GDPR over 5 maanden van kracht: wat betekent dit?

image Door Koen Dorenbos - 10 January 2018

single-img

GDPR over 5 maanden van kracht: wat betekent dit?

Staat 25 mei 2018 al in uw agenda? Vanaf die datum is de General Data Protection Regulation (GDPR) van toepassing, in Nederland ook wel bekend onder de naam Algemene Verordening Gegevensbescherming (AVG). Binnen het MKB is een hardnekkig misverstand ontstaan over de handhaving van deze nieuwe privacyregelgeving: veel MKB’ers zijn van mening dat de GPDR alleen van toepassing is op grote organisaties of ondernemingen. Dit is onjuist en kan zorgen voor zeer onaangename verrassingen. Vanaf 25 mei moeten alle ondernemingen voldoen aan de nieuwe regels. Zijn de zaken niet op orde? Dan riskeert u een flinke boete.

MKB nog niet voldoende voorbereid

Uit onderzoek van de MKB Servicedesk blijkt dat 6 op de 10 ondernemers niet op de hoogte zijn van de wijziging. Met name bedrijven die zich bezighouden met technische dienstverlening en handel waren slecht geïnformeerd. Bij kleine ondernemingen wist zelfs driekwart van de ondernemers niet wat de consequenties zijn van de nieuwe regelgeving.

De nieuwe regelgeving zorgt ervoor dat Europese consumenten hun data altijd moeten kunnen inzien, wijzigen- of verwijderen. Informatie verzamelen mag nog steeds maar er moet uitdrukkelijk en actief om toestemming worden gevraagd aan de consument.

Actieve toestemming

Met actieve toestemming wordt bedoeld dat de consument zelf een handeling moet uitvoeren om toestemming te geven: bijvoorbeeld het aanvinken van een keuzemodule. Vooraf ingevulde webformulieren zijn uit den boze. De GDPR is van toepassing op het verzamelen, bewaren en gebruiken van persoonsgegevens. Het gaat bijvoorbeeld om IP-adressen maar ook om visitekaartjes, telemarketing en e-mailmarketing.

  • Ook moet er heel duidelijk worden gemaakt waar gegevens voor worden gebruikt. Een zin als : "We gebruiken je gegevens voor marketingdoeleinden", mag straks niet meer. In plaats daarvan moet er worden gezocht naar een formulering als: "We willen graag je woonplaats opslaan in ons bestand. Zo kunnen we je koppelen aan de dichtstbijzijnde vestiging." Wordt een woonplaats voor meerdere doelen gevraagd? Dan moet voor elk afzonderlijk doel toestemming worden gegeven. Is de toestemming eenmaal gegeven dan moet er nauwkeurig worden geregistreerd op welke datum dit is gebeurd. Voor de consument moet duidelijk zijn dat toestemming elk moment kan worden ingetrokken.

Kansen voor het MKB

In de precieze formulering schuilt ook de mogelijkheden die de GDPR biedt om vertrouwen te winnen van klanten. Door transparant te zijn over de doelen van de klantrelatie kan het vertrouwen van de klant groeien. Door consumenten medeverantwoordelijk te maken voor een perfecte afstemming op zijn of haar wensen groeit de binding. Door te laten zien dat privacy- en databescherming een speerpunt zijn en dat de consument ten alle tijden eigenaar blijft van de gegevens ontstaat vertrouwen.

Recht op dataportabiliteit

Een bijzondere nieuwe bepaling is het recht op dataportabiliteit. Consumenten kunnen een deel van hun gegevens opvragen en laten doorsturen naar een andere organisatie. Ook kunnen ze de data zelf ontvangen. Door ook hier helder over te communiceren ontstaat vertrouwen. Geef bijvoorbeeld duidelijk aan dat het natuurlijk wel eens voorkomt dat mensen toch voor de concurrent kiezen en dat ook dan de serviceverlening niet ophoudt: de data van de klant worden met zorg en aandacht overgeheveld.

Consequenties voor het gebruik van Google Analytics en Hotjar

Voor consumenten is het een prettig idee dat ze straks meer macht over hun gegevens hebben. Voor het MKB betekent het ook een uitdaging. Wie bijvoorbeeld veel gebruik maakt van Google Analytics zal aanpassingen moeten doen in de manier van verwerken. Data profilering moet na 25 mei nog zorgvuldiger gebeuren. Om Google Analytics privacyvriendelijk te maken, dien je de volgende stappen te doorlopen:

Er moet een overeenkomst zijn tussen de verantwoordelijke en Google, de zogeheten bewerkersovereenkomst; Het anonimiseren van IP-adressen: IP-masking. Met IP-masking wordt het laatste octet van het IP-adres van een bezoeker verwijderd voordat dit wordt gebruikt en opgeslagen;

Zet het delen van gegevens met Google uit:
- uitsluitend andere producten en services van Google;
- anoniem met Google en andere;
- (toegang voor Google) sales- en marketingspecialisten;

- technische ondersteuning;

Informeer de bezoekers dat Google Analytics:
- cookies gebruikt;
- er een bewerkersovereenkomst is afgesloten;
- de (persoons)gegevens anoniem worden verwerkt.

Het bovenstaande stappenplan laat zien op welke manier de registratie moet worden aangepast. Het anoniem verwerken van IP adressen is hierbij een speerpunt.

Ook voor Hotjar geldt dat er meer geanonimiseerd moet worden. De route die de consument aflegt door een site is nog steeds te volgen maar persoonlijke informatie die verkregen is uit invoervelden mag niet worden opgeslagen. Het gaat dan bijvoorbeeld om e-mailadressen of adresgegevens. Dit vereist een aanpassing van de instellingen. Het begint met het uitvinken van de capture keystroke data. In deze handleiding wordt stap voor stap uitgelegd hoe Hotjar kan worden gebruikt na 25 mei 2018. Voor Visual Website Optimizer (VWO) geldt hetzelfde als voor Hotjar: de gegevens van gebruikers moeten worden geanonimiseerd.

Het gebruik van Google AdWords vraagt ook om een andere benadering. Voor veel MKB-ers is dit het platform om online traffic te genereren. De grootste verantwoordelijkheid voor het waarborgen van de gegevens ligt bij Google maar er is een grijs middengebied waar voorzichtigheid is geboden. Met name bij remarketing en remarketing lists for search ads (RLSA) zijn bedrijven zelf verantwoordelijk. Het gaat om advertenties die worden getoond aan eerdere bezoekers. Dit zijn bezoekers waar je zelf verantwoordelijk voor bent en dat betekent dan ook dat er expliciet toestemming moet worden gevraagd voor het gebruiken van gegevens met dit doel.

Meldingsplicht

Mocht er ondanks alle voorzorgsmaatregelen toch sprake zijn van een datalek, dan voorziet de nieuwe nieuwe wetgeving in de plicht om binnen 72 uur melding te doen. Gebeurt dit niet dan komen de torenhoge boetes in zicht waarvoor gewaarschuwd wordt. Volgens Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), zal er streng worden toegezien op handhaving van de wet. Zware overtredingen worden beboet met 20 miljoen euro of 4% van de omzet, milde overtredingen met 10 miljoen euro of 2% van de omzet.

Is je interesse gewekt? Neem contact met ons op
image
Ook zo’n optimalisatieslag? Bel 035 691 22 37!
FD gazelle award 2018