Ondernemerschap: AVG en marketing

Wat moeten ZZP-ers en startend ondernemers doen om te voldoen aan de AVG en privacy regels?

Hoe voldoe je als ondernemer aan de AVG en privacy regels?

In deze blog deel ik mijn praktische tips. Het verhaal begon op donderdag 26 april 2018, 16:09 en ik start als ondernemer nu (al) mijn onderzoek naar concrete handvaten als het gaat om de impact van de AVG en de e-privacy verordening (2019). Er zijn twee losse wetten die in elkaar grijpen en waar je ook als MKB ondernemer wat mee moet:

1. De AVG gaat alleen over het beschermen en verwerken van persoonsgegevens. De wet geldt al langer en vervangt de Wet bescherming persoonsgegevens (Wbp). Vanaf 25 mei 2018 wordt de AVG gehandhaafd. De AVG is hetzelfde als de GDPR. Dit staat voor General Data Protection Regulation.[3].
2. De ePrivacyverordening vervangt in 2019 de Telecommunicatiewet.

Maar wat wordt er nu EXACT van mij (en jou) als kleine ondernemer verwacht? Ik hoor veel broodjes aap verhalen en veel onderschattingen. Ook bij mijn vaak grote klanten zijn ze nog helemaal niet zo ver. Ik neem je mee op mijn reis en beperk me alleen tot de haltes die voor mij als MKB-er relevant zijn. Eerst de AVG uitgelegd.

AVG ook voor jou en mij

Ten eerste dit geruststellende bericht [2]: “Alleen gegevens voor persoonlijke gebruik – denk aan de gegevens in je telefoonboekje, de verjaardagskalender, telefoonnummers in je telefoon en WhatsApp-groepen, en in persoonlijke notities – vallen niet onder de AVG.”. Maar ook deze: De AVG bestaat namelijk voor 80% uit bestaande regels. [4]

Moet je er wat mee? Ja, ook jij moet er iets mee! Als je persoonsgegevens hebt op je laptop, e-mail adressen in Mailchimp of Hubspot, boekhoudsysteem en documenten in je boekenkast waarin personen direct of indirect identificeerbaar zijn, zoals een e-mail adres of telefoonnummer dan moet je wel iets met de AVG. Ook een IP-adres of een cookie is een persoonsgegeven.[10] Bovendien beschouwt de AVG alle handelingen die je met die persoonsgegevens uitvoert als verwerkingen, zelfs het verwijderen van persoonsgegevens is al een verwerking. [3][4] Maar geen paniek, volgens mij zal het niet zo’n vaart lopen.

ACTIE 1: Bewustwording, toestemmingen kennen en kunnen aantonen

De AVG geeft diverse grondslagen voor het vastleggen en verwerken van persoonsgegevens [2][7]:

Bij de uitvoering en marketing van jouw bedrijf val je vaak onder de laatste: ‘gerechtvaardigd belang’. Je mag iemands data gebruiken als het past binnen je gerechtvaardigd (marketing)belang en de impact op de privacy beperkt is [4]. Je mag gewoon lekker mailen mits je je aan de bestaande Telecomwet houdt.

Een bestaande klantrelatie wordt overigens gezien als ‘soft-optin’ toestemming. [3] [4] Het ontvangen van een visitekaartje valt onder ‘toestemming van de gebruiker’. [2] Mythe buster: je hoeft die kaartjes dus niet weg te gooien na 25 mei, wel te beschermen, en je moet kunnen uitleggen waarom je het (zo lang) bewaart! Stel jezelf de vraag “waarom heb ik deze nog?” Is het antwoord ‘Interessant’ of ‘leuk’ dan is dat geen goede reden om de gegevens te ‘verwerken’. [5]

