Hoe je je aan de regels van de AVG (GDPR) houdt

Enkele weken geleden heb je kunnen lezen over de nieuwe Algemene verordening gegevensbescherming (AVG / GDPR) die per 25 mei 2018 van kracht wordt. Hieronder even een heel korte samenvatting (je kunt de volledige tekst van de vorige nieuwsbrief hier teruglezen).

De AVG (ook bekend onder de afkorting GDPR, de General Data Protection Regulation) eist dat het voor jou en de relaties waarvan je gegevens beheert, duidelijk moet zijn hoe je omgaat met deze gegevens: om welke gegevens gaat het, wat wordt ermee gedaan, waarom worden ze bewaard en hóe worden ze bewaard. Daarnaast moet je relaties snel inzicht kunnen geven welke gegevens van hen worden bewaard en moeten die gegevens op verzoek aangepast of verwijderd kunnen worden.

De vorige keer beloofde ik een checklist. Met deze checklist wil ik:

  • hulp bieden om inzichtelijk te maken waar je aan moet voldoen en hoe ver je daarin bent; en
  • hulp bieden om alle acties op een rijtje te zetten die je moet uitvoeren om goed voorbereid te zijn op de AVG

De checklist biedt je hulp om je voor te bereiden maar we zijn geen juristen. Dus twijfel je ergens over, dan raden we je aan om dat met een gespecialiseerde partij te bespreken of te kijken of er antwoord op je vraag is op bijvoorbeeld de website van de autoriteit persoonsgegevens.

De AVG / GDPR geldt voor alle organisaties binnen Europa die gegevens verwerken en overtreding van de regels kan leiden tot boetes. Maar zover hoeft het niet te komen als je goed voorbereid bent!

Stap 1. Analyse

Een eerste goede stap is om voor jezelf een overzicht te maken van alle gegevens die je verzamelt over klanten en prospects.

  • (a) over welke gegevens gaat het precies? Denk aan naam, email, adres, telefoonnummers, vrije velden, etc
  • (b) hoe kom je aan die gegevens? Bijvoorbeeld via formulieren op je website, via netwerk-gesprekken, etc
  • (c) waar zijn deze gegevens nu opgeslagen? Denk aan Autorespond, spreadsheets op je laptop of in de cloud, en vergeet de gegevens in bijv. MS Outlook niet!
  • (d) kun je aantonen hoe je aan die gegevens bent gekomen en of de betreffende relatie daar toestemming voor heeft gegeven?

Vat dit alles bijvoorbeeld samen in een tabel waarbij je voor elk gegevensveld (a) een rij maakt en dan kolommen maakt: ‘herkomst’ (b), ‘opslag’ (c) en ‘toestemming’ (d). Dit overzicht kun je gebruiken in de volgende stappen.

Stap 2. Gebruikersrechten waarborgen

De AVG / GDPR stelt dat jij als beheerder van de gegevens de relatie de mogelijkheid moet geven de gegevens te bekijken, en meer:

  • men moet de verzamelde gegevens over hem/haarzelf kunnen inzien
  • op verzoek moeten aanpassingen kunnen worden gemaakt of gegevens worden verwijderd
  • men moet zich kunnen uitschrijven voor alles waar men zich voor heeft opgegeven
  • het moet duidelijk zijn of er aan automatische profilering wordt gedaan (marketing automation, workflows) en dat moet ‘uitgezet’ kunnen worden
  • op verzoek moeten gegevens kunnen worden overgedragen

Voor zover het gaat om gegevens binnen Autorespond zullen wij volgend jaar de mogelijkheid gaan bieden om relaties zelf deze zaken te laten regelen. Denk aan de self-service link die nu al in emails opgenomen kan worden.

Gaat het om gegevens die jij zelf beheert (in Excel of Microsoft Outlook), kijk dan aan de hand van de lijst uit stap 1 hoe je de bovenstaande vijf zaken kunt aanbieden en wat daar eventueel nog voor moet gebeuren om dat mogelijk (en hanteerbaar) te maken.

Stap 3. Gebruik, grondslag en toestemming

Dit is één van de belangrijkste peilers onder de AVG / GDPR. Het gaat hier om de vraag of voor de aanwezige data toestemming is gegeven en er een duidelijke grondslag is voor het gebruik ervan.

