De invloed van de AVG op gratis weggevers en formulieren

Nu de datum 25 mei steeds dichterbij komt, ontstaat er her en der toch wel lichte paniek. Vanaf die datum moeten alle bedrijven zich houden aan de nieuwe wet AVG: Algemene Verordening Gegevensbescherming.

Heb je een probleem als je op die datum niet klaar bent met de wijzigingen die je misschien te doen hebt? Ja en nee.

Ja, want je hebt twee jaar de tijd gehad. De nieuwe wet is namelijk al op 25 mei 2016 in werking getreden. Als je dus niet op tijd klaar bent, had je eerder moeten beginnen.

Nee, want de Autoriteit Persoonsgegevens, die moet controleren of bedrijven de wet naleven, heeft niet genoeg mankracht om op 26 mei alle bedrijven direct te controleren. En als ze gaan controleren, zullen ze eerst bij de grote bedrijven beginnen die gevoelige informatie verzamelen en/of waar veel klachten over binnen zijn gekomen. En als die zich nog niet helemaal aan de wet houden, zullen ze hoogstwaarschijnlijk eerst een waarschuwing krijgen.

Zie dit niet als excuus om niet direct aan de slag te gaan!

Zorg dat je op 25 mei al je zaakjes netjes geregeld hebt. Als de Autoriteit Persoonsgegevens jouw bedrijf wil controleren en ze zien dat je website al niet aan de regels voldoet, is de kans groter dat ze bij je langskomen dan wanneer jouw website helemaal in orde is.

Het doel van de AVG

Nog even terug: wat is nou precies het doel van de AVG? Eerder schreef ik dat het doel van de AVG vooral is om burgers en hun gegevens beter te beschermen tegen ongevraagde reclame en spam. Dat klopt deels. Er zijn nog een aantal belangrijke uitgangspunten:

  • Inventarisatie: ga na welke persoonsgegevens er verzameld worden en met welk doel, wie erbij kan en hoe ze beveiligd worden.
  • Verzamelen: zorg dat je alleen persoonsgegevens verzamelt met de juiste grondslag. Dus omdat je toestemming hebt gehad, omdat er een overeenkomst is, omdat je het wettelijk verplicht bent of omdat er een gerechtvaardigd belang is.
  • Dataminimalisatie: verzamel alleen de gegevens die je nodig hebt, anonimiseer waar mogelijk en bewaar de gegevens niet langer dan nodig is.
  • Beveiliging: gebruik moderne technieken, sterke wachtwoorden, veilige servers, encryptie etc. om de persoonsgegevens te beveiligen.

Wat zijn persoonsgegevens? Alle gegevens die te herleiden zijn naar een persoon. Voorheen ging het alleen om privé gegevens. In de nieuwe wet gaat het ook om zakelijke gegevens. Wij hebben een info@burostaal.nl mailadres dat door meerdere mensen gelezen wordt. Dit mailadres is dus niet naar één persoon te herleiden en valt daarom buiten de wet. Maar we hebben ook persoonlijke mailadressen met onze voornaam er in. Die vallen dus binnen de wet.

Actiepunt: controleer of jouw website al een SSL-certificaat heeft, zodat alle informatie die via formulieren op je site verzonden worden, versleuteld zijn. Heb je nog geen certificaat? Regel dat dan zo snel mogelijk. 

GDPR

Naast de afkorting AVG hoor en lees je ook veel over de afkorting GDPR. Dat staat voor General Data Protection Regulation en dat is niks meer en niks minder dan de Engelse vertaling van de AVG. Er zijn dus (gelukkig) geen twee nieuwe wetten waar je je aan moet houden.

De AVG vervangt de Wet Bescherming Persoonsgegevens. Er was dus al een wet waar bedrijven zich aan moest houden, alleen waren we daar met z’n allen niet zo mee bezig. Nu er een nieuwe wet komt en deze flink onder de aandacht is, staan we opeens allemaal op scherp. Een privacyverklaring heb je bijvoorbeeld altijd al nodig gehad.

Wanneer heb je een privacybeleid (let op: dat is iets anders dan een privacyverklaring) en een functionaris persoonsgegevens nodig?

  • Als je meer dan 250 medewerkers hebt
  • Als je gevoelige gegevens verzameld zoals medische gegevens, politieke voorkeur, geloofsovertuiging etc.
  • Als het verzamelen van persoonsgegevens een kernactiviteit is

Actiepunt: schrijf zelf een privacyverklaring die AVG-proof is en laat deze door een jurist controleren of laat je privacyverklaring door een jurist schrijven. Voldoe je aan een van bovenstaande punten? Dan moet je ook met een privacybeleid aan de slag en dien je een functionaris persoonsgegevens aan te stellen.

De invloed van de AVG op Google / social media

Het is bij Google Analytics niet mogelijk om één individu te verwijderen uit de zoekresultaten. Het is bij Facebook niet mogelijk om één individu te verwijderen uit je advertentie doelgroepen. Deze bedrijven zijn dus niet volledig AVF-proof. Als je hun diensten blijft gebruiken, is dat een risico dat je neemt.

