Adjiedj Bakas’ Communicatietrends

Multicopy Communicatietrends

Mag direct marketing nog wel onder de nieuwe AVG?

De Wet bescherming persoonsgegevens wordt per 25 mei 2018 vervangen door de Algemene Verordening Gegevensbescherming (AVG). De AVG is een Europese regelgeving. Voor marketeers en ondernemers is de verantwoordingsplicht een belangrijk onderdeel. Je moet vanaf mei kunnen aantonen dat je bedrijf werkt in overeenstemming met de AVG. Hieronder een overzicht in 9 punten.

AVG-min

Je hebt er misschien al over gehoord. De nieuwe privacywetgeving AVG, de afkorting voor Algemene Verordening Gegevensbescherming, vervangt op 25 mei 2018 de huidige regelgeving. Binnen de EU bestaan nu nog verschillende wetgeving, met de ingang van de AVG is er een en dezelfde privacywet voor de hele Europese Unie.

De Europese wet is een stuk strenger en geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen. De verordening sluit volgens de EU beter aan bij de eisen van de huidige, digitale tijd.

Sneller te maken met privacywet

Wat je ook doet, je hebt nu veel sneller te maken met de privacywet. Er vallen ook niet alleen namen en adressen onder, maar ook gegevens gekoppeld aan IP-adressen en cookies. Ook als je geen flauw idee hebt wie er schuilgaat achter deze laatste gegevens, moet je ze als privacygevoelig behandelen. Overigens worden regels voor marketingkanalen als e-mail, cookies en telemarketing geregeld binnen de aparte E-Privacy Verordening. Deze regels zijn momenteel nog in ontwikkeling en moeten nog door het Europees Parlement worden goedgekeurd.

Al met al betekent de AVG dat je meer actie moet ondernemen. Je moet bijvoorbeeld aan kunnen tonen dat je je aan de wet houdt.

1. Voor digitale marketing gelden strengere regels.

Conventionele direct marketing zoals bellen en post sturen kost voor elk adres of persoon geld en blijft daarom altijd binnen de perken. Digitale direct marketing, dus via e-mail, Whatsapp, Facebook, LinkedIn of sms, is zo goed als gratis per extra persoon of adres. Er staat dus in theorie geen rem op en in de praktijk ook niet bewijst alle spam die in je mailbox belandt.

Daarom zijn er strengere regels voor digitale direct marketing dan voor een kaart of brief. Een envelop met een bobbel mag je in feite aan iedereen sturen, zonder dat die er vooraf toestemming aan heeft gegeven. Bij digitale direct marketing is het precies andersom, daar heb je wel vooraf toestemming voor nodig.

2. Hoe krijg je toestemming voor digitale dm?

In de nieuwe wet gelden strengere regels voor toestemming. Je moet nu kunnen aantonen dat je een geldige toestemming van de mensen in je bestand hebt gekregen. Het moet ook voor personen net zo eenvoudig zijn om hun toestemming in te trekken als om die te geven. Je moet mensen wijzen op hun rechten om bezwaar te maken tegen de ontvangst van jouw direct marketing.

3. Personen in jouw bestand krijgen extra privacyrechten.

Personen krijgen in de nieuwe wet extra privacyrechten, waaronder het recht op inzage en het recht op correctie en verwijdering. En denk ook aan het nieuwe recht op dataportabiliteit. Bij dit recht moet je zorgen dat personen hun gegevens eenvoudig kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Maak dus goed en duidelijk inzichtelijk welke persoonsgegevens je opslaat, met welk doel, waar precies ze worden opgeslagen en ook wie er toegang tot de gegevens hebben. Zorg dat iedereen in jouw bedrijf bekend is met de nieuwe privacyregels.

Grootschalige gegevensverwerkers moeten een specifieke functionaris gegevensbescherming aanstellen. In de AVG staat niet precies wat ‘grootschalig’ inhoudt, maar er staan wel voorbeelden in: een ziekenhuis (patiëntgegevens), een bank (klantgegevens). Verwerking van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) vallen niet onder grootschalige gegevensverwerking.

4. Data protection impact assessment (DPIA) zijn verplicht voor bepaalde ondernemingen.

Als je een grote organisatie bent en de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt) is een Data protection impact assessment – in Nederland ook wel gegevensbeschermingseffectbeoordeling genoemd – verplicht. Je voldoet daarmee aan de verplichting om vooraf de risico’s van gegevensverwerking in kaart te brengen. Je weet dan ook welke maatregelen je kunt nemen om de risico’s te verkleinen.

5. Wat te doen bij datalekken.

Kijk nog eens goed naar de procedures binnen jouw onderneming voor het vastleggen en melden van datalekken. In de nieuwe AVG is de meldplicht uitgebreid met de verplichting om alle datalekken vast te leggen.

6. Zorg voor duidelijke bewerkersovereenkomsten.

Werk je samen met een externe organisatie die persoonsgegevens voor jouw bedrijf verwerkt? Controleer of de bestaande overeenkomsten – bewerkersovereenkomsten – voldoen aan de nieuwe AVG.

7. Heeft de AVG gevolgen voor persoonsgegevens van kinderen?

Je mag als organisatie of bedrijf nog steeds gegevens van kinderen verwerken, bijvoorbeeld via een app, online game of webwinkel of via sociale media. Bij kinderen onder de 16 jaar is wel toestemming van de ouders nodig. Je moet als bedrijf ook controleren of die toestemming daadwerkelijk is gegeven.

8. AVG geldt niet met terugwerkende kracht.

Alles wat je vóór 25 mei 2018 doet valt onder de oude regels. Maar bedenk dat het kan dat je van personen eerder toestemming hebt verkregen. Dan moet je onder de nieuwe wetgeving wel goed controleren of deze toestemming voldoet aan de nieuwe regels. Zo niet, dan mag je de gegevens niet langer verwerken.

9. Alle informatie vind je bij de Autoriteit Persoonsgegevens.

Alle verdere en uitgebreidere, en ook actuele informatie vind je hier