Voor sommige scenario’s is dat duidelijk: neem het scenario dat iemand iets online heeft besteld: die heeft zich geregistreerd en de gegevens worden gebruikt om op de factuur te zetten en eventueel het product op te sturen. Maar (en hier komt scenario 2) wat als er een workflow wordt gestart naar aanleiding van de verkoop met als doel om enkele weken later die persoon te berichten over nieuwe producten? Of als er een lijstmanager is gestart met followup mails over je bedrijf (scenario 3)? Daar heeft de relatie initieel geen expliciete toestemming voor gegeven…

Het is dus belangrijk om voor al je bestaande scenario’s te bekijken of de ingevoerde gegevens alléén voor dat scenario worden gebruikt, of ook voor aanvullende, voor de relatie ‘onzichtbare’ interne scenario’s. Is dat het geval, dan worden dus de gegevens van de relatie gebruikt voor doeleinden waar hij/zij géén expliciete toestemming voor heeft gegeven, en is er ook geen grondslag voor gebruik. Je voldoet op dat moment dan ook formeel niet aan de richtlijnen van de AVG / GDPR.

Dus, hoe krijg ik hier goed inzicht in?

  • (a) maak een lijst van alle voor het publiek zichtbare scenario’s. Denk aan aanmelden voor nieuwsbrief of een ander formulier dat op je website staat. Een ander scenario vormt het bestellen van een product.
  • (b) bepaal per scenario: is er duidelijk en aantoonbaar toestemming gegeven? Bij producten is dat eigenlijk per definitie zo. Bij aanmeldingen op een formulier is dat formeel alleen goed geregeld als de aanmelding via een opt-in procedure is gelopen.
  • (c) bepaal tevens per scenario: zijn er “secundaire” scenario’s gekoppeld waar de relatie niets van weet? Bijvoorbeeld een workflow die wordt gestart na invullen van een formulier, of een lijstmanager die wordt gestart na aankoop van een product. Als dat zo is: is dat secundaire scenario echt noodzakelijk voor het initiële scenario? Als dat niet zo is, is er geen verwerkingsgrondslag en zul je voor dit tweede scenario ook expliciet toestemming moeten vragen aan de relatie op het moment dat hij/zij het formulier invult of het product aanschaft.

Marketing automation is dus niet meer een vanzelfsprekendheid! De kunst is om te zorgen dat je toestemming hebt van de relatie en daarbij volledig open bent over wat je precies doet met de gegevens die hij of zij aan jou toevertrouwt.

Ok, die checklist gaat me behoorlijk wat werk kosten… Gaan jullie mij hierbij nog helpen?

Nou, de inventarisatie zul je toch grotendeels zelf moeten maken maar we gaan bij Autorespond in ieder geval drie nieuwe functies aanbieden volgend jaar:

  1. We gaan een speciaal “ik ga akkoord” veld aanbieden dat je in je formulier kunt zetten. Bij dat veld kun je een tekst opgeven die getoond moet worden. Pas als mensen het vinkje in dat veld hebben aangevinkt, kan het formulier worden verstuurd. En als dat is gebeurd, dan wordt dat vinkje, samen met de omschrijving en het tijdstip en nog wat andere gegevens opgeslagen in jouw administratie zodat je later op elk moment terug kan vinden dat er goedkeuring is gegeven en waarvoor precies.
  2. In je administratie komt hiervoor een apart scherm zodat je van elke relatie de aanwezige goedkeuringen op kan vragen. Ook kun je hier snel uitvinden van welke relaties je geen akkoordverklaring hebt (bijvoorbeeld omdat je die hebt geïmporteerd uit een ander systeem). Voor die relaties kun je dan overwegen om een mailing te sturen waarin ze de mogelijkheid wordt aangeboden om alsnog toestemming te geven.
  3. We gaan de ‘selfservice’ functie, die relaties kunnen aanroepen vanuit een email, uitbreiden zodat alle punten genoemd in stap 2 hierboven, kunnen worden afgehandeld.

We zijn benieuwd naar je reactie en als we op andere manieren hulp kunnen bieden zullen we daar zeker naar kijken!

Begin volgend jaar komen we zeker op dit onderwerp terug want we hebben nog niet alle zaken belicht. We gaan het nog hebben over een standaard bewerkersovereenkomst en de noodzaak om een PIA (Privacy Impact Assessment) op te stellen.

Kortom, we zijn nog niet uitgepraat hierover! In de tussentijd wensen we je een fijne kerst en alvast een gezond en succesvol nieuw jaar!

Pieter Emeis (Autorespond)

© 2017 www.autorespond.nl – deze inhoud mag worden gedeeld maar graag met de link erbij: https://www.e-act.nl/ah/site?a=1&p=194716&h=1194717

gerelateerde artikelen