Alles over de GDPR: de verwerking van gegevens

Geschatte leestijd: 3 minuten (Geen tijd? Stuur dit artikel per e-mail)
6 december 2017


Dit blog is onderdeel van onze GDPR-serie “Alles over de GDPR”. In dit blog-item behandelen we onderwerpen als het Privacybeleid, het opslaan van je aanmelderstekst en het uitvoeren van een mogelijke heractivatiecampagne.

Informatieplicht via Privacybeleid

Op plekken waar je gegevens vergaart, krijg je als organisatie te maken met jouw informatieplicht. Deze informatieplicht houdt in dat je betrokkenen (de natuurlijke persoon wiens persoonsgegevens je verwerkt) op een heldere, begrijpelijke, toegankelijke en zichtbare wijze informeert over jouw verwerking van zijn/haar persoonsgegevens.

Wat je allemaal aan informatie moet geven om aan je informatieplicht te voldoen, is in de GDPR vastgelegd. Zo moet je de identiteit en contactgegevens kenbaar maken, uitleggen welke persoonsgegevens je verzamelt, wat je ermee doet en voor welk doel je deze verwerkt. Ook moet je aangegeven welke bewaartermijnen je hanteert, hoe je de verzamelde gegevens beveiligt, aan welke derden je de gegevens (mogelijk) verstrekt en hoe betrokkenen hun rechten kunnen uitoefenen.

Makkelijk vindbaar en in heldere taal geschreven

Op je website kun je voldoen aan je informatieplicht door een Privacybeleid te plaatsen waarin je bovengenoemde onderwerpen laat terugkomen. De informatie in je Privacybeleid dient makkelijk vindbaar en via iedere pagina toegankelijk te zijn. Dit kun je doen door een link naar je Privacybeleid op te nemen in je footer. Zoals reeds besproken in deel 1 van onze blogreeks is het voldoen aan je informatieplicht één van de vereisten om te voldoen aan de vereisten voor rechtsgeldige toestemming.

Om deze reden zul je in je aanmelderstekst dan ook kort omschrijven wie je bent en waarvoor iemand toestemming geeft (zoals hoe vaak je iemand zult benaderen, waarover, via welk kanaal). Ook verwijs je voor meer informatie altijd naar je Privacybeleid (middels een directe link). Let wel: mensen hoeven niet akkoord te gaan met je Privacybeleid, maar je moet hier wél naar verwijzen als je ergens toestemming voor vraagt.

Let op: aangezien het voor het voldoen aan je informatieplicht vereist is dat je helder en begrijpelijk uitlegt, moet je je Privacybeleid zo schrijven dat deze voor je doelgroep goed te begrijpen is. Houd dan ook rekening met onder andere je taalgebruik.

Ons advies

Op je website staat één Privacybeleid waarin je over al je gegevensverwerkingen informatie geeft. Zo zul je hier meer informatie geven over de commerciële berichten die je mensen toestuurt, maar ook over bijvoorbeeld de gegevens die je verzamelt voor webshopbestellingen of de cookies die je plaatst. Het kan natuurlijk zomaar zijn dat er in al deze verschillende gegevensverwerkingen nog wel eens wat verandert en dat je je Privacybeleid dus aanpast.

Geef in je Privacybeleid aan dat dit kan en neem ook een versienummer/datum van laatste wijziging op zodat het voor iedereen duidelijk is wanneer het beleid is gewijzigd. Houd voor jezelf ook bij van wanneer tot wanneer welke versie van je Privacybeleid van kracht was, zodat je op basis van de toestemming voor aanmelding (via je aanmelderstekst) altijd na kunt gaan naar welke inhoudelijke informatie je toen hebt verwezen.

Aanmelderstekst opslaan en bewijslast voeren

Zoals in onze eerste blog al kort besproken, moet je als verantwoordelijke (de partij die het doeleinde en de middelen vaststelt) kunnen bewijzen dat je toestemming hebt gekregen en dus op welke tekst je aanmelders akkoord hebben gegeven. Dit is niet nieuw onder de GDPR, maar wel heel belangrijk of zelfs nóg belangrijker.

