1. Wie is de AP? 2. Hoe hoog zijn de boetes? 3. Gaan die boetes echt uitgedeeld worden?

Transcriptie

1 0

2 1. Wie is de AP? De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving. Het is het voormalige College Bescherming Persoonsgegevens (Cbp) en en een toezichthouder net als bijvoorbeeld ACM Autoriteit Consument en Markt 2. Hoe hoog zijn de boetes? Zwaar - het betreft een boete van 20 miljoen euro of 4 procent van de omzet. Voor het overtreden van de basisbeginselen van de AVG zoals de voorwaarden voor het vragen van toestemming. Voor het overtreden van de verplichtingen met betrekking tot de rechten van de individuen, zoals het recht op dataportabiliteit of recht van verzet. Minder zwaar - boete van 10 miljoen euro of 2 procent van de omzet Voor het niet (of te weinig) implementeren van maatregelen in verband met privacy by design of privacy by default. Voor het inschakelen van een verwerker zonder de wettelijke verplichtingen voor een verwerkersovereenkomst. 3. Gaan die boetes echt uitgedeeld worden? Er zijn vooralsnog geen geluiden dat ze coulant omgaan met deze regeling. De verwachting is dus dat deze boetes ook echt uitgedeeld gaan worden. Er is niet te zeggen welke bedrijven het meeste risico lopen. De AP is verplicht om klachten van individuen in behandeling te nemen en zal dus meer gaan opereren op basis van die klachten van consumenten 1

3 4. Wat zijn persoonsgegevens? De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn. Er zijn 3 soorten persoonsgegevens: 1) Persoonsgegevens zoals NAW-gegevens, locatie en IP-adres. Voor bijzondere persoonsgegevens zoals BSN-nummer, religie, medische gegevens, ethische etc. is er een aparte regelgeving. 2) Pseudo-anonieme data; persoonsgegevens die dusdanig verwerkt worden dat ze niet langer herleid kunnen worden zonder gebruik van aanvullende informatie, maar die wel een persoon individueel maken, zoals een versleuteld adres of gebruikers-id. 3) Anonieme data; data die niet herleidbaar is naar een individu. 5. Wat wordt precies verstaan onder het verwerken van persoonsgegevens? Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Dit is dus een zeer ruim begrip. Handelingen die er volgens de Wet bescherming persoonsgegevens (Wbp) in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. Als je gegevens gebruikt om te analyseren, dan is dat dus ook verwerken. Bij digitale marketing ben je dus al heel snel aan het verwerken. 2

4 6. Vallen b2b-gegevens ook onder de AVG? Ja. Een werkmailadres kan een persoonsgegeven zijn. Het risico op klachten is minder groot, omdat het minder invloed heeft op iemands persoonlijke leven dan een privé 06- nummer. De wetgeving blijft van toepassing. 7. Wanneer mag je persoonlijke data gebruiken, oftewel persoonsgegevens verwerken? Op basis van 6 grondslagen; 1) Toestemming van de gebruiker 2) Vitale belangen 3) Wettelijke verplichting 4) Overeenkomst 5) Algemeen belang 6) Gerechtvaardigd belang Voorbeeld; wanneer iemand toestemming heeft gegeven voor tracking cookies, mag je deze gegevens verwerken voor dit doel. Als je een overeenkomst sluit met een klant waarin wordt benoemd dat er persoonsgegevens verwerkt worden, mag je dat doen. Let wel op dat er geen misbruik van gemaakt wordt. Voor iedere afzonderlijk doel moet er toestemming gegeven worden. Je mag dus niet alles over 1 kam scheren. Je moet wel aangeven welke data er wordt verwerkt en met welk doel. 8. Toestemming vragen om gegevens te verwerken moet nu ook al. Wat is het verschil? Je moet duidelijk aan kunnen geven waar je welke gegevens voor gebruikt met het bijbehorende doel. Nu wordt vaak alles over 1 kam geschoren. Maar nu moet je dus afzonderlijk voor ieder doel toestemming gaan vragen. Die toestemming moet ook net zo makkelijk ingetrokken kunnen worden. Voorbeeld; nu wordt er vaak in de cookiebar aangegeven: 3

