Alles wat je moet weten over de AVG / GDPR

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (internationaal bekend als General Data Protection Regulation, ofwel GDPR) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Wellicht heb jij vragen over wat de AVG is en wat het voor jou concreet betekent. Wij hebben daarom een lijst van veel gestelde vragen samengesteld, zodat je weet wat de gevolgen zijn voor je e-mailmarketingactiviteiten.

Wat moet je doen?

Wat betreft de dienstverlening van MassInfra: hier hoef je niets voor te doen. Wij zorgen ervoor dat het marketingplatform wordt aangepast om aan de voorwaarden voor de AVG te voldoen, voor de deadline van 25 mei 2018.

Wij raden je echter wel aan om professioneel juridisch advies in te winnen over hoe de AVG de activiteiten van jouw bedrijf in het algemeen kan beïnvloeden. Zoals je hieronder zult lezen, zijn er niet veel bedrijven die niet beïnvloed worden door deze nieuwe regelgeving.

Op wie is de AVG van toepassing?

Iedereen. Dit is geen regeling die alleen geldt voor organisaties in de EU, zoals in het verleden. De AVG geldt voor bedrijven, non-profitorganisaties, em overheidsinstanties. Voor organisaties in de EU, organisaties die goederen en diensten aanbieden in de EU en elke organisatie die gegevens verzamelt over inwoners van de EU. Iedereen.

Wanneer moet ik voldoen aan de regels?

Vanaf 25 mei 2018.
Wat gebeurt er als ik niet voldoe aan de regels?
Er zijn sancties en boetes voor het niet naleven van de gestelde regels. Het is niet iets waar je bang voor moet zijn of je zorgen over hoeft te maken. Elk bedrijf bevindt zich in dezelfde positie als jij en, aangezien de deadline nadert, hoor je steeds meer over de veranderingen die je moet doorvoeren. Het is onwaarschijnlijk dat het koud op je dak komt.

Dat gezegd hebbende: de boetes zijn ernstig (maximaal 4% van de omzet of 20 miljoen euro), dus het is zeker iets wat je serieus moet nemen.

Op welke persoonsgegevens heeft de AVG betrekking?

De AVG breidt de reikwijdte uit van wat wordt beschouwd als “persoonsgegevens”. Gegevens die eerder niet onder de privacyregels vielen, zijn nu wel opgenomen. Dit betekent dat je niet alleen kunt volstaan met het doorlopen van jouw bestaande privacybeleid, je zult wijzigingen moeten aanbrengen in het verzamelen van persoonsgegevens.

De AVG beschouwt alle gegevens die kunnen worden gebruikt om een individu te identificeren als persoonlijke gegevens. Naast de informatie die je zou verwachten, zoals telefoonnummers, e-mailadressen, postcode, aankoopgeschiedenis enz, is de definitie van persoonsgegevens uitgebreid met:

Genetische gegevens
Gegevens die worden verkregen vanuit het analyseren van een biologisch monster, zoals genetische markers voor ziekten en aandoeningen.

Geestelijke of lichamelijke gezondheid
Alle gezondheidsdossiers moeten beschermd worden, inclusief bezoek aan de dokter, verzekeringsinformatie, psychologische diagnoses, enz.

Culturele, politieke of religieuze gegevens
Politieke affiliatie, bijvoorbeeld of iemand lid is van een vakbond.

Economische gegevens
Werkstatus, werkgever, positie of vergoeding.

Sociale informatie
Facebook-vrienden, Instagram-volgers, tweets die je leuk vindt, evenementen die je hebt bijgewoond enz.

Zoals je ziet, er zijn maar weinig gegevens die niet beschouwd worden als persoonlijke gegevens en dus niet worden beschermd door de nieuwe regelgeving.

Hoe kan ik toestemming krijgen om persoonsgegevens te verkrijgen, op te slaan en te verwerken?

Bij het verkrijgen van toestemming dient in heldere, eenvoudige taal te worden beschreven hoe de informatie zal worden gebruikt.

Een andere grote verandering is bijvoorbeeld dat het niet automatisch goed is om cookies te gebruiken als iemand niet op de knop ‘Nee, ik ga niet akkoord met het gebruik van cookies’ klikt.

Vanaf 25 mei 2018 moeten organisaties kunnen bewijzen dat bevestigende toestemming is gegeven voor het verzamelen en verwerken van gegevens. Deze toestemming moet specifiek voor die gegevens zijn en het moet duidelijk zijn hoe deze gegevens worden verwerkt. Als de gegevens op meer dan één manier worden verwerkt, moet elk van deze processen afzonderlijk worden vermeld en dient hiervoor afzonderlijk toestemming te worden gegeven. Je kunt geen algemene verklaring hebben die van toepassing is op alle gegevens en alle processen. Vernieuwde toestemming moet worden verkregen wanneer het gebruik van gegevens verandert.

Ook opmerkelijk is dat de AVG-voorschriften van toepassing zijn op gegevens die in het verleden zijn verzameld. Je moet dus vernieuwde, bevestigende toestemming krijgen voor alle persoonsgegevens die je bezit.
Wat is het ‘recht om te vergeten’ te worden?
Gegevens moeten op verzoek van de betrokkene verwijderd worden. Daarnaast kunnen organisaties alleen gegevens opslaan voor de tijdsperiode dat dit absoluut noodzakelijk is en kunnen zij geen gegevens gebruiken voor enig ander doel dan waarvoor toestemming is verkregen.

Welke veranderingen zullen MassInfra/ ActiveCampaign doorvoeren op het platform om aan de eisen te voldoen?

Details over de specifieke veranderingen binnen het platform worden tegen het einde van dit jaar bekendgemaakt. Wij zijn uiterst zorgvuldig, zodat we uiteindelijk doen wat het beste is voor jou, onze gebruiker en jouw klanten.

Een ding staat vast: het MassInfra/ ActiveCampaign-platform zal voor de deadline van 25 mei 2018 volledig voldoen aan de AVG.

Interessante links

Lees meer over de AVG op:

www.autoriteitpersoonsgegevens.nl

Frankwatching
4 stappen om als marketeer de nieuwe privacywet goed na te leven
Privacywet 2018: voorkom een boete & start nu met deze 7 veranderingen