/

De nieuwe privacywet. Is jouw bedrijf er klaar voor?

Eind deze maand krijgen we een nieuwe privacywet. Vanaf dat moment gelden er nieuwe regels voor het verzamelen en gebruiken van persoonsgegevens. Dit heeft gevolgen voor de manier waarop je als bedrijf persoonsgegevens van klanten en relaties mag verzamelen en gebruiken. Via tools als Google Analytics maar ook middels e-mailmarketing. Wat moet je daar als communicatieprofessional over weten? En hoe zorg je dat je aan alle regelgeving voldoet?

Wat houdt de wet in?

De nieuwe wet, ook wel de General Data Protection Regulation (GDPR), gaat in op 25 mei 2018. In het Nederlands wordt hij ook wel de Algemene Verordening Persoonsgegevens (AVG) genoemd. De nieuwe Europese wet stelt hogere eisen aan de manier waarop bedrijven met persoonsgegevens omgaan. Dit zorgt ervoor dat de privacy van Europese burgers beter beschermd is.

Waarom is dit belangrijk?

Voldoe je niet aan de nieuwe regelgeving in mei, dan riskeer je een boete die kan oplopen tot 20 miljoen euro of 4% van de totale jaaromzet van je bedrijf. De Autoriteit Persoonsgegevens houdt hier toezicht op. Het is dus de moeite waard om dit goed te regelen.

De nieuwe privacywetgeving is een veelomvattend onderwerp. Hieronder beschrijven we wat je moet regelen op het gebied van e-mailmarketing & analytics. Let op: de nieuwe wetgeving kan nog méér gevolgen hebben voor je organisatie. In sommige gevallen moet je bijvoorbeeld een Privacy Officer aanstellen. Informeer jezelf en volg de website van de Autoriteit Persoonsgegevens voor het laatste nieuws.

Wat moet je regelen?

1. Sluit een bewerkersovereenkomst af

Is er een derde partij die in opdracht van jou gegevens verwerkt, zoals een communicatie- of marketingbureau of Google Analytics? Sluit dan een bewerkersovereenkomst. Hierin registreer je waarom bepaalde gegevens vastgelegd worden en hoe de gegevens beveiligd worden. Daarnaast leg je hierin ook vast wie er toezicht houdt en hoe.

2. Regel toestemming voor e-mailmarketing

Als de nieuwe wet ingaat moet je als bedrijf kunnen aantonen dat mensen zich hebben ingeschreven voor je mailings, hoe en wanneer ze dat gedaan hebben en welke toestemming ze precies gegeven hebben. Verder moeten relaties:

  • Met een actieve handeling toestemming gegeven hebben (bijvoorbeeld door een checkbox aan te vinken) en (let op!) niet via de algemene voorwaarden of automatisch aangevinkte checkboxes in een formulier;
  • Eenvoudig kunnen uitschrijven via een link in elke mail die je stuurt;
  • Duidelijk kunnen inzien waar de gegevens voor gebruikt worden.

Let op: dit geldt alleen voor mails met een commercieel doel aan personen waar je géén betaalrelatie mee hebt. Dus als je iemand mailt over een order of factuur, dan hoef je niet aan bovenstaande te voldoen.

Houd er rekening mee dat je op elk moment moet kunnen aantonen hoe je een inschrijving voor je digitale nieuwsbrief ontvangen hebt. Ook moeten relaties op elk moment en eenvoudig hun persoonsgegevens in kunnen zien of kunnen wijzigen.

Heb jij de e-mailadressen in je klantenbestand op een andere manier verzameld; bijvoorbeeld via websites, LinkedIn of visitekaartjes? Dan moet je ervoor zorgen dat je alsnog de nodige toestemming krijgt om deze mensen te benaderen.

Je kunt je relaties dan bijvoorbeeld een e-mail sturen met de vraag of ze nog ingeschreven willen blijven voor de nieuwsbrief. Plaats daarin een ‘ja’- en ‘nee’-knop, zodat je goed kunt registreren wie zich in heeft geschreven en wie niet. Bij geen respons moeten relaties helaas uitgeschreven worden.

3. Update je instellingen voor Google Analytics

Als je Google Analytics gebruikt om gegevens te verzamelen over het verkeer op je website, dan gaat er ook wat veranderen. Ook hiervoor moet je een bewerkingsovereenkomst sluiten. Daarnaast moet je IP-adressen anoniem maken, een SSL-certificaat hebben voor cookies, gegevensdeling met Google uitzetten en een privacyverklaring op je website plaatsen.

Nog meer verandering op komst

Naast de GDPR / AVG komt er ook een nieuwe regeling aan met de naam ‘ePrivacy regulation’. Hierin staan regels over het gebruik van metadata (gegevens die de karakteristieken van bepaalde gegevens beschrijven), cookies en spam. Het komende jaar is het dus goed om de ontwikkelingen in de gaten te houden. Volg de website van de Autoriteit Persoonsgegevens voor het laatste nieuws.

Key take-aways

  • Zorg dat je nieuwe inschrijvingen voor je mailings goed registreert;
  • Dat je per doelstelling toestemming vraagt;
  • Dat je huidige database met relaties voldoet aan de nieuwe richtlijnen;
  • Sluit een bewerkingsovereenkomst af wanneer een derde partij met jouw data werkt;
  • Zorg dat je jouw relaties inzicht kunt geven in hun data;
  • En deze op verzoek aanpast of verwijdert;
  • Zorg voor duidelijk zichtbare voorwaarden;
  • Maak goed onderscheid tussen de algemene voorwaarden en de privacy-voorwaarden;
  • Pas je instellingen voor Google Analytics aan;
  • Controleer of je een Privacy Officer moet aanstellen.

We helpen je hier graag mee

Er gaat nogal wat veranderen. Wij helpen je graag op weg om te zorgen dat je aan de nieuwe voorwaarden rondom e-mailmarketing en Google Analytics voldoet. Heb je hier vragen over, neem dan contact op met Dennis Paauw via dennis.paauw@smidswater.nl of (0)70 711 22 37.