17 april 2018

Marketing & GDPR

 

Vorige week zorgde Beyond Law Firm in MIA.H voor duidelijkheid omtrent de GDPR en de gevolgen hiervan voor de marketingactiviteiten van een onderneming. We zetten nog een keer alles op een rijtje.

 

Wat is GDPR?

De AVG (Algemene Verordening Gegevensbescherming) of GDPR (General Data Protection Regulation) is een nieuwe, Europese privacy-regelgeving die organisaties ertoe verplicht om te kunnen aantonen welke persoonsgegevens verzameld, gebruikt en beveiligd worden.

 

Op welke gegevens is de GDPR van toepassing?

De nieuwe regelgeving is van toepassing op de verzameling van persoonsgegevens. Hiermee wordt alle informatie bedoeld waarmee iemand geïdentificeerd kan worden. Enkele voorbeelden hiervan zijn logischerwijs naam, adres, woonplaats, geboortedatum, telefoonnummer, e-mailadres; maar ook: ip-adres, locatiegegevens, online identificatiegegevens, financiële gegevens, enz.

Een ondernemingsnummer of een e-mailadres in de vorm van info@onderneming.com valt niet onder deze wetgeving omdat die gegevens betrekking hebben op een rechtspersoon.

 

Wat betekent de GDPR precies voor mijn bedrijf?

Als organisatie moet u vanaf 25 mei 2018 kunnen aantonen welke persoonsgegevens u verzamelt, hoe u die gebruikt en beveiligt.

 

Belangrijk voor de verzameling van gegevens is dat die verzameling gebeurd conform de wetgeving, d.w.z.:

  • Noodzakelijk voor de uitvoering van een overeenkomst
    (voorbeeld: gegevens voor levering in het geval van een online bestelling)
  • Voldoen aan een wettelijke verplichting
    (voorbeeld: loonaangifte door werkgever)
  • Noodzakelijk voor een taak van algemeen / openbaar gezag
    (voorbeeld: gemeente zet cameratoezicht in op openbare plaatsen voor openbare veiligheid)
  • Bescherming van vitaal belang
    (voorbeeld: onmiddellijke medische hulp)
  • Gerechtvaardigd belang
    (voorbeeld: ter voorkoming van fraude)
  • Op basis van toestemming
    (voorbeeld: versturen nieuwsbrief)

 

Toestemming speelt hier een grote rol. Men moet zijn specifieke toestemming geven, uitdrukkelijk en ondubbelzinnig, vrij en tegelijkertijd goed geïnformeerd zijn over wat er met die gegevens gebeurt. Die informatie wordt gegeven in de Privacy Policy. Hierin moet u als bedrijf uitleggen welke gegevens u verzamelt, hoe en waarom u dat doet en hoe die beveiligd worden.

 

Indien er in het kader van een verkoop van een product of dienst elektronische contactgegevens werden ontvangen, dan is het toegestaan om die gegevens te gebruiken met het oog op direct marketing voor gelijkaardige producten en diensten.

 

Wat niet meer mag:

  • Vooraf aangekruiste vakjes
  • Algemene toestemming
  • Stilzwijgende toestemming
  • Impliciete toestemming

 

Per doeleinde moet er vanaf nu toestemming gevraagd worden. Wat ook geldig is, is een verklaring of een gedrag waaruit begrip en aanvaarding blijkt.

 

De verzameling van persoonsgegevens moet ook voldoen aan een aantal kwalitatieve vereisten, namelijk:

  • Rechtmatig, behoorlijk en transparant
  • Doelbinding
  • Minimale gegevensverwerking
  • Juistheid
  • Opslagbeperking
  • Integriteit en vertrouwelijk
  • Verantwoordingsplicht

 

De natuurlijke persoon bezit ook enkele rechten die hij kan uitoefenen t.o.v. de onderneming. Die rechten zijn:

  • Recht van informatie
  • Recht op inzage
  • Recht op rectificatie
  • Recht op gegevenswissing
  • Recht op beperking van de verwerking
  • Recht op overdraagbaarheid van gegevens
  • Recht van bezwaar

 

Wat als ik gegevens niet zelf verwerk?

Als u als onderneming beroep doet op een webdesigner of gebruik maakt van bv. Mailchimp bent u als bedrijf verwerkingsverantwoordelijke en de webdesigner of Mailchimp verwerker.

 

Als verwerkingsverantwoordelijke moet u het doel van en de middelen voor de verwerking vaststellen. De verantwoordelijke zal procedures opleggen aan verwerkers om conform de wetgeving te handelen.

 

Ook in dit geval gelden dezelfde verplichtingen:

  • Aanwijzen van een functionaris voor gegevensbescherming (DPO)
  • Register van de verwerkingsactiviteiten
    • Voor verwerkingsverantwoordelijke en verwerker
    • Schriftelijk
    • Niet openbaar
  • Medewerking met de toezichthoudende autoriteit
  • Beveiliging van de verwerking
    • Passende technische en organisatorische maatregelen om gepast beveiligingsniveau te waarborgen
  • Privacy by design / by default
    • Privacy by design: bij ontwikkeling van systemen de privacy en bescherming van persoonsgegevens inbouwen
    • Privacy by default: privacy setting standaard op actief
  • Gegevensbeschermingseffectbeoordeling (DPIA)
    • Risicoanalyse
  • Doorgifte gegevens
    • Toegestaan i.g.v. adequaatbeslissing van de Europese Commissie en / of passende waarborgen en / of specifieke afwijkingen
  • Geschikte verwerker
  • Mededeling datalek

 

Wat moet ik specifiek doen?

Start met het bijhouden van een register van uw verwerkingsactiviteiten.

 

Toestemming:

  • Duidelijke en bevestigende handeling
  • Afzonderlijke toestemming per verwerkingsdoeleinde
    ˜ Ik ga akkoord met de privacy policy en deelnamevoorwaarden.
    ˜ Ik meld me aan voor het laatste nieuws.
  • Transparantie: informatie m.b.t. de manier waarop de gegevens worden verwerkt (doeleinden, middelen,…) dient te worden meegedeeld op een duidelijke, begrijpelijke en toegankelijke manier
  • Bewijs van toestemming bijhouden: wie heeft toestemming gegeven, wanneer, welke informatie werd meegedeeld bij het vragen van toestemming, hoe werd toestemming gegeven
  • Een lijst bijhouden van personen die toestemming hebben ingetrokken

 

Gerechtvaardigd belang:

  • Gerechtvaardigd belang identificeren
  • Belangenafweging doorvoeren
  • Betrokkene informeren m.b.t. gerechtvaardigd belang + zijn / haar rechten
  • Grondslag voorzichtig gebruiken

 

Privacy policy:

  • Beknopt, eenvoudig
  • Toegankelijk en begrijpelijk
  • Duidelijke en eenvoudige taal

 

Recht van verzet:

  • Informeren
  • Opt-out voorzien in iedere direct marketing actie
    Indien u onze e-mails niet meer wenst te ontvangen, klik hier.
  • Geef spoedig gevolg aan opt-out
  • Procedure opzetten om opt-out te beheren
  • Lijst bijhouden van personen die opt-out hebben uitgeoefend
  • Zich verzetten moet even gemakkelijk zijn als toestemming geven