Twee van de eisen die de AVG stelt aan ‘toestemming’ zijn dat deze ‘geïnformeerd’ en ‘specifiek’ gegeven is. Om geldige toestemming aan te tonen is het dan ook essentieel dat je kunt laten zien op basis van welke informatie de betrokken personen de toestemming hebben gegeven. Het is dus onvoldoende om alleen de toestemming zelf vast te leggen! [8] En het moet vóóraf bewezen duidelijk zijn waar iemand mee instemt, ook qua verwerken van persoonsgegevens.[9]

Over grondslagen voor het bewaren van gegevens is het ook van belang te weten dat er niet van grondslag gewisseld mag worden. Heb je eenmaal ‘toestemming’ als grondslag gebruikt, dan kan er niet na intrekking van die toestemming alsnog gebruik gemaakt worden van de wettelijke verplichting of andere grondslag. [2]. Jeetje, dit wordt hogere wiskunde!

~ Ga dus na in je gegevensdragers (telefoon, visitekaartjes, excel sheets, mailchimp lijsten) of behoud van de persoonsgegevens nog past bij de grondslag waarop het gegeven werd. Dient het nog een doel? Ik ga mensen 2 jaar na het laatste contact verwijderen.

~ De AVG zegt dat je toestemming moet kunnen aantonen, maar er is geen specifieke instructie voor hoe en wat je moet aantonen. Wel dat je de informatie moet kunnen aantonen op basis waarvan iemand toestemming gaf. Dat heb je dus te regelen. Zie hieronder.

~ Zorg dat mensen voordat ze toestemming geven weten waar ze toestemming voor geven. Neem dus bijvoorbeeld een privacy statement op in je formulieren, digitale handtekening, offertes, website. Just do it. Zie hieronder.

ACTIE 2: Privacy verklaring vastleggen en communiceren

Dit moet je voor de AVG simpelweg aantoonbaar hebben. Het privacy statement zegt iets over:

• Identiteit. Bijvoorbeeld de bedrijfsnaam (zoals die is ingeschreven bij de KvK) en de contactgegevens. [9]
• Bewaartermijn: je mag persoonsgegevens verwerken zo lang als dat nodig is voor het doel van de verwerking. Bijvoorbeeld door in het privacy-statement te communiceren dat marketingdata van je klanten wordt verwijderd wanneer er twee jaar lang geen aankoop meer is geweest. Ieder bedrijf kan tot een ander redelijk termijn besluiten.
• Specifieke doelen en rechtsgronden [9]. Doelen zijn niet vastgelegd in de wet. Die mogen zelf bepaald worden. Belangrijk is alleen wel dat je de betrokkene informeert over het doel en dat de gegevens alleen maar gebruikt worden voor dat doel. [2] De mogelijke rechtsgronden staan bovenin dit artikel. Je moet alle doeleinden beschrijven. [9]
• Als de verwerking van de persoonsgegevens een wettelijke of contractuele verplichting of noodzakelijke voorwaarde is, moet je ook de gevolgen van het niet verstrekken van de persoonsgegevens vermelden.
• Duur van de opslag. Je moet aangeven hoe lang de gegevens bewaard worden, of anders: welke criteria bepalen hoe lang het opgeslagen zal worden.
• Recht op inzage, rectificatie of wissen van de persoonsgegevens. De betrokkene heeft dit recht en daarover moet je hem/haar in de privacyverklaring informeren. Hierbij kun je meteen vermelden hoe de betrokkene dat verzoek kan indienen.
• Het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens

~ Maak dus een privacystatement en plaats het op relevante plaatsen zodat je relaties weten hoe je te werk gaat. In de comments op dit artikel wees iemand mij op een post van Ilonka Kuis die haar privacy statement al klaar heeft en ter beschikking stelde. Ik gebruikte het als basis voor de mijne: http://www.ilonakuis.nl/privacyverklaring [11]. Die van mij staat nu ook live op www.yvettevanaarle.nl/privacyverklaring.