5 9. Waar moet ik gebruikers over informeren als ik data verzamel? Je bent verplicht je klanten te informeren over de verwerking van hun persoonsgegevens. Je moet aangeven wat de doeleinden zijn waarvoor je de gegevens verwerkt, welke rechten de mensen hebben en hoe ze daar gebruik van kunnen maken. Dit kun je natuurlijk doen in een privacy statement maar ook door extra informatie te tonen bij het invullen van een formulier. 10. Wat moet ik veranderen in mijn privacystatement? In je privacy statement moet het volgende staan: 1) Identiteit: de bedrijfsnaam 2) Doeleinden en rechtsgronden (bijvoorbeeld toestemming vragen voor een marketingdoel) 3) Als de verwerking van de persoonsgegevens een wettelijke of contractuele verplichting is, of noodzakelijke voorwaarde, dan moet je ook aangeven wat de gevolgen zijn als je het niet doet. 4) Je moet aangeven hoe lang gegevens bewaard worden óf welke criteria bepalen hoe lang het opgeslagen zal worden. 5) Recht op inzage, rectificatie of wissen van de gegevens. De betrokkene heeft recht en je moet dat opnemen in het statement. Je moet dus ook vermelden hoe dat gedaan kan worden (per /formulier). 6) Aangeven dat ze het recht hebben om een klacht in te dienen bij de AP (Autoriteit Persoonsgegevens). 11. Moet ik altijd een verwerkersovereenkomst afsluiten? Alleen als je gegevens laat verwerken door een andere partij (Google, Hotjar). 4

6 12. Moet ik een data privacy officer of functionaris gegevensbescherming aanstellen? Het is in 3 situaties verplicht: 1) Bij overheden en publieke organisaties. 2) Wanneer je een organisatie bent die vanuit je kernactiviteiten op grote schaal individuen volgt (profilering van mensen, risico-inschattingen, iemands gezondheid via wearables meet). 3) Als je op grote schaal bijzondere persoonsgegevens verwerkt, zoals informatie over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging etc.) 13. Wat verandert er als mijn organisatie in meerdere landen actief is? De AVG wet is voor alle landen die lid zijn van de EU van toepassing. Hierdoor is het juist makkelijker om te voldoen aan de regelgeving van andere landen. 14. Moet mijn cookiemelding worden aangepast? Je moet ervoor zorgen dat je je toestemming net zo makkelijk kan intrekken als dat je toestemming geeft. Voorbeeld; Moet je opnieuw toestemming vragen aan de klant wanneer je al gegevens hebt verwerkt (vorig jaar bijvoorbeeld). Indien de toestemming voldoet aan de eisen van de AVG, dan hoef je geen aanpassingen meer door te voeren. Wijken ze af, dan dien je alsnog aanpassingen te maken. 5

7 16. Moet ik mijn orderdata kunnen verwijderen? De orderdata mag blijven bestaan zolang de directe persoonsgegevens maar gewist worden die aan de order gekoppeld zijn. De definitie van persoonsgegeven is namelijk "alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon". De bestelling van een product dus niet. Maar die zijn wel gekoppeld aan een persoon/klantnummer en dat is dus herleidbaar naar een persoon. 17. In hoeverre moet je echt overal je klantdata kunnen verwijderen (backups, etc)? Een organisatie is verplicht binnen 4 weken schriftelijk of per te reageren op een correctieverzoek. Besluit je de klantgegevens te corrigeren, dan moet dit zo snel mogelijk gebeuren. U moet het recht op vergetelheid ook toepassen op digitale backupbestanden. Vraagt iemand u om zijn gegevens te wissen? Dan moet u zijn persoonsgegevens dus ook zo snel mogelijk uit uw back-ups verwijderen. 18. Hoe moet je aantonen waarvoor je alle data gebruikt? Je kunt een overzicht creëren met de data en de doeleinden. Dit kan door middel van een pagina, Excel-sheet of een andere vorm waarin je een overzicht kan maken. Zolang het voor de betrokkenen duidelijk is wat er met welke data wordt gedaan. 19. Valt het traceren van locatie binnen een app ook onder persoonsgegevens? Indien je de locatie lokaal opslaat, of een internetverbinding gebruikt om bijvoorbeeld dichtstbijzijnde punten op een kaart te tonen dan vallen deze gegevens ook onder persoonsgegevens. De telefoon vraagt al wel om toestemming voor het opvragen van de locatie, maar niet voor het verwerken van de locatie. Hiervoor moet dus ook toestemming worden gegeven. 6

