Gefeliciteerd! Je hebt de eerste weken AVG/GDPR overleefd. Maar hoe nu verder? Kun je nu achterover leunen? Of ben je eigenlijk toch nog niet helemaal AVG compliant? In dat laatste geval: je bent niet de enige. Zo blijkt uit onderzoek van de Consumentenbond dat zo’n 69% van 150 in Nederland populaire websites zich niet houdt aan de regels van de AVG bij het plaatsen van cookies en dus niet AVG compliant zijn.
Eerder schreef ik een blog over wat je als marketeer echt moet weten over de AVG. Ondanks dat de AVG op 25 mei j.l. is ingegaan, heerst er nog steeds veel onduidelijk rondom deze vernieuwde privacywetgeving. Ook gaan er een aantal hardnekkige fabels rond in de markt. Tijd om enkele fabels eens wat verder uit te lichten!
Stelling 1: “De AVG-wetgeving is nieuw en kost daarom veel tijd” – FABEL
Is de AVG nieuw? Niet echt. Veel regels uit de AVG golden namelijk de afgelopen jaren ook al onder de Wet bescherming persoonsgegevens (Wbp). Voor bedrijven die al voldeden aan deze wetgeving, zou de AVG in theorie een kwestie van de puntjes op de i zetten moeten zijn.
Toch zit er wel een grond van waarheid in deze stelling. Het grootste verschil tussen de Wbp en de AVG zit hem namelijk in transparantie. Onder de AVG moet je op ieder moment kunnen laten zien wat je doet met data, accountability wordt dit genoemd binnen de wet. Denk hierbij aan waar je data staat, waarom je het eigenlijk opslaat, hoe lang je het opslaat, maar ook wanneer je voor het laatst een wijziging hebt doorgevoerd. Voor veel bedrijven bleek dit een enorme klus te zijn! Evenals alle contracten en verwerkersovereenkomsten die aangepast of opgesteld moesten worden. Klanten willen zwart op wit dat hun leverancier goed met de data omgaat.
Stelling 2: “De AVG is ALLEEN van toepassing op digitale bestanden.” – FABEL
Hoewel bij de invoering van de AVG de nadruk voornamelijk lag op de omgang en het beveiligen van digitale informatie, geldt de wetgeving net zo goed voor geprinte data en papieren documenten. Als deze verloren gaan of in verkeerde handen terecht komen, is er namelijk ook sprake van een datalek. Ook tellen papieren documenten mee bij een verzoek tot inzage in verwerkte persoonsgegevens.
Voor veel bedrijven gaat belangrijke correspondentie nog via de post en het gebeurt nog regelmatig dat digitale data worden uitgeprint. Ook beschikken veel bedrijven over oude papieren archieven met gegevens die bewaard moeten blijven. Om aan de AVG te voldoen, moet je daarom heldere procedures opstellen hoe dergelijke papieren data moeten worden beheerd en vernietigd. Kortom: de AVG is van toepassing op het verwerken van alle persoonsgegevens, zowel digitaal als print.
Stelling 3: “Koude acquisitie of direct mailing is verboden onder de AVG.” – FABEL
Dit heb je vast en zeker ook voorbij horen komen. Is het waar? Nee, het is niet verboden om koud te acquireren. Lastiger? Ja, dat wel. Algemene nummers en algemene e-mailadressen zijn geen persoonsgegevens. Deze mag je dus nog steeds gewoon gebruiken. Je zou dus om de persoonsgegevens heen kunnen werken. Als je wel de naam hebt van de contactpersoon die je wil bereiken, mag je dus wel het algemene nummer bellen van het bedrijf of van de betreffende afdeling. De persoon die opneemt kan je dan wel doorverbinden. Als het telefoontje wordt aangenomen, mag je vervolgens gewoon je verhaal houden.
Wat betreft persoonsgegevens: dat deze soms, of misschien zelfs vaak, te vinden zijn op LinkedIn of op een website, wil nog niet zeggen dat je ze ook mag gebruiken. Bij cold calling wordt er vaak op zoek gegaan op de website of LinkedIn van een klant om zo naam, functie, telefoonnummer en e-mailadres van een contactpersoon te achterhalen. Het is niet toegestaan om deze informatie in je CRM-systeem op te slaan en daarop acquisitie te plegen. Dat de bron openbaar was, is in deze niet relevant. Er is in dit geval geen gerechtvaardigde grondslag voor acquisitie, zoals toestemming van de contactpersoon of een bestaande relatie.
Stelling 4: “We zijn AVG compliant, dus nu zijn we klaar!” – FABEL
Privacy is niet een punt op de to-do list dat na 25 mei afgevinkt is. Data privacy heeft blijvende aandacht nodig en het naleven van de AVG is een continu proces. Zo moet de documentatie worden bijgehouden, bewaartermijnen gemonitord worden en persoonsgegevens gecorrigeerd en up-to-date worden gehouden.
Bovendien moet bijna iedere vernieuwing of ontwikkeling in de bedrijfsvoering getoetst worden aan de AVG. Denk hierbij bijvoorbeeld aan het uitbrengen van een nieuw product of nieuwe dienst. Onder de AVG wordt dit “privacy by design” genoemd. Dit houdt in dat je als organisatie al tijdens de ontwikkeling van producten of diensten aandacht besteedt aan privacyverhogende maatregelen. Het is daarbij belangrijk om te beoordelen of data wel verwerkt wordt conform de AVG. Denk bijvoorbeeld aan de verwerkingsgrondslag en de naleving van de informatieverplichting ten aanzien van de betrokkenen.
Het is dus belangrijk dat je altijd, zowel intern als extern, op de hoogte bent wie de eigenaar is van de data, wie de data verwerkt en waar deze verwerking en opslag plaatsvindt.
Privacy als onderdeel van de bedrijfscultuur
De complexe regels en verplichtingen van de AVG zorgen bij veel organisaties voor onduidelijkheden. Naast het feit dat de AVG een zeer uitgebreide wet is, wordt ook tegenstrijdige informatie verspreid. Slik dus niet alles wat online staat zo maar voor zoete koek en doe goede research bij vragen en onduidelijkheden!