~ Zorg dat je contacten bekend zijn met je (nieuwe) privacyverklaring. Had je die nog niet toen iemand in je contacten en/of mailinglijst terecht kwam? Dan moet je bijvoorbeeld een mailing sturen zodat je kan aantonen dat mensen weten waar ze akkoord op gaven! En zet een link op je site, in je e-mail handtekening, offerte en nieuwsbrief zou ik zeggen.

ACTIE 3: Beveiligen van aan jou afgegeven persoonsgegevens

Hoe gevoeliger de data, hoe zwaarder de eisen aan de beveiliging. De gemiddelde zelfstandige hoeft hier dus niet extreem veel mee te doen. Wat precies passende beveiliging is en in welke gevallen is een eigen afweging die jij moet maken. Dit moet je ook goed kunnen beargumenteren wanneer daarnaar gevraagd wordt door de Autoriteit Persoonsgegevens. [4]

Bedenk ook hoe het geregeld is door partijen buiten de EU aan wie je onbewust klantgegevens ter beschikking stelt [4] zoals OneDrive, Mailchimp, Moneybird, Gmail, Google Drive, We Transfer die vaak Amerikaanse servers hebben en dus onder andere wetgeving valt …

~ Ga eens na of die stapels ontvangen visitekaartjes in je kast nog echt nodig zijn.

~ Heb je je systemen beveiligd met tweefactor authenticatie?

~ Verander je regelmatig je wachtwoorden en gebruik je verschillende voor verschillende systemen?

~Zorg dat je een secure website hebt door over te stappen op ‘https’. Certificaat en installeren is in een dag geregeld met je hosting partij.

~ Denk vanaf nu extra goed na als je in een e-mail diverse ontvangers in de cc zet. Dat is in principe al een datalek, immers je deelt ongevraagd iemand z’n gegevens! En een (interne) e-mail sturen met als attachment een excel sheet met persoonsgegevens – niet doen, maar was al. [5] Overweeg dan maar te melden bij de Autoriteit Persoonsgegevens.

ACTIE 4: Google Analytics aanpassen

~ Log in op je Google G4 account [12] [13].

1. Aanpassing gegevensverwerking: Log in bij Google Analytics. > Klik op Beheerder (onderin links) > accountinstellingen > Aanpassing van de gegevensverwerking > aanpassing bekijken > klik op opslaan.
2. Gegevens delen: zorg dat je in accountinstellingen ook alle vinkjes voor ‘Instellingen voor gegevens delen’ uit hebt staan. Kijk dan ook even bij ‘Trackinginfo’ of daar alles uit staat onder ‘gegevensverzameling ‘en ‘User-ID’.
3. Anonimiseren IP-adres: voeg in je website code aan je tracking code de volgende regels toe: ga(‘set’, ‘forceSSL’, true) //Gebruik https ga(‘set’, ‘anonymizeIp’, true) //zet IP-masker aan. Als iemand de ‘achterkant’ van je site beheert vraag je het hen.

De Autoriteit Persoonsgegevens heeft zeer sympathiek deze praktische handleiding gemaakt.[13]

ACTIE 5: Mailchimp of andere lijstbouwers

Zelf gebruik ik Mailchimp en ben daar wel blij mee. Ooit importeerde ik veel LinkedIn contacten daarin om ze af en toe een update mail te kunnen sturen. Technische gezien dus niet oké. Dat ga ik aanpassen door mensen die ik graag wil blijven updaten een mail te sturen. Mailchimp zelf maakt het je heel makkelijk om een formulier te maken. In Mailchimp kun je bij ‘Translate’ veel velden naar eigen hand zetten en de toestemmingsvelden in de formulieren kun je ook toespitsen op jouw marketing activiteiten.

Veel gehoorde opmerking van mede ZZP-ers: “Oh maar ik gebruik Outlook gewoon voor mijn mailings, geen Mailchimp”…dat lijkt me niet zo veel uitmaken. Heb je expliciete toestemming van je contacten en hebben ze bij dat akkoord ingestemd met je privacybeleid?

