Graag even uw aandacht voor het volgende. Op 25 mei 2018 treedt de nieuwe Europese wet in werking die de privacy van consumenten en gebruikers op internet beter waarborgt. Of dit zin heeft of niet daar ga ik me hier niet over uit laten. Waar ik wel wat over wil zeggen is wat er gaat veranderen.
Vanaf die dag moet u voldoen aan de AVG of GDPR. AVG staat voor Algemene Verordening Gegevensbescherming en de Engelstalige benaming hiervoor is General Data Protection Regulation. Als webshop eigenaar of website eigenaar moet je deze privacywetgeving echt naleven en hieronder leg ik je eenvoudig uit wat, waarom en hoe.
Ik zal de term AVG gebruiken, dat is de Nederlandse benaming. De wet heeft gevolgen voor uw website, privacy statement, het verwerken van persoonsgegevens en alle e-mailmarketing. Deze privacywet heeft invloed op elke onderneming die persoonlijke data gebruikt van Europese burgers. Een mail die via je website komt, een nieuwsbrief aanmelding, een order in je webshop eigenlijk alle persoonsgegevens die via je website in je bedrijf stromen hebben hiermee te maken.
Wat betekent dit voor online ondernemers en webshop eigenaren in het mkb?
Als je niet aan de wet voldoet, kun je flinke boetes riskeren.
- Overtreding van de basisbeginselen: boetes tot 20 miljoen euro of 4 procent van je omzet
- Minder zware overtredingen: boetes tot 10 miljoen euro of 2 procent van je omzet
Als mkb ondernemer zijn onder andere dit jouw verplichtingen volgens de nieuwe wet
- Je moet duidelijk zichtbaar een privacyverklaring op je website hebben
- Je hebt toestemming nodig van de personen van wie je gegevens verwerkt
- Personen van wie je gegevens verwerkt, hebben het recht hun persoonsgegevens in te zien, aan te passen en te verwijderen
- Je bent verplicht bewerkers overeenkomsten te hebben met alle bedrijven die voor jou persoonsgegevens verwerken
- Personen van wie je gegevens verwerkt, hebben het recht op indienen van een klacht bij de Autoriteit Persoonsgegevens (AP)
- Je hebt meldplicht bij datalekken, dat doe je bij het Meldloket datalekken AP
Wat moet je precies doen om op 25 mei ‘safe’ te zijn? Onderstaand stappenplan zal je helpen.
Stap 1. Verse privacyverklaring
Zorg voor een nieuwe privacyverklaring die helemaal klaar is voor 25 mei. In dit artikel van Charlotte Meindersma lees je wat er in je privacyverklaring moet staan. Als je aangesloten bent bij een keurmerk, dan zou je kunnen navragen welke rol zij hierin kunnen betekenen. Van Thuiswinkel.org weet ik dat zij een handige Privacy Policy generator hebben voor leden.
In een privacyverklaring staat in elk geval het volgende beschreven:
- Je bedrijfsgegevens
- Doeleinden (reden van de verwerking van de persoonsgegevens)
- Persoonsgegevens (welke persoonsgegevens verwerk je)
- Recht van toestemming
- Recht op inzage, aanpassing en verwijdering
- Beveiligingsmaatregelen
- Cookies
ACTIE > ga na waar je bij bent aangesloten en of daar iets wordt geregeld in de vorm van een solide privacyverklaring.
Stap 2. Privacyverklaring pagina
De privacyverklaring moet heel eenvoudig te vinden zijn op je website. Geef deze dan ook een geheel eigen pagina, een link in de footer én op elke plek waar je persoonsgegevens verzamelt.
ACTIE > Maak een privacyverklaring pagina en de link duidelijk in de footer van je website.
Stap 3. Google Analytics geanonimiseerd gebruiken
Let op: dit is alleen nodig als je geen goede cookiemelding hebt.
Afhankelijk van je instellingen deelt Google Analytics data met Google voor diverse doeleinden. Daarnaast is het mogelijk gebruikers te tracken door middel van een User ID. Google Analytics werkt op basis van IP-adressen, die je kunt herleiden naar personen en dat is daarom niet anoniem.
Om aan de nieuwe wetgeving te voldoen, moet in de cookie melding te lezen zijn dat cookies pas geplaatst worden als mensen:
- Actief aangeven dat ze hiermee akkoord gaan, of
- Als ze verder navigeren door de website. Dit laatste is voor nu is de makkelijkste oplossing.
