van de gegevens:
deze moet zo specifiek zijn en zo veel mogelijk worden beperkt. Sla dus geen onnodige informatie op. Tevens moeten de persoonsgegevens aan eventuele toezichthouders kunnen worden overlegd. - Bewaartermijn:
dit verschilt per veld. Zo is bijvoorbeeld een geboortedatum of naam langer relevant om te bewaren dan een tijdstip waarop een nieuwsbrief is geopend. - Juridische basis:
de verwerking van persoonsgegevens moet van legitiem belang zijn voor de organisatie of de contactpersoon moet er expliciet mee hebben ingestemd.
MailCamp en de GDPR
MailCamp is voorstander van de GDPR en de aangescherpte privacy- en beveiligingsprincipes. De GDPR hoeft in geen geval een beperking te zijn op emailmarketing activiteiten maar kan ook een mogelijkheid zijn om een betere dienverlening te realiseren.
Vóór 25 mei 2018 zullen wij een aantal initiatieven nemen om aan de GDPR te voldoen, waaronder;
- het eenvoudig beschikbaar maken van data van een contactpersoon en de mogelijkheid dat binnen 1 klik te exporteren;
- het aanpassen van de formulieren waardoor er een introtekst kan worden toegevoegd en worden verwezen naar de Privacy statement.
- de verwerkersovereenkomst bijwerken om te voldoen aan de vereisten van de AVG;
- het bewerken van ingebouwde templates en ze meer af te stemmen op de AVG met betrekking tot uitschrijven, gegevens wijzigen etc.;
- het toevoegen van extra waarschuwingen bij het aanmaken van extra velden waarin wordt gewaarschuwd voor welke data wél en welke niet zouden moeten worden opgeslagen in de database van MailCamp;
Uw organisatie en de GDPR
De GDPR wet treedt direct in werking en er dus geen ‘grace-period’. U dient dus bijtijds actie te ondernemen. Een aantal functies zal MailCamp de komende tijd toevoegen waarna u bijvoorbeeld de aanmeldformulieren en ‘gegevens-wijzigen’-formulieren kunt nalopen en updaten, andere zaken zoals het verwijderen van overbodige persoongegevens uit de MailCamp database kunt u nu al doen.
E-mailadressen en andere persoonsgegevens van uw contactpersonen rechtmatig verkrijgen en verwerken.
- Gebruik dubbele opt-in bij de aanmeldformulieren. Het kan zijn dat dit niet standaard aan staat. MailCamp slaat het moment van inschrijven, het inschrijf-IP adres, het moment van bevestigen en het bevestigings-IP adres op zodat u altijd bewijs heeft.
- Zorg voor een duidelijk zichtbare en werkende uitschrijflink.
- Maak een gegevens wijzigen formulier aan en link ernaar onderaan in de nieuwsbrief.
- Check op de juistheid van de gegevens die u opslaat en check of u inderdaad gerechtigd bent deze persoonsgegevens te gebruiken.
- Indien u de API gebruikt, check dan of de persoonsgegevens die bijvoorbeeld worden gesynchroniseerd relevant is voor uw emailmarketing en of u toestemming heeft om deze persoonsgegevens ook daadwerkelijk te gebruiken.
- Verwijder persoonsgegevens die niet meer relevant zijn. Het is niet toegestaan om verouderde data te bewaren indien deze data niet meer wordt gebruikt. Het is zeer onverstandig om gevoelige persoonlijke gegevens, zoals gezondheidsinformatie of informatie betreft de raciale of etnische afkomst in uw MailCamp-account te bewaren.
- Indien uw van uw contactpersonen geen geldige toestemmingsgegevens heeft zoals het IP-adres, de aanmelddatum etc. dan dient u deze gegevens alsnog bij uw contactpersonen aan te vragen en/of bij te werken. Heeft deze data destijds verkregen en voldoen die aan de eisen van de GDPR dan hoeft u wat dat betreft geen actie te ondernemen. Wij adviseren u om advies in te winnen bij een juridisch expert op dit gebied die uw data kan toetsen.
- Indien u MailCamp-modules of andere integraties gebruikt of van plan bent te gebruiken dient u te checken of deze voldoen aan de GDPR eisen met betrekking tot de gegevensverwerking.
- Wij raden aan uw privacy statement te herzien. Geef in uw statement aan welke gegevens u verzamelt, waar u de gegevens voor gebruikt en met welke frequentie en na hoeveel tijd ze worden verwijderd. Ook kunt u aangeven waar contactpersonen hun gegevens kunnen inzien, wijzigen of verwijderen zoals de GDPR voorschrijft.
- Tevens raden wij aan een SSL certificaat op uw website te plaatsen. Wilt u dat uw MailCamp software ook op een beveiligde verbinding draait (https://), dan kunt u een SSL-certificaat aanvragen op support@mailcamp.nl.
Overtredingen
De GDPR maakt het voor de Autoriteit Persoonsgegevens mogelijk hogere boetes op te leggen. De maximumboete is 20 miljoen euro of 4% van de wereldwijde omzet.
Houd er rekening mee dat deze gids alleen voor informatieve doeleinden is en niet als juridisch advies mag worden gebruikt. We raden u aan samen te werken met juridische en andere professionele adviseurs om precies te bepalen hoe de GDPR van toepassing kan zijn op uw organisatie.
Meer weten?
- http://www.eugdpr.org/
- http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=NL
- https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving
- http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_nl.htm
- https://www.rijksoverheid.nl/documenten/brochures/2017/04/19/anticiperen-op-de-algemene-verordening-gegevensbescherming
- https://ddma.nl/actueel/gdpr-de-10-belangrijkste-veranderingen-voor-marketeers
- https://nl.wikipedia.org/wiki/Algemene_verordening_gegevensbescherming
* Volgens de GDPR zijn persoonlijke gegevens alle informatie met betrekking tot een geïdentificeerde of identificeerbare persoon; betekenis, informatie die op zichzelf of in combinatie met andere gegevens kan worden gebruikt om een persoon te identificeren. Ga uit van het extreem brede bereik van die definitie. Persoonlijke gegevens omvatten nu niet alleen gegevens die gewoonlijk als persoonlijk van aard worden beschouwd (bijv. Sofinummers, namen, fysieke adressen, e-mailadressen), maar ook gegevens zoals IP-adressen, gedragsgegevens, locatiegegevens, biometrische gegevens, financiële informatie, en nog veel meer. Dit betekent dat voor MailCamp-gebruikers ten minste een meerderheid van de informatie die u verzamelt over uw abonnees en contacten, als persoonlijke gegevens onder de GDPR worden beschouwd. Het is ook belangrijk op te merken dat zelfs persoonlijke gegevens die “pseudoniem” zijn, als persoonlijke gegevens kunnen worden beschouwd als het pseudoniem kan worden gekoppeld aan een bepaald individu.
** Volgens de GDPR betekent verwerking; elke bewerking of reeks bewerkingen die wordt uitgevoerd op persoonlijke gegevens of op verzamelingen persoonlijke gegevens, al dan niet met geautomatiseerde middelen, zoals verzameling, opname, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik, openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen, aanpassing of combinatie, beperking, verwijdering of vernietiging.
Met andere woorden; als u persoonlijke gegevens van EU-burgers verzamelt, beheert, gebruikt of opslaat, verwerkt u persoonsgegevens uit de EU.