Nogmaals de GDPR

Wat je nog meer weten moet over de General Data Protection Regulation

gdpr | Nogmaals de GDPR

Enige tijd geleden heb ik het één en ander geschreven over de GDPR. Nu de invoering niet lang meer op zich laat wachten, krijg ik steeds meer vragen over het hoe en wat van deze regeling. Voor ik aan de beantwoording van deze vragen wil beginnen even één belangrijk punt. Ik ben geen jurist. Ik kan een aantal punten naar voren brengen, zodat je weet wat de aandachtspunten zijn, maar wil je werkelijk weten, hoe het in detail werkt, kan het verstandig zijn om professioneel juridisch advies in te winnen.

Mag ik Google Analytics nog gebruiken?

De vraag die ik het meest kreeg was ‘mag ik Google Analytics nog gebruiken’? Dat mag. Het enige verschil met voorheen was, dat je in je privacy statement expliciet moet vermelden, dat je dit doet. En dat je Google alleen gebruikt voor algemene statistische gegevens, niet voor het ‘ontdekken’ van persoonlijke informatie over je bezoeker. Tenslotte is het belangrijk, dat je Google, of welke andere partij dan ook, toestemming geeft om de verkregen informatie voor andere doeleinden te gebruiken. Bijvoorbeeld met een frase als “<Bedrijfsnaam> heeft Google geen toestemming gegeven om via <Bedrijfsnaam> verkregen analytische informatie voor enig ander doel te gebruiken.”

Gebruik je andere analytische tools, zoals bijvoorbeeld SlimStat of Matomo (vroeger heette dat Piwik) dan is het belangrijk dat je de software zo instelt, dat er geen IP adressen worden opgeslagen.

Mag ik IP adressen nog opslaan?

Een vraag die bijna volgt uit voorgaande, is of je IP adressen nog op mag slaan. Eigenlijk is dit een ‘non-vraag’, omdat je hier niet eens de keuze over hebt. Jouw webserver slaat namelijk automatisch IP adressen op. En dit is nodig voor beveiliging en eventuele technische fouten te kunnen ontdekken. Je moet alleen -opnieuw weer- vermelden dat je dit doet. Het is belangrijk dat dit in ieder geval terugkomt in je privacy verklaring, want ook wanneer je niets doet met deze gegevens en er zelfs nog nooit naar hebt gekeken: Je slaat ze op.

Wat je niet zomaar mag is deze IP adressen voor analytische doeleinden gebruiken, anders dan beveiligings- en fout analyse. Doe/wil je dit wel, dan moet je bezoeker een mogelijkheid hebben tot een ‘opt out’.

Gegevens inzien, aanpassen of verwijderen

Dit onderdeel is niet leuk, wanneer je een forum hebt. Ik ben benieuwd hoe dit zich in de jurisprudentie gaat ontwikkelen, maar iedereen heeft het recht om persoonsgegevens in te zien, aan te (laten) passen of te (laten) verwijderen. Binnen een forum kan dit behoorlijk wat problemen op gaan leveren. Stel je de volgende situatie is voor.

Ik schrijf in een forum post, dat ik de president van de VS maar een sukkel vind. Iemand reageert daarop met ‘bewijs’ dat de president geen sukkel zou zijn. Hier volgt een hele discussie op. Op een gegeven moment besluit ik mijn recht op het aanpassen van persoonsgegevens te laten gelden en eis ik, dat de beheerder van ‘de president van de VS’, de groentenboer op de hoek maakt.  De discussie slaat ineens nergens meer op.

Of een ‘forum post’ nog tot de categorie ‘persoonsgegevens’ valt, is te bediscussiëren, maar op een aantal juridische fora die ik volg, zijn de juristen het hier zelf over oneens. Ik steek mijn hand dus voorlopig niet in dat wespennest.

Moet ik mijn mailinglist helemaal opnieuw opbouwen?

De GDPR eist dat je kan aantonen hoe iemand op jouw mailinglijst is gekomen. Veel mensen hebben hier niet echt goed bij stil gestaan, maar dat moest je -indien je een webwinkel had- eigenlijk al goed voor elkaar hebben in 2014. Zelf ben ik met het opbouwen van mijn mailinglijst begonnen in 2010. In 2012 ben ik ook vast gaan leggen hoe mensen op de lijst zijn gekomen.

Dus in mijn geval hoef ik uitsluitend de mensen die voor 2012 op de lijst gekomen zijn ‘opnieuw te vragen’. Tenzij ze later opnieuw toestemming hebben gegeven om op de mailinglijst te komen, door één van mijn andere producten te downloaden en daarbij aan te geven, dat ze ook de nieuwsbrief willen ontvangen.

De catch

Er is één kleine catch voor de toekomst: Het is niet meer toegestaan om mensen een product te laten downloaden en ‘daarbij iemand op de lijst te plaatsen’. Je mag dus niet zeggen: ‘Ik heb een gratis e-boek voor jou, daarnaast ontvang je ook mijn nieuwsbrief’. Want in dat geval moet je de ontvanger de mogelijkheid geven het boek wel te ontvangen, maar niet de nieuwsbrief. Wat je wel mag zeggen is ‘Dit e-boek is een geschenk voor nieuwe abonnees op de nieuwsbrief’.