Ons advies om gemakkelijker aan deze bewijslast te kunnen voldoen, is om gebruik te maken van een double opt-in-proces waarbij je je aanmeldproces laat bestaan uit meerdere stappen. Door stappen als aanmelden – toestemming bevestigen – bevestiging toestemming en e-mailadres op te nemen in je aanmeldproces, weet je zeker dat het e-mailadres dat is ingevuld klopt. Zo kun je ook makkelijk bewijzen dat je rechtsgeldige toestemming hebt verkregen. Deze wijze voor het voeren van je bewijslast is niet verplicht, maar het maakt jouw werk als marketeer wel makkelijker.

Voor bewijslast moet je in ieder geval de volgende gegevens kunnen aantonen:

  • Dat de persoon toestemming heeft gegeven
  • Wanneer toestemming is gegeven
  • Aan wie toestemming is gegeven (organisatie of bedrijf)
  • Waarvoor toestemming is gegeven
  • De manier waarop toestemming is gegeven (vinkje, tekst)

Je aanmelderstekst GDPR-proof opslaan zodat je makkelijk aan je bewijslast voldoet? Dat doe je middels onze GDPR Version Manager.

Heractivatiecampagne

Kun je geen bewijslast voeren m.b.t. de toestemming waarop je de gegevens uit je huidige database hebt verkregen? Denk dan eens na over een heractivatiecampagne, waarmee je mensen uit je huidige database opnieuw en GDPR-proof activeert. Het is een mythe dat oude opt-ins niet meer geldig zijn, maar je moet wél kunnen aantonen dat je deze toestemming daadwerkelijk hebt verkregen en dat de toestemming voldoet aan de vereisten die aan rechtsgeldige toestemming onder de GDPR worden gesteld.

Als je toestemming hebt gekregen die ook voldoet aan de strengere eisen van de GDPR (en je kunt bewijzen dat je deze toestemming hebt gekregen), hoef je niet opnieuw toestemming te vragen. Ga dus na in hoeverre je organisatie op basis van toestemming persoonsgegevens verwerkt en kijk of je kunt bewijzen dat je deze toestemming hebt verkregen én of je toestemmingsvraag voldoet aan de GDPR. Als je dat niet het geval is (of je kunt dit niet bewijzen), moet je zorgen dat je alsnog rechtsgeldige toestemming verkrijgt middels bijvoorbeeld een heractivatiecampagne. Anders verwerk je namelijk persoonsgegevens zonder dat je hiervoor een grondslag hebt (en dus handel je in strijd met de GDPR),

Een heractivatiecampagne starten om aan je bewijslast en/of de vereisten van rechtsgeldige toestemming m.b.t. je huidige database te voldoen? Dat doe je met onze GDPR Easy Consent Manager.

Nog meer vragen over de GDPR?

Wil je weten welke software-oplossingen Webpower heeft om jouw e-mailmarketing volledig GDPR-proof in te richten of heb je nog GDPR-vragen? Stel ze gerust – we helpen je graag!

Neem contact op  Lees meer over onze software

Wij hechten waarde aan een correcte omgang met de nieuwe privacywetgeving. De inhoud van dit blog is daarom geverifieerd door ICTRecht. We voorzien je van deze informatie, zodat je beter begrijpt wat de GDPR voor marketeers kan betekenen. Dit blogartikel is bedoeld voor kennisdeling en kan niet beschouwd worden als officieel juridisch advies. Bij het lezen van dit artikel vrijwaar je Webpower, ICTRecht en de auteur voor mogelijke juridische implicaties. Wij adviseren je GDPR-gerelateerde acties binnen jouw organisatie voor implementatie altijd te laten checken door een juridisch adviseur.

Deel dit artikel