8 20. Hoe moet je omgaan met data die lokaal op een app wordt opgeslagen? Een mobiel kan fysiek ook gestolen worden dus de data op een mobiel is in principe ook niet veilig. Data die alleen lokaal wordt opgeslagen maar wel herleidbaar is, moet dus ook toestemming voor worden gebruikt 21. Hoe moet je omgaan met persoonlijke/medische, maar niet herleidbare data? Het punt is dat persoonlijke data altijd herleidbaar is. Het is wel mogelijk om medische data voor bepaalde statistische doeleinden te gebruiken, als het maar anoniem is en niet herleidbaar. 22. Met wie moet ik een Bewerkersovereenkomst tekenen? (hoofd en subwerkers) ook met Google bijvoorbeeld? Met iedere partij die gegevens verwerkt. Ook met Google en E-sites. 23. Wat verandert er voor mijn marketing / formulierenintegratie? Op het moment dat gebruikers persoonsgegevens achterlaten op je website, bijvoorbeeld met een opt-in, moet voor deze gegevens helder zijn waarom je ze nodig hebt en hoe je ze gaat gebruiken. Er moet duidelijk worden gecommuniceerd waar iemand zich voor inschrijft, hoe vaak er wordt verstuurd en dat je je heel makkelijk op elk gewenst moment weer uit kan schrijven (opt-out). Bovendien moet de opt-in een duidelijke en bevestigende actie zijn. 7

9 Verwijs bij elke opt-in met een link naar de privacyverklaring. Je moet al je opt-ins registreren. Achteraf moet je kunnen aantonen hoe je ze hebt verkregen en waarvoor deze personen precies toestemming hebben gegeven. Zo moet je dus onderscheid maken tussen opt-ins die worden verkregen als iemand een bestelling doet en bijvoorbeeld voor opt-ins die verkregen hebt via een pop-up of lead magnet (een gratis aanbod dat je doet aan je bezoeker in ruil voor het adres van deze bezoeker). Het is belangrijk op verschillende groepen of lijsten aan te maken binnen het nieuwsbriefsysteem. Als de opt-ins automatisch worden gekoppelt via een universele plug-in, dan zal in de database duidelijk en eenvoudig terug te kijken zijn wanneer wie, waar en hoe iemand zich heeft aangemeld. Accounts en profielen moeten (zo eenvoudig mogelijk) in te zien, aan te passen of te verwijderen zijn. Mensen met een account bij een website kunnen wellicht al een aantal gegevens zelf inzien en wijzigen. Hetzelfde geldt voor voorkeuren die gewijzigd kunnen worden binnen programma s zoals MailChimp. MailChimp doet dat al en geeft dat ook aan in de footer van een nieuwsbrief, er staat dan zoiets als klik hier om jouw profiel te wijzigen. Dit geldt ook voor het verwijderen van gegevens (het recht om vergeten te worden). In de privacyverklaring moet daarom ook heel staan hoe mensen hun gegevens kunnen wijzigen of verwijderen. Hiervoor kan ook een specifiek contactformulier worden ingericht waarbij men online een formeel verzoek kan indien om alle gegevens van die persoon te verwijderen uit alle systemen. 8

10 24. Wat verandert er voor het verzamelen van data via tools als Google Analytics? Hoe kan ik deze privacyvriendelijk instellen zodat je geen cookie melding nodig hebt? Voor het verzamelen van gegevens via Google Analytics is toestemming nodig. Als je geen toestemming vraagt, moet je de gegevens anonimiseren. Bezoekers van de website hoeven geen toestemming te geven als je analytische cookies plaatst om het bezoek te kunnen meten. Zolang je met deze cookies geen persoonsgegevens of pseudo-anonieme gegevens verzamelt, is er geen toestemming nodig. Belangrijk om te weten is dat je dan geen IP-adressen mag opslaan. 25. Kan ik nog wel demografische en interesse rapporten in Google Analytics terugzien? Dat kan nog steeds, puur omdat het niet herleidbaar is naar de persoon. Het punt is hoever kan je door drillen naar detail niveau. Als het op een gegeven moment op het niveau komt dat je kan aangeven wie het zou kunnen zijn, ben je te ver. Maar demografische rapporten op een hoog niveau kan altijd. 26. Wat verandert er voor advertentietargeting? 1. Contextuele targeting op basis van content op de pagina (bijvoorbeeld een nieuwsbericht op nu.nl dat over een nieuw type auto gaat: hiervoor is geen toestemming van de consument nodig. Voorbeelden van contextuele targeting: Google AdWords keyword targeting, Google Display Network keyword en domain targeting, Publisher website targeting. 2. Profiel targeting: targetten op leeftijd, geslacht, locatie en affiniteitscategorieën. Voor deze vorm van targetting is het noodzakelijk dat de advertentie/publisherplatformen en publishers hier toestemming voor hebben gekregen van de consument. 9

11 Aangezien er alleen data gebruikt wordt van het advertentieplatformen heeft de adverteerder geen toestemming nodig van de consument. Voorbeelden van profiel targetting: Google AdWords Keyword targeting gecombineerd met leeftijd of affiniteitscategorie, Google Display Network profiel targetting, Facebook targetting op basis van demografische gegevens. 3. Pixels/cookie targeting: Alhoewel er gebruikelijk geen klantgegevens als een NAW of adres worden opgeslagen, oordeelt de verordening in dit geval dat het Cookie/AppID een persoonsgegeven is. Dit betekent dat het noodzakelijk is dat de adverteerder een expliciete toestemming heeft van de consument. Indien de profielen worden gebruikt voor de targetting op externe advertentieplatformen/publisherplatformen heeft zowel de adverteerder als het advertentie- als publisherplatform toestemming van de consument nodig. Voorbeelden van profiel targeting via pixels/cookies: Google AdWords Keyword targeting in combinatie met RLSA, Google Display Network Remarketing, Facebook retargeting etc. 4. Data adverteerder (CRM/Klantdata): Bij deze vorm van adverteren deelt de adverteerder explicietere klantgegevens (zoals telefoonnummers of e- mailadressen) met advertentie- als publisherplatform. De hiermee gegenereerde profielen worden vervolgens gebruikt om deze profielen te targetten op externe advertentieplatformen/publishers, lookalikes te ontdekken etc. De verordening oordeelt in dit geval dat het hier om persoonsgegevens gaat. Dus is het noodzakelijk dat de adverteerder een expliciete toestemming nodig heeft van de consument om deze klantgegevens te delen met voor de targetting op externe advertentieplatformenplatformen. Ook heeft het advertentieplatform toestemming nodig van de consument om deze op haar platform gerichte advertenties te tonen. Voorbeelden van profiel targetting op basis van klantdata: Google AdWords Keyword targeting in combinatie met Customer Match, Facebook Custom Audiences etc. 10

12 27. Mogen we in AdWords/Facebook nog adresssen importeren om deze personen vervolgens te targetten? Alleen als je al een overeenkomst met deze personen hebt dan kan het wel maar dat is nu niet het geval. Nieuwe verkregen adressen moeten dus AVG/GDPR proof worden verkregen en je moet kunnen aantonen dat de gebruikers actief toestemming hebben gegeven dat deze gegevens gebruikt worden. 28. Mogen we Facebook lead ads nog inzetten? Bij lead ads vult de gebruiker direct een formulier in binnen een advertentie op Facebook. Stel, je werkt met lead ads op Facebook of LinkedIn. Dan dien je bij iedere advertentie dus opnieuw toestemming te vragen. Het slimste om te doen is één algemene disclaimer aanmaken, die je op iedere advertentie kunt toepassen. Dan is het slechts een kwestie van diezelfde disclaimer toevoegen, in plaats van een nieuwe te maken. 29. Kan ik gebruik maken van look-a-like audiences? Look-a-like audiences zijn vergelijkbare doelgroepen. Facebook maakt die aan op basis van gegevens die jij als adverteerder hebt verzameld, zoals websitebezoekers of mensen die interactie hebben met je post of website. Facebook zoekt dan zelf naar mensen die overeenkomen met de interesses van deze groep. Voor de gegevens die jij verzamelt, ben jij zelf ook verantwoordelijk. Dus opnieuw, alles AVG-proof verzamelen. De daadwerkelijke look-a-like audiences worden door Facebook zelf gemaakt. Je mag deze data gebruiken, maar kunt het niet beheren. Deze data is dus ook niet jouw verantwoordelijkheid. 11

13 30. Wat verandert er voor een tool als Hotjar en hoe stel ik deze privacyvriendelijk in? Hotjar moet zich ook houden aan de Europese regelgeving. De data mag niet herleidbaar zijn naar individuen. Hotjar is een tool waarmee opnames kunnen worden gemaakt van websitebezoeken. Je ziet zo hoe gebruikers navigeren door je website. Handig! Maar ook hierbij worden persoonsgegevens opgeslagen. Gelukkig is het mogelijk om alle persoonlijk identificeerbare data uit de user recordings te houden. Pas het volgende aan in je instellingen en code van Hotjar: Laat Hotjar door gebruikers ingevulde velden in formulieren niet weergeven in de opnames. Ook niet wanneer iemand op terug naar vorige pagina -knop klikt. En natuurlijk ook niet op de bevestigingspagina (bijvoorbeeld in een webshop). 12

14 13