Natuurlijk is dit slecht een spel met woorden. En natuurlijk kan in beide gevallen iemand na het downloaden zich gewoon uitschrijven. Maar wil je met de ‘ouderwetse’ manier van listbuilding door blijven gaan, zal je de wijze waarop je je aanbod formuleert enigszins aan moeten passen.

Verwerkers overeenkomst

Wat wel helemaal nieuw is, is dat je een ‘verwerkers overeenkomst’ en een ‘verwerkings verslag’ voor je data moet hebben. Dat verwerken moet je ruim zien. Ook jouw hosting partij, die bij de gegevens in jouw database kan, moet zich aan de regels houden. Evenals de medewerkers in je bedrijf (als die er zijn) en zelfs -pas op- de monteur van de laptop waar je mogelijk privacy gevoelige gegevens op hebt staan.

Met iedere partij die iets met je gegevens doet, moet je kunnen aantonen, dat die partij op eenzelfde zorgvuldige manier met de gegevens om zal gaan als jij het doet. Dat kan op een aantal manieren:

  • Je slaat de algemene voorwaarden van een dienst op. Google zal bijvoorbeeld nooit met jou een ‘verwerkers overeenkomst’ willen ondertekenen. Maar hun algemene voorwaarden geven duidelijk aan, dat zij zich aan de richtlijnen van de GDPR zullen houden.
  • Je sluit een aparte overeenkomst met mensen die met de persoonlijke gegevens van jouw website aan de slag gaan. In deze overeenkomst moet jij nadrukkelijk benoemen wat de andere partij mag doen met de gegevens. Je moet ook nadrukkelijk aangeven, dat iets anders niet is toegestaan. Maakt een partij bijvoorbeeld regelmatig een back up van je website en heb je in de overeenkomst aangegeven, dat deze partij alleen back ups mag maken, dan moet je op het moment dat diezelfde partij bij de klant data moet komen om een probleem in een plugin op te lossen opnieuw toestemming worden verleend.
    Bovendien is het belangrijk te benoemen hoelang de toestemming wordt verleend. ‘Tot wederopzegging’ is wat dat betreft goed genoeg. Maar dan moet je wel aan kunnen tonen, dat je op het moment dat de diensten niet nodig waren ook inderdaad heb ‘opgezegd’.

En als de algemene voorwaarden niet voldoen?

Er zullen ook diensten op het Internet zijn, waarvan de algemene voorwaarden of gebruiker overeenkomsten niet in overeenstemming zijn met de GDPR. Wanneer bijvoorbeeld een dienst niet aangeeft geen gegevens met derden te delen, dan voldoet deze dienst niet aan de eisen. Dit wil ook zeggen, dat je hier geen zaken meer mee kan doen. Tenzij ze bereid zijn om aanvullend op de algemene voorwaarden een aparte ‘Verwerkers overeenkomst’ met jou aan te willen gaan.

Delen met anderen

Nadat je in een privacystatement expliciet benoemt met welke partijen je gegevens deelt (Google Analytics, misschien je mailinglijst provider, mogelijk ook nog Facebook voor je Facebook pixel/Facebook Ads) geef je ook aan onder welke condities je ook gegevens met anderen zal delen. <Bedrijfsnaam> verstrekt uw persoonsgegevens alléén aan derden indien dit nodig is voor de uitvoering van een overeenkomst met u, of om te voldoen aan een wettelijke verplichting.

Hierbij geef je jezelf onder andere de mogelijkheid om een incassobureau in te schakelen, indien de klant niet zou betalen. Zou je dit niet in de privacygegevens hebben opgenomen, zou je je op heel glad ijs begeven. Bijvoorbeeld wanneer je zonder toestemming van die klant de gegevens door zou spelen aan een incassobureau. Bij een wettelijke verplichting moet je natuurlijk altijd de gegevens doorgeven. Maar ondanks dat dit vanzelfsprekend is, moet je het toch opnemen in je privacy statement.

Nog vragen?

Ik kan mij voorstellen, dat je nog duizenden vragen hebt. Ik ook. Maar waar ik dit artikel mee begon: Ik ben geen jurist. Het enige wat ik kan doen is je doorverwijzen naar een jurist of een juridisch forum waar je terecht kan met dit soort vragen. Ben je lid van een branchevereniging, dan is de mogelijkheid groot dat jouw branchevereniging een speciale ‘helpdesk’ op heeft gezet voor specifiek deze nieuwe regelgeving.

Wees eens aardig en deel dit met je vrienden
Enkele trefwoorden om vergelijkbare posts te vinden:

Word je website de baas. Neem vandaag nog contact op!

Contact Information

WordXPression 
Imkersdreef 525
7328DG Apeldoorn
06-10449807 (van 9:00 tot 17:00 van ma-vr)

KVK : 75580152 

Social media
Stuur een bericht

Flinke kortingen op cursussen van WordXPression.