De ultieme AVG checklist in 10 praktische stappen

Implementatie AVG – jouw to-do list

In een eerdere blog hebben we de basis van de nieuwe privacy wet, de AVG/GDPR, al uitgelegd. Ben je hier nog niet bekend mee? Lees onze wat is AVG blog dan eerst.

Dit is een handige AVG checklist met 10 praktische stappen, die je zal moeten bekijken, uitvoeren, klaarzetten of veranderen voor 25 mei aanstaande. Geen stress dus! Met deze checklist ben jij er straks helemaal klaar voor.

1. Zet alles op een rijtje

Het is handig om eerst op een rijtje te zetten wat jouw organisatie nu al doet omtrent marketing en persoonsgegevens. De volgende vragen kunnen je daarbij helpen:

• Welke marketingtools gebruik je?
• Welke persoonsgegevens verwerk je met deze tools?
• Hoe ga je nu met persoonsgegevens om en wat zou je hierin moeten veranderen volgens de AVG?
• Wat voor informatie verstrek je betrokkenen nu en hoe zou dit onder de AVG moeten veranderen?
• Hebben betrokkenen op dit moment al de optie om persoonsgegevens te wijzigen of te verwijderen?
• Hoe gaat de AVG je data managementproces veranderen?

2. Verwerkingsactiviteiten register invullen

Elk bedrijf dat niet incidenteel persoonsgegevens verwerkt moet een verwerkingsactiviteiten register bijhouden. Je moet dit register te alle tijde aan de Autoriteit Persoonsgegevens (AP) kunnen laten zien. Het betekent niets meer dan op een rijtje zetten welke gegevens er allemaal door het bedrijf worden verzameld. Online zijn meerdere templates van zo’n register te vinden.

In dit register moet je onder meer de bewaartermijn van de gegevens invullen. Dit is belangrijk omdat je volgens de AVG niet meer eindeloos alle gegevens mag bewaren. Ze moeten dus na een redelijke termijn worden verwijderd. Aangezien er geen harde richtlijnen in de wet staan heb je hier wat vrijheid in, ga dus voor jezelf na hoe lang je gegevens nodig denkt te hebben.

3. Verwerkers Overeenkomsten afsluiten

De verantwoordelijkheid voor het verwerken van persoonsgegevens zal nu niet meer alleen maar bij de verwerkingsverantwoordelijke liggen, maar ook bij de verwerker. Daarom zul je met alle partijen die een verwerkers rol vervullen voor jouw organisatie een verwerkersovereenkomst moeten afsluiten. Denk aan partijen als Woocommerce, Hootsuite, Hotjar, Salesforce, Mailchimp, Facebook, Google, etc.

4. Privacy beleid en data lekken

Elke organisatie die persoonsgegevens verwerkt, dient met een aantal zaken rekening te houden. Intern moet er bijvoorbeeld een privacybeleid zijn voor alle medewerkers, extern zul je beveiligingsmaatregelen moeten treffen om de persoonsgegevens te beschermen.

De organisatie is verantwoordelijk voor het veilig opslaan van alle persoonsgegevens. Ga daarom na waar jullie allemaal persoonsgegevens opslaan en doe er alles aan om deze systemen zo waterdicht mogelijk te maken. Pas dataminimalisatie toe, bewaar de data niet langer dan voorgeschreven, wees nauwkeurig bij het verwerken van de persoonsgegevens en respecteer de privacy. Het hebben van een SSL certificaat (https://) is bijvoorbeeld verplicht. Is er toch een lek ontstaan? Dan dient de verantwoordelijke dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens.

5. Privacy statement aanpassen

Huidige privacy statements zijn meestal lang, verwarrend en zitten vol met lastig taalgebruik. Met de nieuwe AVG is dit verleden tijd en is het voor elk bedrijf verplicht om de privacy statements te herschrijven in Jip en Janneke taal: geen lange zinnen, dubbele ontkenningen of lastige juridische termen. De volgende punten zullen in ieder geval aan de privacy statement moeten worden toegevoegd:

• alle persoonsgegevens die het bedrijf verwerkt,
• en met welke doeleinden,
• wat de wettelijke basis is voor het verwerken,
• de bewaartermijn voor elk persoonsgegeven,
• alle derde partijen die toegang hebben tot de data,
• waar betrokkenen klachten kunnen indienen bij het AP,
• dat betrokkenen toestemming altijd kunnen intrekken, en gegevens kunnen inzien en/of wijzigen,
• hoe ze deze mogen opvragen, verwijderen en meenemen,
• en contactgegevens van de medewerker binnen het bedrijf die verantwoordelijk is voor het afhandelen van zulke aanvragen.

6. Cookiebeleid voorbereiden

Op een website kunnen tientallen verschillende cookies voorkomen. Omdat de AVG het voor de consument overzichtelijker wil maken welke cookies er allemaal geplaatst worden tijdens een websitebezoek, en deze de vrijheid wil geven om hier wel of niet akkoord mee te gaan zijn de huidige cookie walls niet meer voldoende.  

Alle cookies kunnen grofweg worden onderverdeeld in 3 categorieën:

1. Functionele cookies – Deze zorgen dat een website optimaal werkt (winkelwagentjes, taalkeuzes) en mogen zonder toestemming worden ingezet
2. Analytische cookies – Deze verbeteren de website maar hebben weinig tot geen gevolgen voor de privacy van de consument. Deze cookies mogen ook zonder toestemming ingezet worden.
3. Alle andere cookies – Om andere cookies te gebruiken moet er eerst toestemming worden gegeven door de websitebezoeker.

Je zal duidelijk moeten communiceren welke informatie je wil verzamelen, hoe je dat doet (d.m.v. scripts, beacons of cookies), en wat je met de informatie gaat doen. Dan pas, na het geven van toestemming, mogen andere cookies geplaatst worden.