Stap 4. Beveiliging regelen
De opslag en verwerking van gegevens moet op en top beveiligd zijn. Oftewel: een SSL-certificaat is nu echt een noodzaak. De website waar de persoonsgegevens opgeslagen zijn, moet voorzien zijn van de allerlaatste beveiligingsupdates van de gebruikte software en plugin.
ACTIE > Heb je nog geen SSL-certificaat? Meteen regelen via je domein host.
Stap 5. Wees glashelder met het verzamelen
Op het moment dat gebruikers persoonsgegevens achterlaten op je website, bijvoorbeeld met een e-mail opt-in, moet voor deze gegevens helder zijn waarom je ze nodig hebt en hoe je ze gaat gebruiken. Je moet bij het verzamelen van gegevens altijd verwijzen naar de privacyverklaring van jouw website of onderneming.
ACTIE > Duidelijk beschrijven waar iemand zich voor inschrijft, hoe vaak er wordt verstuurd en dat je je heel makkelijk – op elk gewenst moment – weer uit kan schrijven (opt-out). Bovendien moet de opt-in een duidelijke en bevestigende actie zijn. Verwijs bij elke opt-in met een link naar de privacyverklaring.
Voor de duidelijkheid: een opt-in is waar de eigenaar van een e-mailadres expliciet en aantoonbaar toestemming geeft voor het ontvangen van e-mail van een bepaalde mailinglist. Een opt-out daarentegen is exact het tegenovergestelde: waar je je kunt afmelden.
Stap 6. Het recht om vergeten te worden
Accounts en profielen moeten (zo eenvoudig mogelijk) in te zien, aan te passen of te verwijderen zijn. Mensen met een account bij een website kunnen wellicht al een aantal gegevens zelf inzien en wijzigen. Hetzelfde geldt voor e-mailvoorkeuren die gewijzigd kunnen worden binnen programma’s zoals MailChimp. Men moet zich ook specifiek kunnen afmelden voor dataprofilering. Dit is – heel eenvoudig gesteld – het opdelen van de doelgroep in groepen, zodat je deze een nog beter toegespitste boodschap kunt voorleggen, die hoogstwaarschijnlijk eerder leidt tot conversie.
MailChimp doet dat al en geeft dat ook aan in de footer van een nieuwsbrief, er staat dan zoiets als ‘klik hier om jouw profiel te wijzigen’. Dit geldt ook voor het verwijderen van gegevens (het recht om vergeten te worden). In de privacyverklaring moet daarom ook heel staan hoe mensen hun gegevens kunnen wijzigen of verwijderen.
ACTIE > Ga na of de leverancier van jouw nieuwsbriefsoftware het je mogelijk maakt deze stappen te maken met het systeem – of het mogelijk maakt om het in te bouwen. Zorg ervoor dat bovenstaande mogelijk is.
Stap 7. Legale lijsten
Je moet al je e-mail opt-ins ‘registreren’. Achteraf moet je kunnen aantonen hoe je ze hebt verkregen en waarvoor deze personen precies toestemming hebben gegeven. Zo moet je dus onderscheid maken tussen opt-ins die worden verkregen als iemand een bestelling doet en bijvoorbeeld voor opt-ins die verkregen hebt via een pop-up of lead magnet (een gratis aanbod dat je doet aan je bezoeker in ruil voor het e-mailadres van deze bezoeker).
ACTIE > Maak verschillende groepen of lijsten binnen je nieuwsbriefsysteem. Als je de opt-ins automatisch koppelt met een universele plug-in, dan zal in de database duidelijk en eenvoudig terug te kijken zijn wanneer wie, waar en hoe iemand zich heeft aangemeld.
Let op! Kun je dit niet aantonen voor je huidige klantenbestand? Zorg dan nu eerst voor een e-mail met daarin een opt-in voor de daadwerkelijke e-maillijst, van waaruit je vervolgens gaat e-mailen. Alleen mensen die zich dan actief aanmelden zul je mogen blijven mailen. Overigens mag je klanten met wie je een betaalrelatie hebt, nog wel zonder actieve opt-in mailen over soortgelijke producten of diensten (yes!). Zelf zou ik altijd het zekere voor het onzekere nemen, heel transparant blijven communiceren én altijd een heel duidelijke opt-out bieden (mogelijkheid tot uitschrijving).
