23mei

De laatste weken komt heel zakelijk Nederland in beweging. Vanaf 25 mei moeten alle organisaties zich houden aan de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG / GDPR). Deze wet vervangt de huidige Wet bescherming persoonsgegevens en stelt strengere eisen aan de manier waarop persoonsgegevens worden verwerkt. Na lang te hebben gewacht, presenteerde onze belangrijkste partners, Google en Facebook uiteindelijk ook hun visie op de nieuwe wetgeving. Waar moeten we massaal op gaan letten en wat doen wij voor jou?

GDPR en AVG boetes kunnen oplopen tot 20 miljoen

Het is ontzettend belangrijk om je goed in te laten lichten omtrent de GDPR/AVG wetgeving, omdat de boetes op kunnen lopen tot 20 miljoen, of 4% van de jaaromzet.

Onderstaande informatie hebben wij enkel opgesteld vanuit onze ervaring en blik op de zaken. Het is niet gezegd dat dit 100% dekkend is. Wij dragen dan ook geen verantwoordelijkheid voor eventueel gemaakte fouten. Helaas, maar het is te belangrijk om dit soort disclaimers te maken.

We hebben intern een werkgroep opgericht om te inventariseren welke privacygevoelige data we allemaal in het bedrijf hebben. Op basis van dit overzicht hebben we per onderdeel beslissingen genomen. We bezaten bijvoorbeeld nog veel boekingsdata van klanten die bij ons boekten in de tijd dat we BoekVandaag.nl nog in ons bezit hadden. Deze data hebben we voor 28 mei verwijderd. Soortgelijke data zullen we allemaal verwijderen.

De AVG wetgeving onderscheidt een aantal entiteiten

Betrokkene: een natuurlijk persoon die persoonlijke- en bijzondere gegevens, al dan niet actief, ter beschikking stelt aan een bedrijf. De AVG wetgeving heeft dus alleen betrekking op het in bezit hebben van gegevens van natuurlijke personen. Bedrijfsgegevens vallen hier niet onder. Pure B2B bedrijven bezitten ook gegevens van eenmanszaken, en zullen daarom ook rekening moeten houden met deze wetgeving.

Verwerkingsverantwoordelijke:
Het bedrijf dat de persoonsgegevens van een natuurlijk persoon in bezit krijgt. Bijvoorbeeld een gast bezoekt de website van een touroperator, laat daar cookie-gegevens achter EN boekt vervolgens. Deze touroperator heeft in de systemen die hij in eigendom heeft dan data van natuurlijke personen zitten en is verantwoordelijk voor de verwerking.

Verwerker:
De partij die voor een Verwerkingsverantwoordelijke toegang heeft tot deze gegevens.

Bij RED zien wij ons in relatie tot al onze klanten slechts als Verwerker van jullie data. Onze klanten zijn Verwerkingsverantwoordelijk en geven ons toegang tot hun systemen om met die data hun klanten te bereiken. Dit is een belangrijk verschil. Wij hebben immers geen invloed op de rechtsgeldigheid van de verkregen data. Dit is de verantwoording van de Verwerkingsverantwoordelijke.

Omdat wij wel (indirect) toegang hebben tot bijvoorbeeld Analytics accounts van onze klanten is het wel van groot belang dat wij ook op een veilige manier met deze data om gaan.

Wat heeft RED gedaan?

Om zelf te voldoen aan de wetgeving, en ook als verwerker te kunnen garanderen dat aan onze kant alles veilig wordt gedaan, hebben wij de volgende stappen ondernomen:

  1. We hebben een Data Protection Officer aangesteld: Roy Platje zal alle zaken rond de bescherming van de data coördineren. Je kunt aan hem al je vragen richten;
  2. We hebben gezorgd voor een scherp wachtwoordbeleid. Alle toegangen zijn voorzien van twee-staps verificatie, en de wachtwoorden moeten periodiek veranderd worden;
  3. We hanteren een Verwerkingsregister om alle binnenkomende data in vast te leggen. Daarin leggen we ook vast op welke manier persoonlijke klantdata verwijderd is;
  4. De datalek procedure is vastgelegd in het personeelshandboek;
  5. Op onze eigen website hebben we middels CookieBot.com de bezoeker de keuze gegeven welke trackers te activeren. Deze geeft de bezoeker de keuze om per cookiesoort al dan niet toestemming te geven;

Wat moeten wij nog doen:

Ook wij zijn nog niet klaar, er zijn nog een aantal zaken te doen.

  1. Onze eigen privacy statement updaten.
  2. Voor onze klanten een Verwerkingsovereenkomst opstellen. Samen met onze klant moeten wij er immers voor zorgen dat de data van natuurlijke personen goed beveiligd is. Wij kijken op dit moment naar voorbeeld modellen van de Rijksoverheid en DDMA.

Daarin gaan we de volgende zaken vastleggen:

  1.     Het soort werkzaamheden wat wij verrichten voor de klant;
  2.     Op welke manier is de data vastgelegd;
  3.     Wie is er wanneer verantwoordelijk voor eventuele data lekken;
  4.     Welke subverwerkers zijn er eventueel, denk aan ZZP-ers die voor RED werken.

Wat kunnen onze klanten zelf al doen:

  1. Zorg dat je intern alle stappen doorloopt die de AVG van je vraagt.
  2. Controleer de instellingen binnen Google Analytics. Wij adviseren het volgende:
    Op account niveau adviseren we je geen gegevens met Google te delen. Hiermee zorg je ervoor dat Google jouw gegevens niet gebruikt voor haar eigen doeleinden.

    Wij adviseren wel om alle gegevens met Google te delen voor advertentiedoeleinden. Minimaal adviseren we om gegevens te verzamelen voor Remarketing. Doe je dit niet, dan kunnen wij geen remarketing campagnes meer uitvoeren wat een impact heeft op de huidige doelstellingen. Met Rapportagefuncties voor advertenties verzamelt Google data van gebruikers als leeftijd, geslacht en interesses. Dit is enorm waardevol voor het maken van keuzes voor optimalisatie en zouden we altijd aanraden om ingeschakeld te houden.

    Bij analyse van gegevens helpt het ons allen als de data zo lang als mogelijk, binnen de gestelde richtlijnen, bewaard wordt. Zo kunnen er betere analyses en beslissingen gemaakt worden middels Google producten.Je kunt er altijd voor kiezen om minder data binnen Analytics te verzamelen. Dit zal wel invloed hebben op het succes van je campagne. Communiceer de gekozen instellingen altijd met je accountmanager.
  3. Controleer de instellingen binnen je Facebook pagina.
  4. Leg in je privacy statement vast dat je data via Analytics verzamelt voor remarketing doeleinden.
  5. Leg in je privacy statement vast dat je data via Facebook verzamelt voor remarketing doeleinden.

Handige links:

https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-biedt-10-stappenplan-voorbereiding-nieuwe-privacywet

Veelgestelde vragen:

Kan RED helpen om de Cookie Bot te installeren?
Ja, als de Google Tag Manager gebruikt wordt kunnen wij dit voor je doen. Ook kunnen wij de developer instrueren om het in andere systemen in te stellen. De kosten voor implementatie zijn eenmalig € 450,-.

eye_icon  0 branchegenoten lazen dit eerder

Auteur

Corné den Braber
Online Marketeer

Meer over Corné
Contact

Altijd ons laatste nieuws?

Stel je vraag

Je naam

Je e-mail

Waarmee kunnen we je helpen?