Als Google Analytics ip-adressen bijhoudt of als je e-mailadressen uploadt naar Facebook, verstrek je persoonsgegevens aan deze bedrijven. Je hebt dan dus eigenlijk een verwerkersovereenkomst nodig. Deze grote partijen zullen daar niet zo hard aan meewerken. Het is dus nog afwachten hoe dit gaat lopen. We moeten eerlijk zeggen dat zo’n verwerkersovereenkomst voor ons nog een beetje een vaag begrip is. We doen hier nog onderzoek naar (omdat we ze zelf ook nodig hebben).

Facebook schijnt stappen te nemen en ook Google bereid zich voor. Je hebt overigens geen toestemming nodig om gebruik te maken van Facebook retargeting. Je moet het alleen wel in je privacyverklaring zetten.

De invloed van de AVG op gratis weggevers

Een gratis weggever op je website is een goede manier om je e-maillijst te laten groeien. Er zijn een aantal dingen waar je op moet letten die of met de AVG te maken hebben en/of met de Telecommunicatiewet:

  • Je hebt toestemming nodig om iemand op je e-maillijst te zetten en die toestemming moet je kunnen aantonen. Behalve voor klanten waar je een betaalrelatie mee hebt, die mag je sowieso toevoegen, mits je mails betrekking hebben op de dienst die ze bij je hebben afgenomen.
  • Je mag aangeven dat iemand net zo lang ingeschreven blijft staan tot ze zichzelf uitschrijven. Als iemand zich uitschrijft, moet je de gegevens wel op korte termijn verwijderen uit je e-mailmarketing programma.
  • Je e-mailmarketing programma slaat persoonsgegevens op, dus je hebt een verwerkersovereenkomst nodig.

Hoe kun je er nou voor zorgen dat je gratis weggever voldoet aan de AVG?

  • Schrijf iets in de trend van “Schrijf je in voor onze nieuwsbrief en ontvang GRATIS ….”. Het is heel duidelijk dat ze zich voor je lijst inschrijven. Aan een enkele opt-in heb je genoeg. Maak een screenshot van het inschrijfformulier en bewaar die met de datum erbij.
  • Ben je bang dat bovenstaande tekst slecht is voor je conversie en wil je alleen je gratis weggever benoemen? Dan zul je een dubbele opt-in moeten gebruiken waarbij je bij de tweede opt-in (een e-mail waarin mensen hun e-mailadres moeten bevestigen) alsnog moeten vertellen dat ze op je e-maillijst terecht komen.

Hieronder zie je hoe wij de tekst van onze gratis weggever hebben geformuleerd:

AVG gratis weggevers

 

Active Campaign heeft aangegeven dat ze voor 25 mei 2018 zullen voldoen aan de AVG.

Actiepunt: controleer of je in jouw e-mailmarketing programma kunt aantonen wanneer en waar iemand toestemming heeft gegeven om op jouw e-maillijst te komen. Kun je dit voor je huidige lijst niet aantonen? Dan moet je hen opnieuw toestemming vragen en zorgen dat de toestemming nu wel opgeslagen wordt. “Zonder tegenbericht blijft u aangemeld” is geen actieve opt-in en is dus niet geldig.

De invloed van de AVG op formulieren op je website

Ken je het greedy marketeer complex? Dat betekent dat marketeers steeds meer informatie willen verzamelen om hun doelgroep in kaart te brengen. Bij een contactformulier wordt gelijk de naam, omvang en aard van het bedrijf gevraagd. Bij een e-mail opt-in wordt gelijk de geboortedatum en het telefoonnummer gevraagd. Informatie die niet nodig is voor het directe doel. Daar maakt de AVG dus een einde aan. Op zich niet erg, want minder velden je formulier bevat, hoe lager de drempel om het formulier in te vullen. Wil je toch meer informatie ontvangen? Maak dan de extra velden niet verplicht.

Gebruik de gegevens die je via een formulier ontvangt, alleen voor het doel waarvoor je ze hebt ontvangen. Als iemand je contactformulier invult, mag je die gegevens niet in je e-maillijst zetten. Als iemand zich inschrijft voor je nieuwsbrief, mag je die persoon niet niet naar Facebook uploaden om naar te adverteren. Wil je dit wel doen? Zorg dan dat je dit goed in je privacyverklaring hebt omschreven en verwijs bij alle formulieren naar je privacyverklaring.

Ons contactformulier bevat een minimum aantal velden en een link naar de privacyverklaring:

AVG contactformulier

Onze bestelformulieren bevatten een link naar zowel de algemene voorwaarden als de privacyverklaring:

AVG bestelformulieren

Actiepunt: formulieren op je website nalopen. Zorg dat echt alleen de gegevens gevraagd worden die nodig zijn om de betreffende actie uit te voeren. En zorg dat er een link naar je privacyverklaring bij staat.

Ben jij al klaar voor de AVG? Als je vragen hebt, stel ze gerust hieronder. We beloven niet dat we alle antwoorden hebben, maar we doen ons best je te helpen om je website helemaal AVG-proof te krijgen vòòr 25 mei!

De inhoud van dit blog is deels gebaseerd op het webinar van Frankwatching en Charlotte Meindersma over de AVG. Houd er rekening mee dat dit onze interpretatie is van wat we gelezen en gehoord hebben en dat we geen rechten hebben gestudeerd. Als je echt 100% zeker wilt zijn dat je website en e-mailmarketing aan alle eisen voldoen, schakel dan Charlotte (of een andere jurist) in.

>> Op de hoogte blijven van alle ontwikkelingen omtrent de AVG? Laat hier je gegevens achter!

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *