Cloud

Blog

We delen graag onze kennis. Ontvang eens in de maand de laatste artikelen in je mailbox.
 

Checklist: is jouw cookiebanner AVG-proof?

VERS VAN DE PERS

Checklist: is jouw cookiebanner AVG-proof?

Evy Knol

Evy Knol

15 augustus 2018 5 minuten
Q&A rondom de AVG Evy Knol

Q&A rondom de AVG

Evy Knol

07 juni 2018 5 minuten
De nieuwe privacywet (AVG/GDPR), die sinds 25 mei officieel in werking is getreden, roept nog steeds veel vragen op. Hieronder vind het antwoord op de drie meestgestelde vragen: 1) hoe zit het met vinkjes? 2) wanneer heb ik een verwerkersovereenkomst nodig? en 3) is mijn cookiebanner AVG-proof? 

#1: Check of jouw webformulieren AVG-proof zijn

#2: Check of jij een verwerkersovereenkomst nodig hebt

#3: Is jouw cookiebanner AVG-proof?
 


#1 Hoe zit het nu met opt-ins? Wanneer moet ik wel en niet een aanvinkvakje toevoegen?

De regels over de opt-ins blijven in principe hetzelfde, want deze zijn vastgelegd in de Telecommunicatiewet. Wat er wél veranderd, is de manier waarop er toestemming gegeven wordt. De toestemming moet specifiek zijn, vrij (dus geen vooraf aangevinkte vakjes), op informatie berustend en ondubbelzinnig. Vooral deze laatste, het bewijs van toestemming, moet uitgebreider zijn. Daar kom ik zo nog op terug. 

Maar hoe zat het nu precies met opt-ins van nieuwsbrieven?

Toestemming vragen
  • Bij non-financiële formulieren heb je een opt-in nodig.

    Nieuwsbrief: Als je een e-mailadres en naam vraagt is dit voldoende. Je hebt geen extra vinkje nodig. Omschrijf duidelijk voor welke nieuwsbrief iemand zich inschrijft en hoe vaak je deze ongeveer gaat versturen.

    Ander (niet-financieel) formulier, bijvoorbeeld voor een petitie: Dit formulier heeft een ander doel, dus je mag dit e-mailadres niet zomaar gebruiken om je nieuwsbrief te versturen. Nu heb je wel een aanvinkvakje nodig (niet vooraf aankruisen!) met Ja, ik wil ook de maandelijkse nieuwsbrief ontvangen. 
     
  • Betaalde relaties mag je je nieuwsbrief sturen zonder opt-in, dus heb je geen apart vinkje nodig op je donatieformulier bijvoorbeeld. Vermeld wel dat je een nieuwsbrief gaat sturen en geef ze de mogelijkheid tot verzet. 
Tip: Verwijs onder elk formulier naar je privacy statement, zodat je bezoeker daar altijd gemakkelijk jouw privacybeleid kan lezen. 


Toestemming bewaren 
Welke gegevens moet je opslaan? (datalogging)
  • Wie de toestemming heeft gegeven (naam/e-mailadres)
  • Opt-in ja of nee
  • Type opt-in (checkbox, formulier etc.)
  • Datum van toestemming
  • Exacte omschrijving van gegeven toestemming (welke tekst stond bij het vakje of op je formulier?)

Bestaande opt-ins: what to do? 
Moet je je huidige database van je nieuwsbrief opnieuw toestemming vragen: ja of nee? Daar hebben wij helaas geen pasklaar antwoord op, maar dat is een beleidskeuze die je zelf moet maken met je organisatie. Bekijk goed hoe je in het verleden toestemmingen hebt gevraagd en welke gegevens je hebt opgeslagen. 

Er zijn drie scenario's:
1. De data niet meer gebruiken
2. Iedereen opnieuw toestemming vragen en zorgen dat deze aan de vereisten voldoet
3. Zo goed mogelijk de toestemmingen uit het verleden onderbouwen en toestemmingen voor het heden en toekomst perfect construeren. De meeste organisaties gaan voor deze optie.


#2 Wanneer heb ik een verwerkersovereenkomst nodig? 

Als jij persoonsgegevens laat verwerken door een derde partij, bijvoorbeeld als je je personeelsadministratie uitbesteed, dan ben je verplicht om een verwerkersovereenkomst te hebben. Bij Gopublic verwerken wij ook persoonsgegevens ten behoeve van onze klanten. Bijvoorbeeld als we jouw website hosten of als je Analytics, Adwords of andere een marketinguiting hebt uitbesteed aan ons. Als klant ben je dan de 'Verwerkersverantwoordelijke' en Gopublic is de 'Verwerker'. Je bent als klant dus verantwoordelijk dat je deze verwerkersovereenkomsten hebt afgesloten en dat deze voldoet aan de AVG. 

Laat jij door Gopublic persoonsgegevens verwerken en hebben wij nog geen overeenkomst? Neem dan contact met ons op! 


#3 Is mijn cookiebanner AVG-proof?

Maak je gebruik van Google Analytics en heb je de juiste instellingen gemaakt om de data te anonimiseren? Maak je ook gebruik van marketing of social media cookies? Of heb je helemaal geen idee óf en welke cookies er geplaatst worden? Grote kans dat je een aangepaste cookiebanner nodig hebt die voldoet aan de AVG.
 

Waaraan voldoet een AVG-proof cookiebanner?

  • Het mag geen cookiewall zijn die je website blokkeert zonder dat een bezoeker de cookies accepteert
  • Je cookie banner mag geen vooraf aangevinkte keuzevakjes hebben
  • Je moet informatie geven over welke cookies er gebruikt worden
  • Je cookiebanner geeft de mogelijkheid om niet-noodzakelijke cookies te weigeren en toch de website goed kunt gebruiken
  • Ook dien je je bezoeker de mogelijkheid te geven om zijn of haar toestemming ten alle tijden in te trekken
  • Je cookiebanner plaatst alleen noodzakelijke cookies totdat een bezoeker actief toestemming geeft voor het plaatsen van marketing cookies. 
  • Je cookiebanner houdt alle toestemmingen bij in een log


Wil je samen met ons kijken waar wij jou bij kunnen helpen rondom AVG-aanpassingen? Of heb je een andere vraag over privacy? 

Stuur een mail naar 
avg@gopublic.nlWij denken graag met je mee! 

Voorbereiden op de AVG? Doe de checklist! Evy Knol

Voorbereiden op de AVG? Doe de checklist!

Evy Knol

11 januari 2018 7 minuten
De nieuwe privacywetgeving is een veelbesproken onderwerp. 25 mei 2018 is het zover. Dat is de datum waarop de Algemene Verordening Gegevensbescherming (AVG) of in het Engels bekend als de General Data Protection Regulation (GDPR) in werking treedt. En die dag komt steeds sneller dichtbij. Deze wet wordt een stuk strenger op het gebied van dataverzameling en -verwerking. Transparantie is key. Veel organisaties zijn al volop bezig om zich voor te bereiden op de nieuwe Europese privacywet, om torenhoge boetes te vermijden. Wat verandert er voor organisaties die online met klantendata werken? Wat zijn de gevolgen voor de inzet van e-mail, telemarketing en cookies? En hoe bereid je je voor op deze nieuwe wet?

Een belangrijk onderdeel van de AVG is dat steeds meer gegevens bestempeld worden als ‘persoonsgegevens’, waardoor er meer online activiteiten onder de privacywet vallen. Aan wie mag je een e-mail sturen? Wat mag ik wel en niet doen met persoonsgegevens? Hoe verzamel ik gegevens en wat komt er kijken bij het veilig opslaan en bewaren van deze gegevens? De verantwoordelijkheid om de wet na te streven, ligt meer bij organisaties. Het is daarom belangrijk om je zo goed mogelijk voor te bereiden, want als je je niet aan de regels houdt kunnen er boetes gegeven worden tot €20 miljoen of 4% van de jaaromzet. En dat wil je niet hebben!

Hoe wordt je als organisatie volledig compliant aan de AVG?

Om je op weg te helpen, hebben wij een checklist opgesteld.
 

De AVG-checklist:
 

Word bewust van de nieuwe regels

Om precies te weten waar jouw organisatie op moet letten of wat er eventueel in de bedrijfsvoering aangepast moet worden, is het zaak om de nieuwe regels te kennen. Dat geldt vooral voor relevante mensen zoals beleidsmakers, maar ook voor online marketeers is het belangrijk om op de hoogte te zijn! Wat er precies verandert, kun je lezen in dit overzicht.
 


Evalueer de manier waarop je toestemming vraagt, krijgt en registreert

De AVG beschermt burgers tegen ongevraagde reclame-uitingen en spam. Dat heeft als gevolg dat je als organisatie aan strengere regels moet houden als het gaat om e-mailmarketing. Als aanvulling op de AVG komt er een nieuwe Telecommunicatiewet, de ePrivacy Verordening. Het is nog niet duidelijk of deze wet op tijd goedgekeurd wordt en ook op 25 mei 2018 in werking zal treden. De ePrivacy Verordening stelt regels over het gebruik van digitale communicatie, denk aan de inzet van cookies, e-mailmarketing en telemarketing. De AVG richt zich eerder op welke informatie je mag verzamelen en op welke manier. Het draait allemaal om toestemming: hoe je het vraagt, krijgt en registreert.


Toestemming: wees specifiek én zorg voor bewijs
Als je toestemming vraagt om de gegevens van een bezoeker te gebruiken, dan moet je duidelijk zijn om welke gegevens het precies gaat en waar je de gegevens precies voor gaat gebruiken. Het valt onder de verantwoordingsplicht om die toestemming aan de Autoriteit Persoonsgegevens te kunnen laten zien. Zorg daarom dat je duidelijk het proces documenteert hoe je om toestemming vraagt, hoe je deze ontvangt en welke informatie de betrokkenen ontvangen als zij toestemming hebben gegeven.


Wat mag wel en wat niet?
Als iemand toestemming heeft gegeven voor het ontvangen van een bepaalde mailing noemen we dit een opt-in. Je mag dus niet zomaar iemand aan je mailinglijst toevoegen of onder een formulier het vinkje voor het inschrijven voor je nieuwsbrief automatisch aanzetten. Iemand moet zich actief inschrijven voor jouw nieuwsbrief. Pas dán heb je toestemming om diegene mee te nemen in je nieuwsbrief-mailing. En daarbij geldt: alléén voor je nieuwsbrief-mailings en geen andere type mailings. Dan heb je weer een nieuwe opt-in nodig. Heb je bij het downloaden van een whitepaper een mailflow gekoppeld en zet je ook telemarketing in? Dan moet je dit aangeven bij het vragen van de persoonsgegevens. Anderzijds moet je ook zorgen voor een duidelijke afmeldlink, de opt-out. Zorg ervoor dat je diegene dan ook alleen afmeld voor die bepaalde mailing!

 

Bewaak de privacyrechten van betrokkenen

Online gebruikers krijgen meer privacyrechten. Als organisatie moet je je bezoekers wijzen op hun rechten en deze bewaken. Bezoekers hebben bijvoorbeeld het recht om hun verzamelde gegevens in te mogen zien of  aan te passen. Een nieuw privacyrecht is het recht op vergetelheid. Dat betekent dat een betrokkene het recht heeft om in sommige gevallen aan de organisatie te vragen alle persoonsgegevens te verwijderen. Ook het recht op dataportabiliteit is nieuw, waarbij iemand zijn of haar gegevens onder bepaalde omstandigheden mag opvragen bij de organisatie.

 

Breng je gegevensverwerkingen in kaart

Als jouw organisatie meer dan 250 medewerkers heeft ben je verplicht een register van verwerkingsactiviteiten op te stellen. Bedrijven met minder dan 250 medewerkers hebben deze verplichting alleen als ze persoonsgegevens verwerken die een risico vormen voor de rechten en vrijheden van de betrokkenen, als ze niet incidenteel zijn of bijzondere persoonsgegevens zoals gezondheid, ras, maar ook je BSN.

Alle persoonsgegevens die je als organisatie verzamelt en verwerkt dien je dan te documenteren.

Wat moet je precies documenteren?
  • waar de gegevens vandaan komen
  • voor welk doel je de gegevens gebruikt
  • met wie je de gegevens deelt
 

Voer een DPIA uit

Ook dit punt geldt niet voor elke organisatie. Heb je een organisatie waarbij je gegevens verwerkt met een hoog privacyrisico, dan moet je een DPIA uitvoeren. Denk hierbij aan profiling of cameratoezicht op publieke gebieden. Een DPIA is een instrument om deze privacyrisico’s in kaart te brengen en waar nodig kun je maatregelen nemen om deze risico’s te verkleinen.

Even checken of jij een DPIA moet uitvoeren? Bekijk deze criteria!
 

Leef de privacy by default na

Je mag alleen persoonsgegevens verwerken die je nodig hebt om jouw specifieke doel te bereiken. De standaardinstellingen moeten dus zo privacy-vriendelijk mogelijk zijn. Om dit standaard in je bedrijfsvoering in te richten kun je organisatorische en technische maatregelen nemen. Dit wordt ‘privacy by default’ genoemd.

Waar kun je zoal aan denken?
  • Het vakje ‘ik wil de nieuwsbrief ontvangen’ niet automatisch aanvinken
  • Niet meer gegevens vragen dan nodig
  • Laat een app bij het installeren niet zomaar alle adresgegevens zoals locatie kopiëren als je deze niet nodig hebt
 

Stel een functionaris voor de gegevensbescherming aan

Bepaalde organisaties zijn verplicht een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Dat is iemand die alles weet over privacywetgeving en de praktijk van gegevensbescherming. Diegene houdt binnen de organisatie toezicht op het naleven van de AVG.

Welke organisaties moeten een FG aanstellen?
  • Overheidsinstanties
  • Publieke organisaties
  • Organisaties die als kernactiviteit het verwerken van bijzondere persoonsgegevens (gezondheid, ras, politieke voorkeur) op grote schaal hebben. Wat als ‘grootschalig’ wordt gezien is niet gedefinieerd in de AVG. Wel worden er voorbeelden genoemd als ziekenhuizen en banken die bijzondere gegevens van patiënten en klanten verwerken. Een individuele arts wordt daarentegen niet gezien als ‘grootschalig’.
 

Documenteer datalekken

Datalekken (ook uit het verleden) moeten gemeld worden bij het meldloket datalekken. We spreken van een datalek als er persoonsgegevens in handen komen van derden die geen toegang zouden mogen hebben tot deze gegevens. Dat kan bijvoorbeeld gebeuren als er een beveiligingsprobleem is ontstaan, zoals uitgelekte computerbestanden of een e-mail met persoonsgegevens die naar een verkeerd e-mailadres is verzonden, maar ook diefstal van een laptop valt daaronder. Niet élk datalek hoeft gemeld te worden. Het datalek hoeft alleen gemeld te worden als de persoonsgegevens aanzienlijke nadelige gevolgen kan hebben voor de bescherming van persoonsgegevens, bijvoorbeeld als het gaat om gezondheid, strafrechtelijke gegevens, betalingsgegevens, gebruikersnamen en wachtwoorden.

 

Controleer de bewerkersovereenkomst

Sommige organisaties besteden de gegevensverwerking uit aan derden, bijvoorbeeld een persoon of een andere organisatie. Dit wordt een ‘bewerker’ genoemd en in de nieuwe AVG wordt dit een ‘verwerker’ genoemd (huh? ja, verwarrend). Heb je een overeenkomst lopen met een bewerker, controleer dan of het aan alle eisen van de AVG voldoet. Dat kan bijvoorbeeld het salaris-administratiebureau zijn dat de persoonsgegevens van je medewerkers verwerkt.

 

Wijs één leidende toezichthouder aan

Heb je een internationale organisatie? Of verwerkt jouw organisatie gegevens in verschillende lidstaten van de EU? Dan hoef je niet meer in elke lidstaat een aparte privacytoezichthouder te hebben, maar wijs je er één aan. Dit is de leidende toezichthouder en dat is automatisch de toezichthouder op de hoofdvestiging van de organisatie.

Wil je meer weten over de AVG? Bekijk hier de herhaling van ons webinar met AVG-expert Patrick Jordens! 
 

Maandelijkse inspiratie rechtstreeks in je inbox!

We houden je graag op de hoogte met interessante artikelen boordevol tips en tricks om online te excelleren!
x