AVG. Wat moet je ermee?

Natuurlijk treft iedereen de nodige maatregelen voor de nieuwe AVG/GPDR privacywetgeving. Wij bij Radyus zijn daar geen uitzondering op. Bij deze voorbereidingen kwam ik toch een aantal zaken tegen die in de online marketing samenwerkingen vrijwel altijd voorkomen en handig zijn om als aandachtspunten te benoemen. Het is een aantal concrete voorbeelden die voor veel mensen gelden, maar het kan natuurlijk zijn dat voor jouw organisatie andere dingen ook nog belangrijk zijn. Wij denken graag mee over jouw situatie!

Cookiemelding

Op jouw website is vermoedelijk Google Analytics geïnstalleerd en waarschijnlijk ook nog wat andere tracking tools om de website optimaal door te meten en te verbeteren. Sinds de versoepeling van de cookiewet in 2015 is het toegestaan om functionele cookies (zoals analytische- of remarketingcookies) te plaatsen zonder een expliciete actie van de gebruiker. Maar dat verandert met de nieuwe wetgeving!

De standaard instelling van Google Analytics is bijvoorbeeld dat er IP adressen geregistreerd worden. Die vallen onder persoonsgegevens en mogen dus niet meer zonder expliciete toestemming verwerkt worden. In het geval van Google Analytics heb je 2 keuzes:

• Gegevens anonimiseren: door een aantal kleine aanpassingen in de trackingcode en settings anonimiseert Google het IP adres en verzamelt geen persoonsgegevens meer. Je kunt dan zonder extra meldingen op je site Analytics blijven gebruiken. Hulp nodig bij de aanpassingen? Neem dan contact op.
• Wanneer je zonder aanpassingen Analytics wil blijven gebruiken is het noodzakelijk om via je cookiemelding expliciet toestemming van je gebruikers te krijgen. Een bewuste actie is vereist, dus ‘Als je deze site gebruikt gaan we ervanuit dat alles OK is’ telt niet. Open bijvoorbeeld eens de site van Frankwatching voor een voorbeeld van zo’n melding.

Het is dus van belang stil te staan bij de gegevens die jouw analysetools verzamelen. Zijn het persoongegevens? Dan is expliciete toestemming vereist. Denk trouwens naast je cookiemelding ook eens aan je privacy policy. Is die wel AVG-proof?

E-mail marketing

Stuur je een nieuwsbrief naar je relaties en geïnteresseerden? Dan maak je vast gebruik van een maildienst zoals bijvoorbeeld Mailchimp. En je hebt een bestand met e-mailadressen. Ook gebeurt het dat wij als online marketing bureau jouw maillijsten beheren.

Voor het gebruik van een maildienst als Mailchimp loop je tegen het feit aan dat de dienst namens jou persoonsgegevens verwerkt. Je dient dan een verwerkingsovereenkomst met elkaar te tekenen. Gelukkig gaan vrijwel alle diensten hier proactief mee om en kun je veelal via jouw eigen login gemakkelijk een verwerkersovereenkomst met ze afsluiten.

Geef je het beheer van jouw maillijsten aan ons uit handen? Dan zullen ook wij samen een verwerkingsovereenkomst moeten sluiten.

Wat de mensen in jouw bestand met e-mailadressen betreft: wanneer de Autoriteit Persoonsgegevens op de stoep staat, moet jij kunnen laten zien dat je toestemming van deze mensen hebt gekregen om ze jouw nieuwsbrief te sturen. Die toestemming moet een bewuste actie zijn geweest (dus geen voorgevinkte checkbox onderaan het formulier). Dit kan betekenen dat je iedereen een bericht moet sturen om ze te laten bevestigen dat ze de nieuwsbrief willen blijven ontvangen.

Samenvattend

Er is een hoop informatie terug te vinden op de website van de Autoriteit Persoonsgegevens. Ik heb geprobeerd wat concrete zaken eruit te halen als voorbeeld van aandachtspunten maar als je echt zeker van je zaak wilt zijn is het advies inwinnen bij een jurist natuurlijk aan te raden.

Heb je hulp nodig bij de inrichting van je Analytics account of vragen over de inrichting van jouw e-mailaccounts? Neem dan contact op en we kijken samen naar jouw specifieke situatie.