Het valt ons op dat websites de vernieuwde regelgeving verschillend interpreteren. Veel grote partijen kiezen ervoor om volledig compliant te zijn en een cookie bar te installeren waarbij de bezoeker direct de vraag krijgt welke cookies hij/zij wil toestaan. Een voordeel is dat je zeker weet dat je compliant bent aan de AVG. Een nadeel is dat het gemakkelijk is voor de bezoeker om geen keuze te maken en op ‘ok’ te klikken, zo loop je al snel veel data en remarketing mogelijkheden mis.

Voorbeeld uitgebreide cookie wall (Frankwatching.com):

7. Google Analytics en Facebook instellen

Bij Whello werken we veel met Google Analytics, onder meer om het gebruik van websites te analyseren en om retargeting lijsten op te bouwen voor online marketing campagnes. Omdat betrokkenen onder de AVG altijd de mogelijkheid moeten hebben om hun gegevens te laten verwijderen zullen tools zoals Analytics hier ook aan moeten voldoen.

Veranderingen in Google Analytics:

1. User and event data retention – Je kan nu aangeven of alle analytics data voor altijd of voor 14/26/38 of 50 maanden blijft bestaan
2. Data Processing Amendment – Dit is de verwerkersovereenkomst tussen jou en Google Analytics. Elke gebruiker van Google Analytics zal akkoord moeten gaan met deze overeenkomst om compliant te zijn met de AVG
3. Verwijderen van data – Google is momenteel nog bezig met het uitbrengen van een nieuwe tool waarmee je straks data gekoppeld aan een bepaalde User ID uit Google Analytics kan verwijderen

Ook Facebook is erg belangrijk voor onze online marketing campagnes. Via dit platform kunnen wij consumenten met relevante advertenties bereiken op Facebook en Instagram. Op Facebook was het al mogelijk om een ‘data retention’ periode in te stellen. Het verwijderen van persoonlijke data is nu nog niet mogelijk, maar het bedrijf verwacht hier snel verandering in te brengen.

8. Email marketing overwegingen

Het is misschien even slikken, maar het kan zomaar zijn dat je je huidige maillijsten (deels) niet meer mag benaderen na 25 mei. Dit mag namelijk alleen als toestemming voor het mailen op de volgende manier is gegeven:

• met een opt in zonder vooraf aangevinkt vakje,
• met daarbij informatie over het onderwerp van de mail,
• en over derde partijen die toegang krijgen tot de data.

Maak in dit geval dus de opt in aantrekkelijk en goed zichtbaar, gebruik geen kleine lettertjes en lichte kleuren. Gebruik taal waarin het belang van de betrokkene naar voren komt en zorg dat ze een actieve keuze maken (zelf kiezen tussen ja of nee, in plaats van één vakje).

Een optie is om een opt in campagne te starten. Hierbij stuur je een mailtje naar alle contacten die volgens jou niet via een ‘AVG waardige’ opt in zijn verkregen en vraag je deze contacten of ze mailtjes willen blijven ontvangen ja/nee. Dit klinkt als een makkelijke oplossing, maar kijk uit: krijg je voor 25 mei geen reactie? Dan mag je deze mailadressen officieel helaas niet meer benaderen en dien je ze te verwijderen uit de lijst.

Side Note: no-reply e-mailadressen zijn niet meer toegestaan. Consumenten moeten altijd kunnen antwoorden op de mail.

Slimme manier van opt in verkrijgen (Hubspot.com):

9. Controleer je website op ‘Privacy by default’

Verplicht gegevens vragen die niet essentieel zijn voor het aanleveren van een product of dienst mag niet meer. Bijvoorbeeld het invullen van je functie voor het downloaden van een e-book. Dit soort gegevens mogen alleen op vrijwillige basis gegeven worden. Ook zal je moeten aangeven waarom je die gegevens dan zo graag wil hebben (bijvoorbeeld: als u uw locatie invult kunnen wij winkels in de buurt laten zien).

10. Recht op verwijdering, inzage en wijziging van gegevens

Mocht een betrokkene al zijn verwerkte persoonsgegevens willen opvragen, wijzigen of laten verwijderen, dan moet een bedrijf daar binnen 30 dagen aan kunnen voldoen. Ook moeten de gegevens in een gangbaar bestandsformaat (bijvoorbeeld excel) worden opgestuurd. Je moet een overzicht maken van het bewijs dat toestemming is gegeven, door wie, wanneer, hoe en wat ze op het moment van toestemming geven verteld is (bijvoorbeeld door een screenshot te maken van de opt in).

Deze data zal vaak verspreid zijn over meerdere platformen, wat het uitzoeken van de juiste gegevens lastig kan maken. Voor kleinere bedrijven die niet veel van zulke verzoeken verwachten is dit handmatig nog wel te bewerkstelligen, maar voor grotere bedrijven kan een Data Management Platform (DMP) een optie zijn. Een DMP slaat alle data van verschillende marketingtools op, en maakt dit overzichtelijk. Zo kun je met één zoekopdracht alle verzamelde data van een betrokkene vinden.

Voorbeeld van een data inzage verzoek (Frankwatching.com):

Alhoewel wij alle onderwerpen in deze blog goed hebben uitgezocht, werken er bij Whello geen juristen en is deze inhoud dus ook niet bedoeld als juridisch advies. Om 100% compliant te zijn met de AVG/GDPR raden wij aan om samen met een jurist naar de veranderingen voor jouw bedrijf te kijken. Fruytier is een fijne juridische partij waar wij zelf ook mee samenwerken.

Heb je vragen voor ons? Neem dan gerust contact met ons op of ontmoet onze specialisten!