AVG, GDPR: nieuwe privacywetgeving. Bleh.

AVG, GDPR: ik heb al 34 mailtjes gehad over die stomme, nieuwe privacywet.
Als je maar een beetje op mij lijkt, heb je ze allemaal snel weggeklikt.

Bleh. Saai. Moeilijk.

Tired Zzz GIF - Find & Share on GIPHY

 

Maar het is bijna 25 mei. Dan treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Of GDPR (General Data Protection Regulation), zoals hij internationaal heet. Ik heb me er dus toch maar even in verdiept. En eigenlijk valt het best mee. Haal opgelucht adem en lees verder.

De AVG vervangt 28 afzonderlijke Europese privacywetten, waaronder onze Wet bescherming persoonsgegevens (Wbp). Met de AVG krijgen we meer zeggenschap over onze gegevens en wat bedrijven daarmee doen. Je kunt bijvoorbeeld inzage vragen in opgeslagen data, of daarvoor verleende toestemming intrekken.

De AVG geldt ook voor jouw klanten en relaties. En voor de bezoekers van jouw website. De AVG vereist dat jij duidelijk maakt wat jij doet met verzamelde gegevens.

 

Maar ik verzamel helemaal geen gegevens.

 

Weet je dat zeker? Als er een contactformulier op je site staat, of je gebruikt Google Analytics, dan verzamel je gegevens, ongeacht of je er iets mee doet. Misschien heb je een plug-in op je WordPress-website, waarvan je niet eens weet dat die cookies gebruikt.

 

Wat moet ik doen? Google Analytics deleten?

 

Geen paniek. De internetpolitie staat heus niet direct bij jou, eenvoudige eenpitter, op de stoep omdat jij bijhoudt hoeveel bezoekers je site heeft. Er is niks tegen het verzamelen van gegevens en ze te gebruiken om je bedrijf te runnen en om bezoekers van je site te kunnen geven wat ze zoeken.

 

Het enige wat de AVG wil is dat je transparant maakt:

  • welke gegevens je verzamelt
  • hoe je die gebruikt
  • waar je ze bewaart
  • hoe ze verwijderd kunnen worden

Deze punten beschrijf je in een privacyverklaring die je op je website zet. Als jij de gegevens verder niet deelt met andere partijen (je hebt geen adverteerders op je site, bijvoorbeeld) en je hebt een keurige cookiemelding op je site, dan voldoe je al bijna volledig* aan de wet.

* Als je aan e-mailmarketing doet, houd dan de procedure voor aan- en afmelden van je mailinglijsten tegen het licht. ActiveCampaign en Mailchimp hebben er duidelijke handleidingen voor gemaakt. Beide partijen hebben hun privacyverklaringen al aangepast, zodat jij probleemloos gebruik kunt blijven maken van hun diensten.

 

Hoe maak ik een privacyverklaring?

 

Ik heb zelf een privacyverklaring gemaakt op veiliginternetten.nl. Een handige website waar je in begrijpelijke taal alles leest over de AVG. Je kunt er een privacyverklaring maken met de privacy statement generator.

Maak hier een privacyverklaring >>>

 

Natuurlijk omvat de AVG meer dan alleen de privacyverklaring

 

Maar het is een goed startpunt, heb ik gemerkt. En niet alleen omdat die privacyverklaring een verplicht onderdeel van je website is. Ik werd me, door het maken van de verklaring, bewust van alle plekken waar ik binnen mijn bedrijf gegevens bewaar en gebruik. (En hoe weinig ik met die informatie doe. Stom.) Het maken van de privacyverklaring kostte me een uurtje werk, maar het was een eye-opener.

Let wel, als je op grote schaal gegevens verzamelt en gebruikt in je bedrijf, moet je je meer verdiepen in de wet en is het wellicht verstandig juridisch advies in te winnen. Niet bij mij, natuurlijk. #ammehoela #doei

 

Dit zijn de stappen die je voor 25 mei moet nemen:

 

  1. Maak een privacyverklaring, bijvoorbeeld via veiliginternetten.nl, en zet ‘m als link in de footer van je website.
  2. Installeer een cookiemelding op je site (was al verplicht). Ik gebruik in WordPress de plug-in Cookie Notice.
  3. Lees de GDPR-informatie van je e-mailmarketingdienst (bijv. ActiveCampaign of Mailchimp) en pas waar nodig de manier aan waarop je gegevens verzamelt en toestemming daarvoor vraagt.
  4. Zet onderaan de mails die je naar een lijst verstuurt altijd een afmeldlink. ‘Stuur een mailtje naar info@xxx.nl als je je wilt afmelden’ kan nu écht niet meer.