Tip! Stel een automatische mailing in om de nieuwe abonnees te verwelkomen. Zet hierin een aantrekkelijke (!) welkomsttekst met de informatie dat de ontvanger vanaf nu mail kan verwachten én die duidelijke opt-out. Vergeet daarin niet de links naar al je socialmedia-accounts te vermelden. Misschien wil de ontvanger geen nieuwsbrief van je, maar je wel volgen via social media.
Stap 8. Leg vast hoe lang je persoonsgegevens bewaart
Eigenlijk mag je persoonsgegevens niet langer bewaren dan noodzakelijk voor het doel van je verwerking. Onder het mom van statistische doeleinden kun je deze termijn vrij lang maken. Statistische doeleinden zijn als je de gegevens gebruikt voor bijvoorbeeld de opbouw van je statistieken of onderzoek. Beschrijf dit wel goed in je privacyverklaring. Overigens is dit (nog) een grijs gebied. Volg de berichtgeving over dit onderwerp dus goed.
ACTIE > Leg jouw bewaarbeleid duidelijk vast in de privacyverklaring.
Stap 9. Bewerkers overeenkomsten
Je hebt een bewerkers overeenkomst (ook wel DPA – data processing agreement genoemd) nodig met alle partijen die toegang hebben tot de persoonsgegevens die jij verzamelt. Dit is het vervelendste punt van die hele AVG, hoewel het niet nieuw is. De verwachting is dat er veel strenger gecontroleerd gaat worden en ook zijn er een aantal verplichte zaken bijgekomen.
Het betreft dus een overeenkomst die je afsluit met partijen als Google Analytics, MailChimp, hostingbedrijf, programmeur, et cetera. De overeenkomst biedt garanties dat de bescherming van de rechten van personen wordt gewaarborgd. Als er problemen ontstaan, kan de verwerker hier verantwoordelijk en aansprakelijk voor zijn.
ACTIE > Maak een lijstje van de partijen waarmee jij samenwerkt inzake de verwerking van persoonsgegevens. Ga na hoe dit eventueel nu is geregeld. Er bestaat een grote kans dat de betreffende partij al zo’n overeenkomst heeft klaarliggen. Is er geen overeenkomst, zorg dan dat dit in orde komt. Er zijn diverse modelovereenkomsten in omloop, zoals deze van Juridox. Veel meer over bewerkingsovereenkomsten lees je bij Justitia.
Extra to-do’s voor je nieuwsbrief
- Zorg dat alle opt-ins die je hebt binnen je website, shop, social media en landingspagina’s voldoen aan de eisen die hierboven staan beschreven. Vergeet ook je lead-magnets niet!
- Als iemand nog geen 16 jaar is, moet iemand met ouderlijk gezag (mede)toestemming geven
- Overbodig om te vermelden eigenlijk, maar toch: je mag iemand natuurlijk niet meer mailen als iemand zich uitschrijft voor je nieuwsbrieven
- Een ‘noreply@’-e-mailadres mag onder de nieuwe wetgeving niet meer. Als je dat nu gebruikt als afzender voor je (nieuwsbrief)mailverkeer, dan moet je dat aanpassen naar een adres waar de ontvanger wel naar kan mailen
- Alleen iemands naam en mailadres vallen onder ‘gewone informatie’ die je mag opvragen. Vraag je bijvoorbeeld om een geboortedatum, dan moet je laten weten waarom (een verrassing op je verjaardag). Zulke data niet verplicht moeten zijn om je te kunnen aanmelden.
- Ga na of de softwareleverancier van jouw nieuwsbrief AVG-proof is (zie ook hieronder)
Waar moet je iemand informeren?
Deze nieuwe wetgeving vraagt dat je veel informatie verstrekt aan (bijvoorbeeld) je potentiële nieuwe nieuwsbrieflezer. Nergens wordt écht heel duidelijk wanneer je deze informatie moet overleggen, anders dan bij het vragen van toestemming om een bericht te mogen sturen (bij de opt-in dus). Wel heeft de AVG het over een ‘duidelijk vindbare plaats’, ik denk dat we mogen aannemen dat een verwijzing is naar je (up-to-date) privacyverklaring.
Hulp nodig bij één van deze stappen? Neem contact met PML internet op
Download dan hier ons gratis eboek met 18 expert tips.