Road to the GDPR: de verwerking van gegevens

Geschatte leestijd: 3 minuten (Geen tijd? Stuur dit artikel per e-mail)

Deel dit artikel

#Webpower

Deze blog is onderdeel van onze GDPR-healthcheck “Road to the GDPR”. In deel 3 van de test behandelen we onderwerpen als je Privacybeleid, het opslaan van de aanmelderstekst en het uitvoeren van een mogelijke heractivatiecampagne. Over deze onderwerpen geven wij in deze blog meer informatie. Heb je de test nog niet gedaan? Doe deze dan eerst en lees daarna pas de achtergrondinformatie in deze blog. Dat is wél zo leuk!

Informatieplicht via Privacybeleid

Op plekken waar je gegevens vergaart, krijg je als organisatie te maken met jouw informatieplicht. Deze informatieplicht houdt in dat je betrokkenen (de natuurlijke persoon wiens persoonsgegevens je verwerkt) op een heldere, begrijpelijke, toegankelijke en zichtbare wijze informeert over jouw verwerking van zijn/haar persoonsgegevens. Wat je allemaal aan informatie moet geven om aan je informatieplicht te voldoen, is in de GDPR vastgelegd. Zo moet je de identiteit en contactgegevens kenbaar maken, uitleggen welke persoonsgegevens je verzamelt, wat je ermee doet en voor welk doel je deze verwerkt. Ook moet je aangegeven welke bewaartermijnen je hanteert, hoe je de verzamelde gegevens beveiligt, aan welke derden je de gegevens (mogelijk) verstrekt en hoe betrokkenen hun rechten kunnen uitoefenen.

Makkelijk vindbaar en in heldere taal geschreven

Op je website kun je voldoen aan je informatieplicht door een Privacybeleid te plaatsen waarin je bovengenoemde onderwerpen laat terugkomen. De informatie in je Privacybeleid dient makkelijk vindbaar en via iedere pagina toegankelijk te zijn. Dit kun je doen door een link naar je Privacybeleid op te nemen in je footer. Zoals reeds besproken in deel 1 van onze blogreeks is het voldoen aan je informatieplicht één van de vereisten om te voldoen aan de vereisten voor rechtsgeldige toestemming. Om deze reden zul je in je aanmelderstekst dan ook kort omschrijven wie je bent en waarvoor iemand toestemming geeft (zoals hoe vaak je iemand zult benaderen, waarover, via welk kanaal). Ook verwijs je voor meer informatie altijd naar je Privacybeleid (middels een directe link). Let wel: mensen hoeven niet akkoord te gaan met je Privacybeleid, maar je moet hier wél naar verwijzen als je ergens toestemming voor vraagt.

Let op: aangezien het voor het voldoen aan je informatieplicht vereist is dat je helder en begrijpelijk uitlegt, moet je je Privacybeleid zo schrijven dat deze voor je doelgroep goed te begrijpen is. Houd dan ook rekening met onder andere je taalgebruik.

Ons advies

Op je website staat één Privacybeleid waarin je over al je gegevensverwerkingen informatie geeft. Zo zul je hier meer informatie geven over de commerciële berichten die je mensen toestuurt, maar ook over bijvoorbeeld de gegevens die je verzamelt voor webshopbestellingen of de cookies die je plaatst. Het kan natuurlijk zomaar zijn dat er in al deze verschillende gegevensverwerkingen nog wel eens wat verandert en dat je je Privacybeleid dus aanpast. Geef in je Privacybeleid aan dat dit kan en neem ook een versienummer/datum van laatste wijziging op zodat het voor iedereen duidelijk is wanneer het beleid is gewijzigd. Houd voor jezelf ook bij van wanneer tot wanneer welke versie van je Privacybeleid van kracht was, zodat je op basis van de toestemming voor aanmelding (via je aanmelderstekst) altijd na kunt gaan naar welke inhoudelijke informatie je toen hebt verwezen.

Aanmelderstekst opslaan en bewijslast voeren

Zoals in onze eerste blog al kort besproken, moet je als verantwoordelijke (de partij die het doeleinde en de middelen vaststelt) kunnen bewijzen dat je toestemming hebt gekregen en dus op welke tekst je aanmelders akkoord hebben gegeven. Dit is niet nieuw onder de GDPR, maar wel heel belangrijk of zelfs nóg belangrijker. Ons advies om gemakkelijker aan deze bewijslast te kunnen voldoen, is om gebruik te maken van een double opt-in-proces waarbij je je aanmeldproces laat bestaan uit meerdere stappen. Door stappen als aanmelden – toestemming bevestigen – bevestiging toestemming en e-mailadres op te nemen in je aanmeldproces, weet je zeker dat het e-mailadres dat is ingevuld klopt. Zo kun je ook makkelijk bewijzen dat je rechtsgeldige toestemming hebt verkregen. Deze wijze voor het voeren van je bewijslast is niet verplicht, maar het maakt jouw werk als marketeer wel makkelijker.

Voor bewijslast moet je in ieder geval de volgende gegevens kunnen aantonen:

  • Dat de persoon toestemming heeft gegeven
  • Wanneer toestemming is gegeven
  • Aan wie toestemming is gegeven (organisatie of bedrijf)
  • Waarvoor toestemming is gegeven
  • De manier waarop toestemming is gegeven (vinkje, tekst)

Je aanmelderstekst GDPR-proof opslaan zodat je makkelijk aan je bewijslast voldoet? Dat doe je middels onze GDPR Version Manager.

Heractivatiecampagne

Kun je geen bewijslast voeren m.b.t. de toestemming waarop je de gegevens uit je huidige database hebt verkregen? Denk dan eens na over een heractivatiecampagne, waarmee je mensen uit je huidige database opnieuw en GDPR-proof activeert. Het is een mythe dat oude opt-ins niet meer geldig zijn, maar je moet wél kunnen aantonen dat je deze toestemming daadwerkelijk hebt verkregen en dat de toestemming voldoet aan de vereisten die aan rechtsgeldige toestemming onder de GDPR worden gesteld. Als je toestemming hebt gekregen die ook voldoet aan de strengere eisen van de GDPR (en je kunt bewijzen dat je deze toestemming hebt gekregen), hoef je niet opnieuw toestemming te vragen. Ga dus na in hoeverre je organisatie op basis van toestemming persoonsgegevens verwerkt en kijk of je kunt bewijzen dat je deze toestemming hebt verkregen én of je toestemmingsvraag voldoet aan de GDPR. Als je dat niet het geval is (of je kunt dit niet bewijzen), moet je zorgen dat je alsnog rechtsgeldige toestemming verkrijgt middels bijvoorbeeld een heractivatiecampagne. Anders verwerk je namelijk persoonsgegevens zonder dat je hiervoor een grondslag hebt (en dus handel je in strijd met de GDPR),

Een heractivatiecampagne starten om aan je bewijslast en/of de vereisten van rechtsgeldige toestemming m.b.t. je huidige database te voldoen? Dat doe je met onze GDPR Easy Consent Manager.

Nog meer vragen over de GDPR?

We kunnen ons voorstellen dat je nog meer vragen hebt over de GDPR. Kom naar onze ontbijtsessie op kantoor, waarin we je alles vertellen over bijvoorbeeld de nieuwe rechten van de betrokkene en de overige elementen van de GDPR. Denk aan de (mogelijke) verplichting tot het aanstellen van een Data Protection Officer (DPO), een Privacy Impact Assessment (PIA), de verwerkersovereenkomst, bewaartermijnen etc. Begrippen waar je vast al wel eens over gelezen hebt, maar die nog niet zo concreet zijn geworden. We zien je graag! 

Meld je aan voor de ontbijtsessie

Deel dit artikel

6 december 2017

Categorieën

E-mailmarketing, Marketing automation