Vraag hulp aan je webbouwer of een juridisch adviseur als je er niet uitkomt. Zeker als je gegevens deelt met adverteerders en affiliates zijn er extra eisen. Dit artikel schreef ik voor eenvoudige mensen zoals jij en ik, die alleen e-mailadressen vragen om af en toe eens een blogje, tip of een datum van een workshop te delen.

Mijn volgende blog gaat over leukere zaken dan privacywetgeving. Beloofd.

8 Reacties

  1. Vicky

    Wat schrijf je toch lekker. Én duidelijk. Want ik had het inderdaad ook voor me uitgeschoven. Superfijn om te lezen dat het allemaal wel meevalt. In duidelijke Vic & Eva taal. 😉
    Ik ga er maandag mee beginnen. Ja, pas maandag. Nu even vakantie…. WAHKANSIEIEIE

    Dikke kus

    PS: ik laat bij dit bericht ook mijn gegevens achter. Zorg jij dat je ze netjes ergens opslaat enzo? 😛

    Antwoord
    • Eva Smitt

      Dankjewel Vicky, ik zal heeeeel goed voor jouw naam en e-mailadres zorgen, beloofd. 😉

      Antwoord
  2. Aukje

    Ha Eva,
    Daar heb ik dankbaar gebruik van gemaakt. Dank.

    Antwoord
  3. Lisette

    Oh lieve Eva, wat een kort en bondig overzicht. Thank you a lot!! Nog wel een klein vraagje, ik hoor ook van alles over verwerkersovereenkomsten. Hebben jij en ik die nodig? Bijvoorbeeld met Facebook, Google, je hosting en in mijn geval Mailchimp? Kus, Lisette

    Antwoord
    • Eva Smitt

      Hoi Lisette, de meeste verwerkersovereenkomsten worden ondervangen met een aanpassing van de algemene voorwaarden van verwerkende partijen. Zo heeft mijn e-boekhouden.nl de voorwaarden aangepast waardoor ik AVG-proof ben wat mijn online boekhouding betreft. Van Mailchimp kreeg ik een mail met een link naar een speciale pagina waarop ik wat gegevens moest invullen. Zo werd automatisch een geldige verwerkersovereenkomst gegenereerd die ze me gemaild hebben. Heb jij die mail al gehad?

      Ook Google heeft de voorwaarden aangepast en mailtjes gestuurd waarin ze aangeven welke acties je moet uitvoeren. Vaak zijn dit lange, juridische mails en lijkt het moeilijk en ingewikkeld wat je moet doen, maar je hoeft maar een paar vragen te beantwoorden (hoe lang je gegevens wilt bewaren, bijvoorbeeld), de rest regelt Google voor je.

      Die Facebook pixel is natuurlijk wel zo illegaal als de pest. Dat wordt een hoop gedoe om daar toestemming voor te krijgen van je bezoekers. Dus verwijder ik ‘m voorlopig maar. Maar als je heel actief bent met FB advertising en lookalike audiences enzo, wordt dat nog een ingewikkeld AVG-actiepuntje.

      Wat ik vooral beoog met dit artikel is om je wel IETS te laten doen aan de AVG. Want als je niet eens een privacy statement hebt en de Autoriteit Persoonsgegevens doet een steekproef, dan zullen ze wellicht niet zo coulant zijn en je in plaats van een waarschuwing direct een boete geven. Raak niet in paniek als je nog niet alles op 25 mei in kaart hebt gebracht, want de komende maanden zullen er nog veel handige apps en plug-ins komen die je helpen je site AVG-proof te maken, let maar op.

      Antwoord
  4. Lisette

    Thank you dear! Dat van die pixel had ik ook al bedacht!! Ik doe er toch niks mee! Ik heb van Google alleen een mail gekregen over de verbeteringen in hun privacybeleid, maar niks over acties die ik moet doen. Vind dit wel een lastige eigenlijk. Gebruik geen google analytics op mijn website, misschien is dat het verschil… Nou ik google er nog maar even op verder 🙂

    Antwoord
    • Eva Smitt

      Als je geen Analytics gebruikt, hoef je ook niks te regelen met Google. Zij alleen met jou en dat hebben ze gedaan door hun privacybeleid aan te passen. Klaar.

      Antwoord

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.