~ Ga voor jezelf na hoe sterk je staat mocht iemand op z’n privacy rechten gaan staan?

~ TIP: Door de *|UPDATE_PROFILE|* merge tag te gebruiken hoeven je contacten niet hun gegevens opnieuw in te vullen maar alleen aan te passen.

ACTIE 6: Verwerkersovereenkomsten

Met verwerkers moet je afspraken maken (jouw opdrachtgever dus ook met jou als je met klantdata gaat werken). Dat kan via een verwerkersovereenkomst (=bewerkersovereenkomst [4]) maar ook via algemene voorwaarden of je opdrachtovereenkomst. DDMA heeft een model verwerkersovereenkomst opgesteld, deze vraag je hier aan. Als je als marketeer een opdrachtgever hielp met CRM, klantonderzoek, een nieuwe website….overeenkomst hebben! [5] De eisen staan op de site van de Autoriteit Persoonsgegevens [8].

~ Check of je zo’n overeenkomst met partners nodig hebt. En controleer dus toch maar rond de 25e of je ondertussen akkoord ging met de verwerkersovereenkomsten van cloud partijen zoals Moneybird, Mailchimp, Google, Gmail, Dropbox, OneDrive. [5]

ACTIE 7: Verwerkingsregister

Er wordt in de AVG ook gesproken over een ‘verwerkingsregister’ en ‘het bijhouden van een register van verwerkingsactiviteiten’ [8]. Het midden- en kleinbedrijf hoeft alleen over een register te beschikken wanneer wij data niet incidenteel wordt vastgelegd, een hoog risico inhoudt voor de rechten en vrijheden van de personen en/of waarvan de gegevens vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens. [8]

Uitzonderingen voor de ZZP-er

Een kleine troost tot slot: in de Uitvoeringswet AVG is een amendement van kamerlid van der Staaij opgenomen (waarvoor dank) waarin wordt verzocht bij de toepassing van de verordening rekening te houden met de omvang van bedrijven en organisaties. De eisen voor handhaving zijn voor ‘ons’ kleine ondernemers-ers dus wel wat minder heftig. [4] Ook hoef je geen Functionaris Gegevensbescherming aan te stellen omdat je waarschijnlijk niet doet aan grootschalige gegevensverwerkingen. [4]

Test jezelf

Zo, je bent er nog! Alles op orde? Dan ben je goed bezig.

Spoiler alert

Ik ben geen jurist en geen AVG specialist. Maar mijn bronnen heb ik transparant gemaakt. Ben je wél expert en heb ik die bronnen verkeerd geciteerd? Laat me het weten en ik pas de tekst aan.

Bronnen:

[1] https://www.frankwatching.com/archive/2017/05/22/de-cookiewet-wijzigt-in-2018-dit-zijn-de-gevolgen-voor-je-website/

[2] https://www.frankwatching.com/archive/2018/03/21/5-meest-gestelde-vragen-over-avg-gdpr/

[3] Mailplus, https://kennis.mailplus.nl/module/avg-compliance/?user-type=marcom

[4] https://ddma.nl/mythes/

[5] https://www.impres.nl/blog/veelgestelde-vragen-avg/

[6] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg

[7] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/avg_in_een_notendop.pdf

[8] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/verantwoordingsplicht

[9] https://www.frankwatching.com/archive/2018/01/12/zo-is-je-privacyverklaring-avg-gdpr-proof/

[10] https://sitecoach.alphamega.nl/avg-introductie

[11] https://www.linkedin.com/pulse/keep-calm-get-your-avg-done-ilona-kuis/?

[12] https://www.drijfveermedia.nl/5-stappen-om-google-analytics-avg-vriendelijk-in-te-stellen/

[13] https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_privacyvriendelijk_instellen_google_analytics_mrt_2018.pdf

Ben je een specialist en miste ik iets? Mail me op yvette@yvettevanaarle.nl . Ook als je dit een nuttig artikel vond, leuk om te horen!